SymbiozAI — Informations légales
FREN

Dernière mise à jour : 3 juillet 2026

Accord de traitement des données (DPA)

Le présent Accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel effectué par SymbiozAI SASU (SIREN 103 609 244, siège social à Lyon 69003), en qualité de sous-traitant, pour le compte de ses clients, en qualité de responsables de traitement. Il fait partie intégrante des Conditions Générales d'Utilisation et s'applique dès la souscription au Service.


1. Définitions

Les termes Responsable de traitement, Sous-traitant, Sous-traitant ultérieur, Personne concernée, Données à caractère personnel et Violation de données ont le sens que leur donne le RGPD (Règlement UE 2016/679). « Données Client » désigne les données personnelles traitées par SymbiozAI pour le compte du Client via le Service.


2. Objet, durée, nature et finalité du traitement


3. Instructions du responsable de traitement

SymbiozAI traite les Données Client uniquement sur instruction documentée du Client (les présentes ainsi que l'usage du Service valent instructions). SymbiozAI informe le Client si une instruction lui paraît contraire au RGPD.


4. Obligations de SymbiozAI comme sous-traitant

SymbiozAI : (a) garantit la confidentialité (personnel habilité, engagement de confidentialité) ; (b) met en œuvre les mesures de sécurité appropriées (art. 32, voir §7) ; (c) respecte les conditions de recours aux sous-traitants ultérieurs (§5) ; (d) assiste le Client pour les demandes des personnes (§6) et pour ses obligations (art. 32 à 36) ; (e) notifie toute violation de données (§8) ; (f) au choix du Client, supprime ou restitue les données en fin de contrat (§9) ; (g) met à disposition les informations nécessaires pour démontrer sa conformité et se soumet à des audits (§10).


5. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés sur notre page publique dédiée. SymbiozAI impose à chacun un contrat écrit comportant des obligations substantiellement équivalentes et non moins protectrices que les présentes, et reste responsable de leur exécution.

Modalités de transparence : (a) une liste publique des sous-traitants tenue à jour ; (b) une notification préalable d'au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant ; (c) un droit d'opposition du Client dans les 30 jours pour motif légitime tenant à la protection des données.

Un aperçu des sous-traitants figure en Annexe B ; la liste de référence, tenue à jour, est publiée sur la page « Liste des sous-traitants ».


6. Assistance aux demandes des personnes concernées

SymbiozAI assiste le Client pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, limitation). Les personnes concernées exercent leurs droits auprès du Client (responsable de traitement) ; si elles s'adressent à SymbiozAI, celui-ci transmet la demande au Client. Les moyens mis à disposition du Client à cet effet sont précisés lors de la souscription.


7. Mesures techniques et organisationnelles (art. 32)

SymbiozAI met en œuvre les mesures suivantes :


8. Notification de violation de données

SymbiozAI notifie le Client sans délai injustifié et au plus tard 48 heures après avoir eu connaissance d'une violation affectant les Données Client. La notification comporte : la nature de la violation, les catégories et volumes approximatifs de données et de personnes concernées, les conséquences probables, les mesures prises ou proposées, et un point de contact dédié chez SymbiozAI. SymbiozAI assiste le Client (responsable) pour lui permettre de respecter son propre délai de 72 heures vis-à-vis de l'autorité de contrôle (art. 33) et, le cas échéant, l'information des personnes (art. 34).


9. Sort des données en fin de contrat

À la fin des prestations, au choix du Client : restitution (export) puis suppression ou anonymisation des Données Client (et de leurs copies), sauf obligation légale de conservation. La suppression intervient dans un délai de 60 jours suivant la fin du contrat. Les durées applicables pendant la relation sont précisées dans la politique de conservation.


10. Audit et démonstration de conformité

SymbiozAI met à disposition la documentation raisonnable démontrant sa conformité. Modalités d'audit : (a) préavis raisonnable de 30 jours ; (b) fréquence limitée (au plus une fois par an, sauf incident avéré ou demande d'une autorité) ; (c) pendant les heures ouvrées, sans perturber le Service ; (d) périmètre limité au traitement des Données Client du Client concerné, sans jamais donner accès aux données ou environnements d'autres clients ; (e) recours possible à un auditeur tiers soumis à confidentialité ; (f) coûts de l'audit à la charge du Client, sauf non-conformité substantielle révélée. En priorité, SymbiozAI répond par la documentation (rapports, questionnaires de sécurité) avant tout audit sur site.


11. Volet responsable à responsable (enrichissement et intelligence artificielle)

Par défaut, SymbiozAI agit en sous-traitant (art. 28 RGPD) pour l'ingestion, le stockage, le CRM et l'attribution des messages par intelligence artificielle. Pour l'enrichissement de données (Apollo, Hunter, BrightData, INSEE/Pappers) et pour certains traitements par intelligence artificielle, la qualification peut relever d'une relation de responsable à responsable ou d'une responsabilité conjointe, SymbiozAI déterminant alors tout ou partie des moyens et finalités. Le cas échéant, un accord de répartition au titre de l'art. 26 RGPD est établi et chaque partie répond de ses propres obligations (base légale, information, droits) pour la part où elle agit en responsable.


12. Transferts internationaux

Pour tout transfert hors de l'Union européenne / de l'EEE (notamment vers Anthropic, aux États-Unis), SymbiozAI met en place les clauses contractuelles types (CCT) de la Commission européenne et les garanties complémentaires prévues au chapitre V du RGPD. La localisation de chaque sous-traitant figure sur la page « Liste des sous-traitants ».


Annexe A — Périmètres de données par canal d'ingestion

Canal Contenu stocké Expéditeur non enregistré Transmis à l'intelligence artificielle
WhatsApp aperçu de 200 caractères non stocké extrait de 200 caractères au plus
LinkedIn aperçu de 200 caractères (+ nom, URL de profil) non stocké extrait de 200 caractères au plus
Gmail corps du message (jusqu'à 5 000 caractères) + copie de suivi (jusqu'à 10 000 caractères) + en-têtes + destinataires en copie fiche de contact créée automatiquement extrait de 200 caractères au plus

Annexe B — Aperçu des sous-traitants ultérieurs

Sous-traitant Rôle Localisation
Unipile Pont d'intégration messagerie (WhatsApp, LinkedIn) Union européenne (France)
Anthropic Modèles de langage (Claude) : attribution et rédaction de propositions États-Unis
Google Accès Gmail / Calendar du compte du Client (OAuth) Union européenne / États-Unis selon la configuration du Client
DigitalOcean Hébergement de l'infrastructure Union européenne (Francfort)
WorkOS Authentification / SSO États-Unis
Apollo, Hunter, BrightData, INSEE / Pappers Enrichissement de données B2B Union européenne / hors UE selon le fournisseur

La liste de référence, tenue à jour, figure sur la page « Liste des sous-traitants ». Pour les sous-traitants établis ou traitant des données hors de l'Union européenne, les transferts sont encadrés par les clauses contractuelles types (CCT) et des garanties appropriées.