Dernière mise à jour : 3 juillet 2026
Accord de traitement des données (DPA)
Le présent Accord de traitement des données (« DPA ») encadre le traitement des données à caractère personnel effectué par SymbiozAI SASU (SIREN 103 609 244, siège social à Lyon 69003), en qualité de sous-traitant, pour le compte de ses clients, en qualité de responsables de traitement. Il fait partie intégrante des Conditions Générales d'Utilisation et s'applique dès la souscription au Service.
1. Définitions
Les termes Responsable de traitement, Sous-traitant, Sous-traitant ultérieur, Personne concernée, Données à caractère personnel et Violation de données ont le sens que leur donne le RGPD (Règlement UE 2016/679). « Données Client » désigne les données personnelles traitées par SymbiozAI pour le compte du Client via le Service.
2. Objet, durée, nature et finalité du traitement
- Objet : la fourniture du Service (CRM AI-native) impliquant le traitement de Données Client.
- Durée : la durée de l'abonnement, augmentée de la période de réversibilité et de suppression (§9).
- Nature des opérations : collecte (ingestion des échanges), enregistrement, structuration, analyse (dont analyse par intelligence artificielle), consultation, mise à disposition, suppression.
- Finalités : suivi et avancement des opportunités commerciales du Client, qualification, aide à la relance, hygiène des données.
- Catégories de personnes : contacts professionnels du Client (prospects, clients, interlocuteurs), y compris des tiers en copie d'emails.
- Catégories de données : identité professionnelle, coordonnées (email, numéro, profil LinkedIn), contenu des échanges (voir périmètres différenciés en Annexe A), métadonnées de message, données d'enrichissement B2B.
3. Instructions du responsable de traitement
SymbiozAI traite les Données Client uniquement sur instruction documentée du Client (les présentes ainsi que l'usage du Service valent instructions). SymbiozAI informe le Client si une instruction lui paraît contraire au RGPD.
4. Obligations de SymbiozAI comme sous-traitant
SymbiozAI : (a) garantit la confidentialité (personnel habilité, engagement de confidentialité) ; (b) met en œuvre les mesures de sécurité appropriées (art. 32, voir §7) ; (c) respecte les conditions de recours aux sous-traitants ultérieurs (§5) ; (d) assiste le Client pour les demandes des personnes (§6) et pour ses obligations (art. 32 à 36) ; (e) notifie toute violation de données (§8) ; (f) au choix du Client, supprime ou restitue les données en fin de contrat (§9) ; (g) met à disposition les informations nécessaires pour démontrer sa conformité et se soumet à des audits (§10).
5. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants ultérieurs listés sur notre page publique dédiée. SymbiozAI impose à chacun un contrat écrit comportant des obligations substantiellement équivalentes et non moins protectrices que les présentes, et reste responsable de leur exécution.
Modalités de transparence : (a) une liste publique des sous-traitants tenue à jour ; (b) une notification préalable d'au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant ; (c) un droit d'opposition du Client dans les 30 jours pour motif légitime tenant à la protection des données.
Un aperçu des sous-traitants figure en Annexe B ; la liste de référence, tenue à jour, est publiée sur la page « Liste des sous-traitants ».
6. Assistance aux demandes des personnes concernées
SymbiozAI assiste le Client pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, opposition, limitation). Les personnes concernées exercent leurs droits auprès du Client (responsable de traitement) ; si elles s'adressent à SymbiozAI, celui-ci transmet la demande au Client. Les moyens mis à disposition du Client à cet effet sont précisés lors de la souscription.
7. Mesures techniques et organisationnelles (art. 32)
SymbiozAI met en œuvre les mesures suivantes :
- Isolation multi-tenant : cloisonnement des données par client, appuyé sur un mécanisme d'isolation au niveau de la base de données (Row-Level Security PostgreSQL) côté CRM.
- Chiffrement : chiffrement des jetons d'accès (OAuth) et chiffrement en transit (TLS).
- Authentification des flux entrants : authentification des webhooks avec comparaison en temps constant et rejet des requêtes non authentifiées.
- Supervision humaine : tout message sortant est proposé, jamais envoyé sans validation humaine.
- Journal d'audit : traçabilité des actions (utilisateur, action, entité), avec propriétés d'inaltérabilité côté CRM.
- Minimisation : extrait de 200 caractères au plus transmis à l'intelligence artificielle ; suppression logique des données.
- Pas d'entraînement : aucun modèle n'est entraîné sur les Données Client, ni par SymbiozAI ni par le fournisseur d'intelligence artificielle.
8. Notification de violation de données
SymbiozAI notifie le Client sans délai injustifié et au plus tard 48 heures après avoir eu connaissance d'une violation affectant les Données Client. La notification comporte : la nature de la violation, les catégories et volumes approximatifs de données et de personnes concernées, les conséquences probables, les mesures prises ou proposées, et un point de contact dédié chez SymbiozAI. SymbiozAI assiste le Client (responsable) pour lui permettre de respecter son propre délai de 72 heures vis-à-vis de l'autorité de contrôle (art. 33) et, le cas échéant, l'information des personnes (art. 34).
9. Sort des données en fin de contrat
À la fin des prestations, au choix du Client : restitution (export) puis suppression ou anonymisation des Données Client (et de leurs copies), sauf obligation légale de conservation. La suppression intervient dans un délai de 60 jours suivant la fin du contrat. Les durées applicables pendant la relation sont précisées dans la politique de conservation.
10. Audit et démonstration de conformité
SymbiozAI met à disposition la documentation raisonnable démontrant sa conformité. Modalités d'audit : (a) préavis raisonnable de 30 jours ; (b) fréquence limitée (au plus une fois par an, sauf incident avéré ou demande d'une autorité) ; (c) pendant les heures ouvrées, sans perturber le Service ; (d) périmètre limité au traitement des Données Client du Client concerné, sans jamais donner accès aux données ou environnements d'autres clients ; (e) recours possible à un auditeur tiers soumis à confidentialité ; (f) coûts de l'audit à la charge du Client, sauf non-conformité substantielle révélée. En priorité, SymbiozAI répond par la documentation (rapports, questionnaires de sécurité) avant tout audit sur site.
11. Volet responsable à responsable (enrichissement et intelligence artificielle)
Par défaut, SymbiozAI agit en sous-traitant (art. 28 RGPD) pour l'ingestion, le stockage, le CRM et l'attribution des messages par intelligence artificielle. Pour l'enrichissement de données (Apollo, Hunter, BrightData, INSEE/Pappers) et pour certains traitements par intelligence artificielle, la qualification peut relever d'une relation de responsable à responsable ou d'une responsabilité conjointe, SymbiozAI déterminant alors tout ou partie des moyens et finalités. Le cas échéant, un accord de répartition au titre de l'art. 26 RGPD est établi et chaque partie répond de ses propres obligations (base légale, information, droits) pour la part où elle agit en responsable.
12. Transferts internationaux
Pour tout transfert hors de l'Union européenne / de l'EEE (notamment vers Anthropic, aux États-Unis), SymbiozAI met en place les clauses contractuelles types (CCT) de la Commission européenne et les garanties complémentaires prévues au chapitre V du RGPD. La localisation de chaque sous-traitant figure sur la page « Liste des sous-traitants ».
Annexe A — Périmètres de données par canal d'ingestion
| Canal | Contenu stocké | Expéditeur non enregistré | Transmis à l'intelligence artificielle |
|---|---|---|---|
| aperçu de 200 caractères | non stocké | extrait de 200 caractères au plus | |
| aperçu de 200 caractères (+ nom, URL de profil) | non stocké | extrait de 200 caractères au plus | |
| Gmail | corps du message (jusqu'à 5 000 caractères) + copie de suivi (jusqu'à 10 000 caractères) + en-têtes + destinataires en copie | fiche de contact créée automatiquement | extrait de 200 caractères au plus |
Annexe B — Aperçu des sous-traitants ultérieurs
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Unipile | Pont d'intégration messagerie (WhatsApp, LinkedIn) | Union européenne (France) |
| Anthropic | Modèles de langage (Claude) : attribution et rédaction de propositions | États-Unis |
| Accès Gmail / Calendar du compte du Client (OAuth) | Union européenne / États-Unis selon la configuration du Client | |
| DigitalOcean | Hébergement de l'infrastructure | Union européenne (Francfort) |
| WorkOS | Authentification / SSO | États-Unis |
| Apollo, Hunter, BrightData, INSEE / Pappers | Enrichissement de données B2B | Union européenne / hors UE selon le fournisseur |
La liste de référence, tenue à jour, figure sur la page « Liste des sous-traitants ». Pour les sous-traitants établis ou traitant des données hors de l'Union européenne, les transferts sont encadrés par les clauses contractuelles types (CCT) et des garanties appropriées.