Accord de traitement des données (DPA)

Le présent accord de sous-traitance, au sens de l'article 28 du RGPD, est conclu entre Itineo (sous-traitant) et chaque organisation cliente (responsable de traitement). Il fait partie intégrante des conditions générales d'utilisation.

1. Parties

• Responsable de traitement : l'organisation cliente (« le Client »), telle qu'identifiée dans son compte Itineo.
• Sous-traitant : [entité légale à compléter], BCE [à compléter] (« Itineo »).

2. Objet et durée

Itineo traite des données personnelles pour le compte du Client dans le seul but de fournir le Service, pour la durée du contrat principal. Le Service couvre :

• les parcours d'onboarding et d'offboarding de clients finaux (étapes J+x, messages multi-canal, relances, vérifications) ;
• le CRM clients (fiches des clients finaux : coordonnées, notes, statut et preuve de consentement, historique de parcours) ;
• la signature électronique de documents (Documenso, auto-hébergé sur notre infrastructure) ;
• les questionnaires conversationnels et la collecte de leurs réponses.

3. Nature et finalité du traitement

Hébergement, collecte, structuration, envoi de messages sur les canaux connectés par le Client, signature électronique de documents, analyse assistée par IA et restitution, le tout exclusivement pour le compte et sur instruction du Client.

4. Catégories de personnes et de données

• Personnes : clients finaux et répondants sollicités par le Client.
• Identifiants et CRM : téléphone, email, handle, nom et société éventuels, canal, notes internes, statut/base/source/preuve de consentement, historique des parcours.
• Signature électronique : identité du signataire (nom, email), document à signer, piste d'audit (horodatages, événements de signature).
• Réponses et journaux : réponses aux questionnaires (texte, choix, médias, transcription vocale), indicateurs déduits (thèmes, intention, tonalité le cas échéant), journaux de messages et horodatages.

5. Obligations d'Itineo (art. 28.3)

• Traiter les données uniquement sur instruction documentée du Client.
• Garantir la confidentialité (personnel autorisé, engagement de confidentialité).
• Mettre en œuvre les mesures de sécurité de l'article 32 (cf. section 9).
• Respecter les conditions de recours aux sous-traitants ultérieurs (section 7).
• Aider le Client à répondre aux demandes d'exercice des droits (export et suppression de fiche intégrés au produit, mot-clé STOP honoré sur tous les canaux).
• Aider le Client pour les articles 32 à 36 (sécurité, violations, AIPD).
• Au terme du contrat, supprimer ou restituer les données et détruire les copies.
• Mettre à disposition les informations nécessaires aux audits.

6. Violations de données

Itineo notifie le Client sans retard injustifié après avoir eu connaissance d'une violation de données, avec les informations utiles (art. 33 RGPD).

7. Sous-traitants ultérieurs

Le Client autorise les sous-traitants listés sur la page Sous-traitants. La signature électronique repose sur Documenso auto-hébergé sur notre infrastructure UE (pas de sous-traitant SaaS supplémentaire). Itineo informe le Client de tout changement et impose à ces tiers des obligations équivalentes. Les transferts hors UE sont couverts par les Clauses Contractuelles Types.

8. Transferts internationaux

Les données applicatives et les documents à signer sont hébergés dans l'Union européenne. Certains services (exécution applicative, IA, paiement, emails transactionnels, suivi d'erreurs) impliquent des transferts vers les États-Unis, encadrés par les Clauses Contractuelles Types et, le cas échéant, le Data Privacy Framework.

9. Mesures de sécurité (art. 32)

Cloisonnement multi-tenant (Row-Level Security), chiffrement en transit, authentification par cookies sécurisés, contrôle d'accès par rôle, en-têtes de sécurité, protection contre les requêtes serveur falsifiées (SSRF), minimisation des données, purge automatique selon les durées de conservation et journalisation inviolable des accès sensibles (export, suppression, opposition).