Accord de traitement des données

Date d'effet : 21 mai 2026 · Version 1.0

Le présent accord de traitement des données (« DPA ») fait partie intégrante de l'accord conclu entre Assistify et le client marchand qui l'accepte, pour la fourniture du service Assistify. Il est conclu au titre de l'article 28 du règlement (UE) 2016/679 (le « RGPD ») et doit être accepté avant que le Marchand ne mette le service Assistify en production.

1. Parties

Sous-traitant : NATIV STUDIO OÜ (« Assistify »), société immatriculée sous le numéro 17290338, dont le siège social est situé Järvevana tee 9, Kesklinna linnaosa, 11314 Tallinn, Estonie.

Responsable du traitement : le client marchand (le « Marchand ») qui accepte le présent DPA via son compte Assistify.

Assistify et le Marchand sont chacun une « Partie » et ensemble les « Parties ».

Date d'effet : la date à laquelle le Marchand accepte le présent DPA, telle qu'enregistrée par Assistify.

2. Contexte et rôles

2.1 Assistify fournit Assistify, un produit logiciel-service (SaaS) destiné aux entreprises. Assistify est un widget de chat de support client intégrable propulsé par l'IA. L'agent IA intégré au produit s'appelle « Aiva ».

2.2 Pour les données personnelles des visiteurs de site traitées via le widget de chat, le Marchand est le responsable du traitement et Assistify est le sous-traitant. Le présent DPA régit Assistify agissant en tant que sous-traitant pour le Marchand.

2.3 Les visiteurs de site qui interagissent avec le widget de chat sont les personnes concernées au sens du présent DPA.

2.4 Assistify est un responsable du traitement distinct et indépendant pour les données personnelles relatives au compte et à la facturation du Marchand lui-même. Ce traitement n'est pas couvert par le présent DPA et est décrit dans l'avis de confidentialité d'Assistify.

3. Définitions

3.1 « Données personnelles », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données à caractère personnel » et « autorité de contrôle » ont le sens qui leur est donné dans le RGPD.

3.2 « Données des visiteurs » désigne les données personnelles relatives aux visiteurs de site qu'Assistify traite pour le compte du Marchand via le widget de chat.

3.3 « Sous-traitant ultérieur » désigne tout tiers engagé par Assistify pour traiter les données des visiteurs pour le compte du Marchand.

3.4 « Conditions principales » désigne le contrat-cadre de services, les conditions d'abonnement ou les conditions d'utilisation conclus entre les Parties pour le service Assistify.

3.5 « Clauses contractuelles types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne dans la décision (UE) 2021/914.

3.6 « EEE » désigne l'Espace économique européen.

3.7 Lorsque le Responsable du traitement est établi au Royaume-Uni, les références au RGPD dans le présent DPA incluent le RGPD britannique mutatis mutandis, et l'Information Commissioner's Office (ICO) est l'autorité de contrôle compétente.

4. Objet et durée du traitement

4.1 L'objet du traitement est la fourniture du service de widget de chat Assistify au Marchand, y compris le fonctionnement de l'agent IA Aiva.

4.2 Le présent DPA prend effet à la date d'effet indiquée à la clause 1 et reste en vigueur tant qu'Assistify traite des données des visiteurs pour le compte du Marchand au titre des conditions principales. Les obligations de suppression ou de restitution des données prévues à la clause 11 survivent à la fin des conditions principales.

4.3 Les détails complets du traitement figurent à l'Annexe 1.

5. Nature et finalité du traitement

5.1 Assistify traite les données des visiteurs dans le seul but de fournir et d'exploiter le service de widget de chat pour le Marchand. Cela comprend la réception et le stockage des messages de chat, la génération de réponses assistées par IA via Aiva, le stockage des fichiers que les visiteurs téléversent pendant une conversation, et la mise à disposition de l'historique des conversations au Marchand.

5.2 Assistify n'utilise pas les données des visiteurs à ses propres fins. Les grands modèles de langage qui propulsent Aiva n'entraînent pas leurs modèles sur les données des visiteurs.

6. Types de données personnelles et catégories de personnes concernées

6.1 Les types de données personnelles et les catégories de personnes concernées figurent à l'Annexe 1.

6.2 Le Marchand ne doit pas utiliser le widget de chat pour collecter des catégories particulières de données personnelles au sens de l'article 9 du RGPD, et doit prendre des mesures raisonnables pour dissuader les visiteurs de soumettre de telles données via le chat.

7. Obligations et instructions du responsable du traitement

7.1 Le Marchand garantit qu'il dispose d'une base légale valable pour le traitement des données des visiteurs et qu'il a fourni toutes les informations et obtenu tous les consentements requis pour qu'Assistify traite les données des visiteurs comme décrit dans le présent DPA.

7.2 Le Marchand est responsable de la licéité de ses instructions à Assistify.

7.3 Les instructions documentées du Marchand à Assistify se composent du présent DPA, des conditions principales et des choix de configuration que le Marchand effectue au sein du produit Assistify. Toute instruction supplémentaire doit être donnée par écrit et acceptée par les deux Parties.

7.4 Le Marchand doit répondre aux demandes des personnes concernées, des autorités de contrôle et des autres tiers relatives aux données des visiteurs, avec l'assistance d'Assistify décrite à la clause 8.

7.5 Le Marchand garantit que le service sur lequel il intègre le widget de chat n'est pas destiné aux enfants, ou, lorsqu'il l'est, que le Marchand obtient le consentement parental ou du tuteur lorsque la loi applicable l'exige. Le Marchand est responsable de la détermination de l'âge du consentement applicable aux services de la société de l'information dans chaque juridiction concernée (par exemple, le seuil est de 15 ans en France).

7.6 Transparence de l'IA. Aiva est un système d'IA qui interagit directement avec les visiteurs du site du Marchand. En tant que déployeur, le Marchand est responsable de veiller à ce que ses visiteurs soient informés qu'ils interagissent avec un système d'IA, comme l'exige la loi applicable, notamment l'article 50 du règlement (UE) 2024/1689 (le règlement européen sur l'IA). Assistify fournit les moyens d'y satisfaire : le widget affiche une indication persistante selon laquelle le visiteur discute avec un assistant IA pendant que l'IA gère la conversation. Le Marchand ne doit pas désactiver ni masquer cette information.

8. Obligations du sous-traitant

Assistify s'engage à ce qui suit.

8.1 Traitement sur instructions documentées. Assistify traite les données des visiteurs uniquement sur les instructions documentées du Marchand, y compris en ce qui concerne les transferts internationaux, sauf si le droit de l'UE ou d'un État membre auquel Assistify est soumis l'oblige à traiter. Dans ce cas, Assistify informe le Marchand de l'obligation légale avant le traitement, sauf si ce droit interdit une telle information pour des motifs importants d'intérêt public. Si Assistify estime qu'une instruction enfreint le RGPD ou une autre loi sur la protection des données, elle en informe le Marchand.

8.2 Confidentialité du personnel. Assistify veille à ce que les personnes autorisées à traiter les données des visiteurs soient soumises à une obligation appropriée de confidentialité et accèdent aux données des visiteurs sur la base du besoin d'en connaître.

8.3 Mesures de sécurité. Assistify met en œuvre les mesures techniques et organisationnelles énoncées à l'Annexe 2 pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

8.4 Sous-traitants ultérieurs. Assistify n'engage de sous-traitants ultérieurs que dans les conditions énoncées à la clause 9.

8.5 Assistance pour les demandes des personnes concernées. Compte tenu de la nature du traitement, Assistify aide le Marchand, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits au titre du chapitre III du RGPD.

8.6 Assistance pour les articles 32 à 36. Assistify aide le Marchand à garantir le respect de ses obligations au titre des articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose Assistify. Cela couvre la sécurité du traitement, la notification et la communication des violations de données à caractère personnel, les analyses d'impact relatives à la protection des données et la consultation préalable d'une autorité de contrôle.

8.7 Suppression ou restitution des données. À la fin de la fourniture des services, Assistify supprime ou restitue les données des visiteurs au Marchand conformément à la clause 11.

8.8 Démonstration de la conformité et audits. Assistify met à la disposition du Marchand toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et dans le présent DPA. Assistify autorise et contribue aux audits, y compris les inspections, réalisés par le Marchand ou un autre auditeur mandaté par le Marchand. Les audits doivent être demandés par écrit avec un préavis raisonnable, doivent avoir lieu pendant les heures ouvrables normales, ne doivent pas perturber de manière déraisonnable les activités d'Assistify, et doivent respecter la confidentialité et la sécurité des données des autres clients. Si Assistify détient à l'avenir un rapport d'audit indépendant ou une certification pertinents, elle peut les proposer dans le cadre de sa réponse à une demande d'audit ; cela ne remplace ni ne limite le droit d'audit du Marchand au titre de la présente clause.

9. Sous-traitants ultérieurs

9.1 Le Marchand donne à Assistify une autorisation écrite générale d'engager des sous-traitants ultérieurs pour traiter les données des visiteurs. Les sous-traitants ultérieurs approuvés à la date d'effet sont énumérés à l'Annexe 3 et dans la liste des sous-traitants ultérieurs qui y est référencée.

9.2 Lorsqu'Assistify engage un sous-traitant ultérieur, elle lui impose, par un contrat écrit, des obligations de protection des données non moins protectrices que celles du présent DPA, en particulier l'obligation de présenter des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées.

9.3 Assistify demeure pleinement responsable envers le Marchand de l'exécution des obligations de chaque sous-traitant ultérieur.

9.4 Assistify tient à jour une liste versionnée des sous-traitants ultérieurs. Avant qu'un sous-traitant ultérieur nouveau ou de remplacement ne commence à traiter des données des visiteurs, Assistify informe les administrateurs du Marchand par e-mail moyennant un préavis d'au moins 30 jours.

9.5 Le Marchand peut s'opposer à un sous-traitant ultérieur nouveau ou de remplacement pour des motifs raisonnables de protection des données en notifiant Assistify par écrit dans le délai de préavis de 30 jours. Les Parties s'efforceront de bonne foi de résoudre l'opposition. Si l'opposition ne peut être résolue, le Marchand peut résilier la partie concernée du service, ou les conditions principales, conformément aux conditions principales.

10. Transferts internationaux

10.1 L'ensemble des traitements de production réalisés par Assistify et la base de données PostgreSQL principale sont hébergés dans l'UE. Les fichiers de chat téléversés sont stockés sur l'infrastructure propre à Assistify située dans l'UE.

10.2 Certains sous-traitants ultérieurs sont situés hors de l'EEE. Lorsque des données des visiteurs sont transférées vers un pays hors de l'EEE, le transfert est effectué sur la base d'une décision d'adéquation, du cadre de protection des données UE-États-Unis lorsque le destinataire est certifié, ou des clauses contractuelles types assorties d'une analyse d'impact du transfert et de toute mesure supplémentaire que cette analyse identifie comme nécessaire.

10.3 Le mécanisme de transfert applicable à chaque sous-traitant ultérieur est indiqué dans la liste des sous-traitants ultérieurs référencée à l'Annexe 3. Les modalités relatives aux CCT sont traitées à l'Annexe 4.

11. Suppression ou restitution des données

11.1 Assistify applique un calendrier de conservation géré de façon centralisée et uniforme pour tous les marchands. Les données de chat des visiteurs sont conservées pendant 12 mois après la clôture d'une conversation. Les fichiers téléversés sont conservés pendant 90 jours. Les données sont ensuite supprimées automatiquement selon le calendrier.

11.2 À la résiliation ou à l'expiration des conditions principales, Assistify supprime ou restitue les données des visiteurs au choix du Marchand, et supprime les copies existantes, sauf si le droit de l'UE ou d'un État membre exige une conservation ultérieure des données.

11.3 Le Marchand doit communiquer son choix entre la suppression et la restitution dans les 30 jours suivant la fin des conditions principales. Si le Marchand ne communique pas de choix dans ce délai, Assistify supprime les données des visiteurs.

12. Notification des violations de données à caractère personnel

12.1 Assistify notifie le Marchand sans retard injustifié après avoir pris connaissance d'une violation de données à caractère personnel affectant les données des visiteurs, et en tout état de cause dans un délai suffisant pour que le Marchand puisse respecter sa propre obligation de notification de 72 heures en tant que responsable du traitement.

12.2 La notification comprend, dans la mesure où Assistify les connaît et en dispose, la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés, les conséquences probables, les mesures prises ou proposées en réponse, et un point de contact pour de plus amples informations. Assistify fournit au Marchand les informations dont celui-ci a besoin pour respecter ses propres obligations au titre des articles 33 et 34 du RGPD.

12.3 En tant que sous-traitant, Assistify ne notifie pas l'autorité de contrôle ni les personnes concernées pour le compte du Marchand, sauf si le Marchand lui en donne l'instruction par écrit.

13. Responsabilité et indemnisation

13.1 La responsabilité de chaque Partie au titre du présent DPA est soumise aux limitations et exclusions de responsabilité énoncées dans les conditions principales.

13.2 Chaque Partie n'est responsable des dommages causés par le traitement que lorsqu'elle n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou lorsqu'elle a agi en dehors des instructions licites du responsable du traitement ou contrairement à celles-ci, conformément à l'article 82 du RGPD.

13.3 Chaque Partie indemnisera l'autre des amendes, réclamations et coûts raisonnables qui résultent directement d'un manquement de cette Partie au présent DPA, sous réserve des dispositions de responsabilité des conditions principales.

14. Droit applicable et juridiction

14.1 Le présent DPA est régi par le droit français.

14.2 Les tribunaux de Paris ont compétence exclusive pour tout litige découlant du présent DPA ou s'y rapportant, sans préjudice des droits des personnes concernées et des autorités de contrôle au titre du RGPD.

15. Ordre de priorité

15.1 Le présent DPA fait partie intégrante des conditions principales et y est soumis.

15.2 En cas de conflit entre le présent DPA et les conditions principales sur une question de protection des données personnelles, le présent DPA prévaut. En cas de conflit entre le présent DPA et les clauses contractuelles types, les clauses contractuelles types prévalent. À tous autres égards, les conditions principales prévalent.

16. Acceptation

16.1 Le présent DPA est accepté par voie électronique. Lorsqu'un représentant autorisé du Marchand accepte les conditions d'utilisation d'Assistify lors de la création du compte, le Marchand accepte le présent DPA, qui est incorporé à ces conditions par référence.

16.2 Assistify enregistre chaque acceptation, y compris l'utilisateur qui accepte, la date et l'heure, et la version du présent DPA. Cet enregistrement constitue la preuve de l'accord du Marchand.

16.3 L'acceptation électronique au titre de la présente clause constitue un accord contraignant entre les Parties aux fins de l'article 28, paragraphe 3, du RGPD. Aucune signature manuscrite n'est requise.

16.4 Un Marchand qui exige un DPA négocié séparément ou contresigné peut contacter Assistify à [email protected].

Annexe 1 : Détails du traitement

Objet. Fourniture du widget de chat de support client intégrable propulsé par l'IA Assistify, y compris l'agent IA Aiva, au Marchand.

Durée. Pour la durée des conditions principales et jusqu'à ce que les données des visiteurs soient supprimées ou restituées conformément à la clause 11.

Nature et finalité. Réception, transmission et stockage des messages de chat entre les visiteurs de site et le Marchand ; génération de réponses assistées par IA via Aiva ; stockage des fichiers téléversés par les visiteurs pendant une conversation ; mise à disposition de l'historique des conversations au Marchand ; et application du calendrier de conservation et de suppression. La finalité est de permettre au Marchand de fournir un support client à ses visiteurs de site.

Types de données personnelles.

  • Les identifiants et coordonnées qu'un visiteur choisit de fournir (par exemple nom, adresse e-mail, références de commande ou de compte).
  • Le contenu des messages de chat échangés entre le visiteur et le Marchand ou Aiva.
  • Les fichiers téléversés par un visiteur pendant une conversation, susceptibles de contenir des données personnelles.
  • Les données techniques associées à une session de chat (par exemple un identifiant de session, l'adresse IP, des horodatages, des détails sur l'appareil et le navigateur, et une localisation approximative résolue au niveau de la ville, de la région et du pays ; aucune coordonnée précise par visiteur n'est stockée).

Catégories de personnes concernées. Les visiteurs de site qui interagissent avec le widget de chat intégré sur le site du Marchand, y compris les clients et clients potentiels du Marchand.

Catégories particulières de données. Non destinées à être traitées. Le Marchand ne doit pas utiliser le widget pour collecter des données de catégorie particulière et doit prendre des mesures raisonnables pour dissuader les visiteurs de les soumettre.

Annexe 2 : Mesures techniques et organisationnelles de sécurité

Assistify met en œuvre et maintient les mesures suivantes, conformément à l'article 32 du RGPD. Assistify peut faire évoluer ces mesures au fil du temps à condition que le niveau de protection ne soit pas réduit.

  • Chiffrement en transit. Les données personnelles sont chiffrées en transit à l'aide du protocole TLS.
  • Chiffrement au repos. Les données personnelles stockées par Assistify sont chiffrées au repos.
  • Contrôle d'accès basé sur les rôles. L'accès aux systèmes et aux données est régi par un contrôle d'accès basé sur les rôles.
  • Accès sur la base du besoin d'en connaître. Le personnel n'accède aux données des visiteurs que sur la base du besoin d'en connaître et est soumis à des obligations de confidentialité.
  • Journalisation d'audit. Les accès aux données personnelles et les actions sur celles-ci sont consignés dans des journaux d'audit.
  • Cloisonnement des données. Les données de chaque marchand sont logiquement isolées, et chaque accès aux données est limité au marchand propriétaire.
  • Suppression automatique programmée. Les données personnelles sont supprimées automatiquement selon un calendrier de conservation géré de façon centralisée (données de chat des visiteurs 12 mois après la clôture d'une conversation, fichiers téléversés 90 jours).
  • Hébergement dans l'UE. L'ensemble des traitements de production exploités par Assistify et la base de données PostgreSQL principale sont hébergés dans l'UE. Les fichiers de chat téléversés sont stockés sur l'infrastructure propre à Assistify située dans l'UE. Les sous-traitants ultérieurs de modèles de langage qui propulsent Aiva peuvent traiter des données hors de l'UE ; le mécanisme de transfert applicable à chacun est indiqué dans la liste des sous-traitants ultérieurs référencée à l'Annexe 3.

Annexe 3 : Sous-traitants ultérieurs approuvés

Les sous-traitants ultérieurs approuvés par le Marchand à la date d'effet sont les sous-traitants ultérieurs énumérés dans la liste des sous-traitants ultérieurs d'Assistify. Ce document consigne, pour chaque sous-traitant ultérieur, son nom, le service qu'il fournit, son lieu de traitement et le mécanisme de transfert applicable. Il est publié et versionné par Assistify et est incorporé au présent DPA par référence.

La version actuelle de la liste des sous-traitants ultérieurs est disponible à l'adresse https://assistify.chat/subprocessors.

Les sous-traitants ultérieurs nouveaux ou de remplacement sont ajoutés conformément au mécanisme de préavis et d'opposition prévu à la clause 9.

Annexe 4 : Clauses contractuelles types

La présente Annexe régit les clauses contractuelles types invoquées pour tout transfert de données des visiteurs vers un pays hors de l'EEE non couvert par une décision d'adéquation.

Quand les CCT s'appliquent. Lorsqu'un sous-traitant ultérieur est situé hors de l'EEE et que le transfert n'est pas couvert par une décision d'adéquation ou, pour les États-Unis, par le cadre de protection des données UE-États-Unis parce que le destinataire n'est pas certifié, le transfert est effectué sur la base des clauses contractuelles types adoptées dans la décision (UE) 2021/914, assorties d'une analyse d'impact du transfert et de toute mesure supplémentaire que cette analyse identifie comme nécessaire. Pour les sous-traitants ultérieurs de modèles de langage situés hors de l'EEE, les clauses contractuelles types assorties d'une analyse d'impact du transfert constituent le mécanisme en vigueur.

Module applicable.

  • Le module deux (responsable du traitement vers sous-traitant) s'applique au transfert du Marchand, en tant que responsable du traitement, vers Assistify, en tant que sous-traitant, lorsqu'Assistify est établi hors de l'EEE. Les traitements de production d'Assistify sont hébergés dans l'UE ; ce module ne devrait donc s'appliquer que dans des circonstances limitées.
  • Le module trois (sous-traitant vers sous-traitant) s'applique au transfert ultérieur d'Assistify, en tant que sous-traitant, vers un sous-traitant ultérieur qui agit en tant que sous-traitant supplémentaire et est situé hors de l'EEE.

Clauses complétées. Assistify tient à jour les clauses contractuelles types complétées pour chaque sous-traitant ultérieur concerné et les met à la disposition du Marchand sur demande. Une fois complétées et en vigueur, les clauses contractuelles types prévalent sur le présent DPA en cas de conflit, comme indiqué à la clause 15.