Accord de Traitement de Données (DPA)
Data Processing Agreement — Article 28 RGPD
Version 1.0 — En vigueur à compter du 6 mai 2026
Entre
Stodeo SASU (ci-après le « Sous-Traitant »), exploitant le Service Voaxys, dont les coordonnées sont indiquées dans les Mentions légales du Site voaxys.com,
et
Le Client ayant souscrit au Service Voaxys (ci-après le « Responsable de Traitement »),
(ensemble ci-après les « Parties »).
Préambule
Le présent Accord vient compléter les Conditions Générales de Vente et d'Utilisation conclues entre les Parties (« le Contrat principal ») et a pour objet de définir les conditions dans lesquelles le Sous-Traitant traite, pour le compte du Responsable de Traitement, des données à caractère personnel, en application de l'article 28 du Règlement (UE) 2016/679 (RGPD).
En cas de contradiction entre le présent Accord et le Contrat principal s'agissant du traitement des données personnelles, le présent Accord prévaut.
Article 1 — Définitions
Les termes utilisés dans le présent Accord ont la signification que leur donne le RGPD. Notamment :
- Données : données à caractère personnel traitées par le Sous-Traitant pour le compte du Responsable de Traitement dans le cadre de la fourniture du Service ;
- Personnes concernées : personnes physiques auxquelles se rapportent les Données ;
- Sous-Traitant ultérieur ou Sous-Processeur : tout tiers auquel le Sous-Traitant fait appel pour exécuter, en tout ou partie, des activités de traitement pour le compte du Responsable de Traitement ;
- Violation de Données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données ou l'accès non autorisé à de telles Données.
Article 2 — Description du traitement
2.1 Nature et finalité du traitement
Le Sous-Traitant traite les Données aux seules fins de fournir le Service Voaxys au Responsable de Traitement, conformément au Contrat principal et aux instructions documentées du Responsable de Traitement.
2.2 Type de Données traitées
| Catégorie | Exemples |
|---|---|
| Identité | Noms, prénoms, numéros de téléphone des Appelants |
| Communications | Audio des appels, transcriptions, SMS, métadonnées (durée, horodatage, numéro) |
| Données techniques | Identifiants de session, IP, journaux d'événements |
| Contenu fourni par le Responsable | Prompts, scripts, base de connaissances, configurations |
| Toute autre Donnée que le Responsable choisit d'inclure dans son cas d'usage | Selon configuration |
2.3 Catégories de Personnes concernées
- les Appelants (entrants ou sortants) interagissant avec les Agents IA ;
- les utilisateurs des intégrations configurées par le Responsable ;
- les contacts identifiés dans les bases de connaissances du Responsable ;
- toute autre catégorie désignée par le Responsable dans le cadre de son usage.
2.4 Catégories particulières de Données (art. 9 RGPD)
Sauf accord exprès et écrit préalable, le Service n'est pas destiné au traitement de données sensibles. Si le Responsable choisit néanmoins de traiter de telles Données, il en assume seul la responsabilité et doit en informer préalablement le Sous-Traitant.
Conformément à l'article 28(3)(h) RGPD, si le Sous-Traitant détecte que des données manifestement sensibles sont traitées sans accord préalable ou en violation du droit applicable, il en informe sans délai le Responsable et peut suspendre le traitement concerné jusqu'à régularisation.
2.5 Durée du traitement
La durée du traitement correspond à la durée du Contrat principal, augmentée du délai de réversibilité de 30 jours prévu après résiliation, et sous réserve des obligations légales de conservation pesant sur le Sous-Traitant.
Article 3 — Obligations du Sous-Traitant
Le Sous-Traitant s'engage à :
3.1 Respect des instructions
Traiter les Données uniquement sur instructions documentées du Responsable de Traitement, y compris en ce qui concerne les transferts hors UE, sauf obligation légale impérative — auquel cas le Sous-Traitant en informe le Responsable préalablement, sauf si le droit applicable interdit cette information pour des motifs importants d'intérêt public.
3.2 Confidentialité
Veiller à ce que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
3.3 Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'Annexe 1, conformément à l'article 32 RGPD.
3.4 Sous-Traitance ultérieure
Recourir à des Sous-Processeurs uniquement dans les conditions définies à l'article 5.
3.5 Assistance au Responsable de Traitement
Compte tenu de la nature du traitement, assister le Responsable de Traitement par des mesures techniques et organisationnelles appropriées :
- pour répondre aux demandes d'exercice de droits des Personnes concernées ;
- pour assurer la sécurité, la notification des violations, la réalisation d'analyses d'impact (AIPD) et les consultations préalables à l'autorité de contrôle.
3.6 Restitution ou destruction
Au terme du traitement, restituer ou détruire les Données conformément à l'article 9.
3.7 Audit
Mettre à la disposition du Responsable de Traitement les informations nécessaires pour démontrer le respect du présent Accord et permettre des audits dans les conditions de l'article 7.
3.8 Information et alerte
Informer immédiatement le Responsable de Traitement si une instruction lui paraît constituer une violation du RGPD ou d'autres dispositions du droit de l'UE ou des États membres relatives à la protection des données.
3.9 Tenue d'un registre
Tenir un registre des activités de traitement effectuées pour le compte du Responsable de Traitement conformément à l'article 30(2) RGPD.
3.10 Référent protection des données
Le Sous-Traitant n'a pas désigné de Délégué à la Protection des Données (DPO) au sens de l'article 37 RGPD. Un référent protection des données joignable à privacy@voaxys.fr est en charge des demandes du Responsable de Traitement et des personnes concernées au titre du présent Accord.
3.11 Engagement de non-utilisation pour entraînement IA
Le Sous-Traitant s'engage à ce qu'aucune Donnée traitée pour le compte du Responsable (audio, transcriptions, prompts, configurations, métadonnées) ne soit utilisée par lui-même ou par ses Sous-Processeurs pour l'entraînement, l'amélioration ou le fine-tuning de modèles d'intelligence artificielle, sauf accord écrit exprès du Responsable. Le Sous-Traitant contractualise auprès de chaque Sous-Processeur les options « Zero Data Retention » ou équivalentes lorsque celles-ci sont disponibles, et documente les cas où elles ne le sont pas.
3.12 Multi-tenant
Le Sous-Traitant garantit une séparation logique stricte des Données entre les différents Responsables de Traitement, mise en œuvre par un mécanisme de cloisonnement multi-tenant documenté dans l'Annexe 1.
3.13 Instructions documentées du Responsable
Les instructions documentées du Responsable de Traitement consistent en : (i) ses configurations du Service via le tableau de bord et l'API (paramètres de conservation, activation de l'enregistrement, choix des modèles, choix des Sous-Processeurs lorsque proposés au choix, etc.) ; (ii) les présentes stipulations et le Contrat principal ; (iii) toute instruction écrite complémentaire transmise par e-mail au référent protection des données du Sous-Traitant.
Article 4 — Obligations du Responsable de Traitement
Le Responsable de Traitement s'engage à :
- traiter les Données dans le respect du RGPD et des dispositions nationales applicables ;
- documenter ses propres bases légales et les communiquer aux Personnes concernées ;
- recueillir les consentements requis (notamment pour l'enregistrement des conversations) ;
- informer chaque Appelant qu'il interagit avec un système d'intelligence artificielle, conformément à l'article 50 du Règlement (UE) 2024/1689 (AI Act) ;
- s'abstenir d'injecter dans le Service des Données dont la sensibilité ou le volume excéderaient ce pour quoi le Service est conçu ;
- documenter ses instructions au Sous-Traitant via les configurations du Service et, si nécessaire, par notifications écrites complémentaires ;
- réaliser, lorsque requis, l'analyse d'impact relative à la protection des données (AIPD).
Article 5 — Sous-Processeurs
5.1 Autorisation générale
Le Responsable de Traitement autorise par les présentes le Sous-Traitant à recourir aux Sous-Processeurs listés à l'Annexe 2, dans les conditions du présent Accord.
5.2 Information sur les changements
Le Sous-Traitant publie la liste de ses Sous-Processeurs à : https://voaxys.com/legal/subprocessors.
Tout ajout ou remplacement de Sous-Processeur fera l'objet d'une notification au Responsable de Traitement, par e-mail ou notification dans le Compte, avec un préavis minimal de trente (30) jours avant la prise d'effet.
5.3 Droit d'opposition
Le Responsable de Traitement dispose d'un délai de trente (30) jours à compter de la notification pour s'opposer, par écrit motivé, au recours à un nouveau Sous-Processeur.
En cas d'opposition justifiée non résolue par voie de discussion entre les Parties dans un délai raisonnable, le Responsable de Traitement pourra résilier la fonctionnalité concernée ou le Contrat principal sans frais ni pénalité, à l'exclusion des sommes dues pour la période écoulée.
5.4 Engagements imposés aux Sous-Processeurs
Le Sous-Traitant impose contractuellement à chaque Sous-Processeur les mêmes obligations en matière de protection des Données que celles prévues au présent Accord, conformément à l'article 28(4) RGPD. Le Sous-Traitant demeure pleinement responsable vis-à-vis du Responsable de Traitement de l'exécution des obligations par chaque Sous-Processeur.
Article 6 — Transferts hors UE/EEE
6.1 Cadre
Lorsque la fourniture du Service implique un transfert de Données vers un pays situé hors de l'Espace économique européen, le Sous-Traitant met en œuvre les garanties appropriées prévues au chapitre V du RGPD, et notamment :
- les Clauses Contractuelles Types adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914 du 4 juin 2021), modules 2 (responsable → sous-traitant) ou 3 (sous-traitant → sous-traitant ultérieur) selon la relation ;
- le EU-US Data Privacy Framework (DPF) lorsque l'importateur y est certifié ;
- des mesures supplémentaires techniques (chiffrement en transit et au repos, pseudonymisation) et organisationnelles, lorsque l'évaluation du transfert le requiert.
En cas d'invalidation, suspension ou non-renouvellement du DPF, les transferts concernés se poursuivent sur le seul fondement des CCT, conclues à titre subsidiaire avec chaque Sous-Processeur américain.
6.2 Documentation et TIA
Le Sous-Traitant réalise et tient à jour une analyse d'impact des transferts (TIA — Transfer Impact Assessment) pour chaque Sous-Processeur situé hors UE/EEE. Sur demande motivée, il communique au Responsable de Traitement les copies pertinentes des CCT et un résumé du TIA correspondant.
6.3 Demandes d'accès gouvernementales
Si le Sous-Traitant ou l'un de ses Sous-Processeurs reçoit une demande contraignante d'accès aux Données émanant d'une autorité publique (notamment au titre du US CLOUD Act ou de réquisitions judiciaires), il s'engage, dans la mesure permise par le droit applicable :
- à informer sans délai le Responsable de Traitement ;
- à contester les demandes manifestement disproportionnées ou non fondées en droit ;
- à ne communiquer que le strict minimum requis ;
- à documenter chaque demande à des fins d'audit.
Article 7 — Audit
7.1 Documentation
Le Sous-Traitant met à disposition les informations suivantes :
- politique de sécurité ;
- liste actualisée des Sous-Processeurs ;
- attestations et certifications éventuelles (ISO 27001, SOC 2, PASSI, etc., lorsque applicables) ;
- rapports de tests de sécurité agrégés ;
- registre des traitements (extraits non confidentiels).
7.2 Audits
Le Responsable de Traitement peut, sous réserve d'un préavis raisonnable d'au moins trente (30) jours, et au maximum une (1) fois par an, faire procéder à un audit des mesures mises en œuvre par le Sous-Traitant, soit par lui-même, soit par un tiers indépendant soumis à un engagement de confidentialité, et n'étant pas un concurrent direct du Sous-Traitant.
Par exception, un audit complémentaire peut être déclenché dans les trente (30) jours suivant la notification d'une Violation de Données au titre de l'article 8, ou en cas d'obligation réglementaire spécifique du Responsable (ex. contrôle d'autorité sectorielle).
L'audit peut porter sur : les politiques de sécurité, les registres de traitement, les logs d'accès, les certifications et les rapports de tests. Il ne peut pas porter sur le code source du Sous-Traitant, ses modèles d'IA propriétaires ni sur les données d'autres Responsables de Traitement.
En lieu et place d'un audit sur site, le Sous-Traitant peut fournir des certifications (ISO 27001, SOC 2 Type II, HDS, le cas échéant) et des rapports de tests d'intrusion récents réalisés par un tiers indépendant, sous réserve d'accord du Responsable.
L'audit s'effectue pendant les heures ouvrables, de manière à ne pas perturber l'exploitation. Les frais sont à la charge du Responsable de Traitement, sauf si l'audit révèle un manquement substantiel imputable au Sous-Traitant.
Article 8 — Violation de Données
8.1 Notification au Responsable
En cas de Violation de Données dont il a connaissance, le Sous-Traitant en informe le Responsable de Traitement sans délai indu et en tout état de cause dans un délai maximal de quarante-huit (48) heures après en avoir pris connaissance, par e-mail à l'adresse renseignée dans le Compte et par alerte in-app dans le tableau de bord.
Une première notification, même incomplète, est envoyée au plus tôt et complétée par des mises à jour au fur et à mesure de l'investigation. Le Responsable de Traitement maintient son adresse de notification à jour dans son Compte ; à défaut, la notification envoyée à la dernière adresse connue est réputée valablement reçue.
8.2 Contenu de la notification
La notification contient, dans la mesure des informations disponibles :
- la nature de la Violation ;
- les catégories et le nombre approximatif de Personnes et d'enregistrements concernés ;
- les conséquences probables ;
- les mesures prises ou envisagées pour y remédier et limiter les conséquences ;
- les coordonnées du référent protection des données ou du point de contact.
8.3 Coopération
Le Sous-Traitant assiste le Responsable de Traitement dans la documentation de l'incident et, le cas échéant, dans les notifications à l'autorité de contrôle (CNIL) et aux Personnes concernées (articles 33 et 34 RGPD).
Article 9 — Restitution et suppression
À la fin du Contrat principal, et au choix du Responsable de Traitement exprimé pendant la période de réversibilité de trente (30) jours :
- Restitution : le Responsable peut exporter ses Données via les fonctionnalités du Service ou solliciter une exportation assistée ;
- Suppression : à défaut d'instruction contraire, les Données sont supprimées de manière irréversible à l'expiration du délai de réversibilité, à l'exception : (i) des Données dont la conservation est imposée par le droit applicable (notamment obligations comptables et fiscales — 10 ans pour les seules données de facturation, et non pour les données de contenu) ; (ii) des copies présentes dans les sauvegardes, qui sont purgées selon le cycle de rotation des sauvegardes, dans un délai maximal de quatre-vingt-dix (90) jours suivant la fin du délai de réversibilité. Pendant ce délai, les sauvegardes ne sont pas accessibles, sauf pour restauration d'urgence.
Sur demande, le Sous-Traitant fournit une attestation écrite de suppression dans les trente (30) jours, couvrant le périmètre du Sous-Traitant et, sur demande expresse, des Sous-Processeurs concernés.
Article 10 — Responsabilité
10.1 Régime de responsabilité
Chaque Partie est responsable des dommages résultant d'un manquement à ses obligations au titre du présent Accord et du RGPD.
Lorsque plusieurs Parties sont impliquées dans un même traitement et sont responsables d'un dommage causé par ce traitement, leur responsabilité est régie par l'article 82 RGPD.
10.2 Plafond
Le plafond de responsabilité prévu au Contrat principal s'applique à toute réclamation découlant du présent Accord, sans préjudice des dispositions impératives du RGPD et des droits des Personnes concernées.
Article 10 bis — Changement de contrôle du Sous-Traitant
En cas de fusion, acquisition, cession d'actifs ou changement de contrôle affectant le Sous-Traitant, les obligations du présent Accord sont opposables au successeur. Le Sous-Traitant informe le Responsable de Traitement du changement de contrôle dans un délai de trente (30) jours. Si le successeur refuse de reprendre les obligations du présent Accord, le Responsable de Traitement peut résilier le Contrat principal sans frais.
Article 11 — Durée et résiliation
Le présent Accord prend effet à la date de souscription au Service et demeure en vigueur tant que le Sous-Traitant traite des Données pour le compte du Responsable de Traitement.
La résiliation du Contrat principal entraîne la résiliation du présent Accord, les obligations relatives à la confidentialité, à la restitution et à la suppression survivant à la résiliation.
Article 12 — Modifications
Le présent Accord peut être modifié pour refléter les évolutions réglementaires ou des Sous-Processeurs. Toute modification substantielle sera notifiée au Responsable de Traitement avec un préavis raisonnable.
Article 13 — Droit applicable et juridiction
Le présent Accord est régi par le droit français. Les litiges sont soumis aux juridictions désignées dans le Contrat principal.
Annexe 1 — Mesures techniques et organisationnelles (art. 32 RGPD)
Sécurité physique et environnementale
- Hébergement dans des centres de données certifiés (Hetzner — UE) avec contrôle d'accès, vidéosurveillance, alimentation redondante.
Sécurité réseau
- Chiffrement TLS 1.2 minimum (TLS 1.3 par défaut) pour toutes les communications externes ;
- Réseau privé via Tailscale / vSwitch pour les communications internes ;
- Pare-feu, segmentation réseau, contrôle des flux ;
- Protection contre les attaques DDoS au niveau de l'opérateur.
Sécurité applicative
- Authentification forte pour les administrateurs ;
- Authentification multi-facteurs disponible pour les Clients ;
- Gestion des secrets via KMS (Infisical) avec chiffrement par enveloppe ;
- Cloisonnement multi-tenant strict des données ;
- Revues de code, analyses statiques de sécurité (Semgrep) ;
- Mises à jour régulières et veille CVE.
Chiffrement
- Chiffrement des Données au repos pour les éléments sensibles (credentials, secrets clients) ;
- Chiffrement des sauvegardes ;
- Gestion des clés via KMS, rotation régulière.
Contrôle d'accès
- Principe du moindre privilège ;
- Authentification SSO interne ;
- Journalisation des accès administrateurs ;
- Revues d'accès périodiques.
Continuité
- Sauvegardes régulières avec tests de restauration ;
- Architecture redondante (cluster K3s, Ceph) ;
- Plan de reprise documenté.
Gouvernance
- Référent protection des données désigné ;
- Registre des traitements ;
- Procédure de gestion des incidents ;
- Sensibilisation des collaborateurs ;
- Engagement de confidentialité signé par toute personne accédant aux Données.
Annexe 2 — Liste des Sous-Processeurs
Liste à jour disponible à :
https://voaxys.com/legal/subprocessors
| Sous-Processeur | Service | Localisation | Cadre transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement infrastructure | Allemagne / Finlande | UE |
| Supabase Inc. | Base de données managée | UE (région à confirmer) | UE / CCT |
| Twilio Inc. | Téléphonie, SMS | UE / États-Unis | DPF + CCT |
| Deepgram Inc. | Transcription vocale (STT) | États-Unis | DPF + CCT |
| Groq Inc. | Inférence LLM | États-Unis | CCT |
| ElevenLabs Inc. | Synthèse vocale (TTS) | États-Unis | DPF + CCT |
| LiveKit Inc. | Infrastructure WebRTC | Selon configuration | CCT |
| Stancer / Lyra Network | Encaissement et paiement | UE | UE — pas de transfert |
| Pennylane | Facturation et comptabilité | France (UE) | UE — pas de transfert |
Modèles tiers en mode BYOK (Bring Your Own Key)
Sur les plans qui le permettent, le Responsable de Traitement peut connecter au Service ses propres clés API auprès d'éditeurs d'IA tiers (notamment Anthropic, OpenAI, Google Gemini, Cartesia, Gladia, Speechmatics).
Lorsqu'un modèle BYOK est activé, l'éditeur tiers concerné agit en qualité de sous-processeur ultérieur du Responsable de Traitement (et non du Sous-Traitant) au sens de l'article 28(2) et 28(4) RGPD. Le Responsable de Traitement est seul responsable :
- de l'acceptation des conditions et du DPA de l'éditeur tiers ;
- de l'évaluation des transferts hors UE/EEE associés ;
- de l'activation des options de protection (« Zero Data Retention », limitation d'entraînement, etc.) lorsqu'elles sont disponibles ;
- de la conformité du choix de l'éditeur à l'AI Act et au RGPD.
Le Sous-Traitant agit comme simple relais technique des requêtes BYOK, sans contractualisation directe avec l'éditeur tiers pour le compte du Responsable de Traitement, et n'engage à ce titre aucune responsabilité quant au comportement, à la disponibilité ou à la conformité de l'éditeur BYOK retenu.