Contrat de traitement des données (DPA)

Transparence et conformité juridique

Dernière mise à jour : 1er août 2025

1. Parties au contrat

  • Le Responsable du traitement : le client, personne morale ou physique utilisant les services de CaliaLabs.
  • Le Sous-traitant : CaliaLabs, agence exploitée par l'entreprise Dedale (SIREN 928 090 034), 765 chemin de l'écluse, 31290 Renneville, France. Contact : contact@calialabs.com

2. Objet du contrat

Ce contrat encadre les conditions dans lesquelles le sous-traitant traite des données personnelles, y compris des données sensibles (de santé), pour le compte du responsable de traitement, dans le cadre de la fourniture de services d'agents vocaux intelligents et de gestion de rendez-vous.

3. Nature et finalité du traitement

Finalités :

  • Réponse aux appels entrants et sortants
  • Gestion et prise de rendez-vous
  • Collecte d'informations vocales ou textuelles
  • Synchronisation avec des outils métier
  • Transmission de motifs de consultation

Types de données traitées :

  • Données d'identification : nom, prénom, téléphone, email
  • Données de rendez-vous : horaires, disponibilités
  • Données conversationnelles : transcriptions vocales, historique d'interactions
  • Données professionnelles : fonction, entreprise (si applicable)
  • Données de santé : motif médical (uniquement si applicable et avec consentement)

Catégories de personnes concernées :

  • Patients (secteur santé)
  • Clients et prospects
  • Utilisateurs finaux des services

4. Obligations du sous-traitant (CaliaLabs)

CaliaLabs s'engage à :

  • Ne traiter les données que sur instruction documentée du client
  • Garantir la confidentialité des données et former ses collaborateurs à cette obligation
  • Mettre en place des mesures de sécurité techniques et organisationnelles appropriées
  • Informer sans délai le client en cas de violation de données (sous 48h)
  • Aider le client à satisfaire ses obligations RGPD (accès, rectification, suppression…)
  • Ne pas sous-traiter sans autorisation écrite préalable du client
  • Supprimer ou restituer toutes les données à la fin de la prestation
  • Ne conserver aucune donnée de santé sur des infrastructures non conformes
  • Tenir un registre des activités de traitement

5. Hébergement et transfert de données

Important : Les données de santé sont hébergées exclusivement en France sur des serveurs certifiés HDS (Hébergeur de Données de Santé).
  • Infrastructure principale : OVH (certifié HDS) - France
  • Aucun transfert de données sensibles hors de l'Union Européenne
  • Les données non sensibles peuvent transiter via des prestataires respectant les clauses contractuelles types ou certifications équivalentes
  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)

6. Mesures de sécurité

CaliaLabs met en œuvre les mesures suivantes :

  • Authentification forte et gestion des accès
  • Journalisation et traçabilité des accès
  • Sauvegarde régulière et plan de continuité d'activité
  • Tests de sécurité et audits réguliers
  • Formation continue du personnel
  • Procédures de gestion des incidents

7. Sous-traitance ultérieure

CaliaLabs peut faire appel à des sous-traitants ultérieurs uniquement avec l'autorisation écrite du client. La liste des sous-traitants actuels est disponible sur demande et comprend :

  • OVH (hébergement HDS)
  • Twilio (téléphonie)
  • OpenAI (traitement IA - données anonymisées uniquement)

8. Droits des personnes concernées

CaliaLabs s'engage à coopérer avec le client pour permettre l'exercice des droits des personnes concernées :

  • Droit d'accès aux données
  • Droit de rectification
  • Droit à l'effacement
  • Droit à la limitation du traitement
  • Droit à la portabilité
  • Droit d'opposition

9. Contrôles et audit

Le responsable du traitement peut, avec un préavis de 30 jours, demander un audit des mesures de sécurité mises en place par CaliaLabs. Les frais d'audit sont à la charge du demandeur.

10. Notification des violations

En cas de violation de données, CaliaLabs s'engage à :

  • Notifier le client dans les 48 heures suivant la découverte
  • Fournir toutes les informations nécessaires pour la notification à la CNIL
  • Coopérer à l'enquête et à la résolution de l'incident
  • Documenter la violation et les mesures prises

11. Durée et fin du contrat

Le contrat reste en vigueur tant que le client utilise les services CaliaLabs. À la fin du contrat, CaliaLabs s'engage à :

  • Supprimer toutes les données dans un délai de 30 jours
  • Fournir une attestation de suppression
  • Ou restituer les données selon le format demandé par le client

12. Responsabilité

CaliaLabs est responsable des dommages causés par un traitement non conforme au RGPD ou aux instructions du client. Une assurance responsabilité civile professionnelle couvre ces risques.

13. Contact DPO

Pour toute question liée au traitement des données personnelles ou pour exercer vos droits : contact@calialabs.com

Document conforme au RGPD
Retour à l'accueil