Dernière mise à jour le 26/09/2024

Contrat de Sous-Traitance de Données à Caractère Personnel (DPA)

Effectif à partir du 12 Octobre 2024. Cliquez ICI pour découvrir la précédente version.

1. Parties

Le présent Contrat de sous-traitance de données à caractère personnel (ci-après "DPA") est applicable aux relations commerciales entre la société RINGO (exerçant sous le nom de MODJO), société par actions simplifiée au capital de 38.666,31 euros immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 879 606 283, et dont le siège social est situé au 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (ci-après "RINGO") et son Client (ci-après le "Client") tel qu’identifié dans le Bon de Commande.

2. Préambule

Dans le cadre de l’exécution du ou des Bons de Commande et des Conditions Générales de Vente Modjo conclus entre RINGO et le Client, le Client, en sa qualité de Responsable de traitement, confie à RINGO, en sa qualité de Sous-traitant, des opérations de traitement de Données à caractère personnel.

Ce Contrat de sous-traitance de données à caractère personnel fait partie intégrante du ou des Bons de Commande et des Conditions Générales de Vente Modjo.

Les Parties entendent respecter l’ensemble de la réglementation applicable en matière de Traitement de Données à caractère personnel, et en particulier la Loi n°78-17 du 6 janvier 1978 (dite « Informatique et Libertés ») dans sa version modifiée et le Règlement Général sur la Protection des Données Personnelles n°2016-679 en date du 27 avril 2016 (« RGPD »).

Les Parties ont convenu du présent Contrat afin de respecter les dispositions de l’article 28, en particulier des paragraphes 3 et 4, du RGPD. Le présent Contrat s’applique aux traitements des données à caractère personnel tels que spécifiés à l’article 1.

Il est expressément convenu que les termes utilisés dans le présent Contrat avec une majuscule (par ex. Responsable de traitement, Données à caractère personnel, Service…) correspondent aux définitions contenues dans le RGPD et dans les CGV. Le présent Contrat doit être lu et interprété à la lumière des dispositions du RGPD.

3. Description des traitements

Les spécificités des traitements de données à caractère personnel, notamment les catégories de données à caractère personnel et les finalités de traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du Client, en sa qualité de Responsable de traitement, sont :

- Catégories de personnes concernées : le personnel du Client et les employés utilisant les services fournis par RINGO ainsi que les contacts, prospects et clients du Client.

- Catégories de données à caractère personnel traitées : données relatives à l'identification des personnes concernées (nom, prénom, coordonnées et email), enregistrements des réunions, appels téléphoniques et visioconférences, utilisation des services (commentaires, revues, traductions, résumés, scoring intelligents), emails échangés, emails de rappels de meeting, et données relatives aux réseaux.

- Objet du traitement : la fourniture par RINGO des services convenus avec le Client, et leur usage par le Client, conformément au(x) Bon(s) de Commande et aux CGV.

- Nature du traitement : la collecte et l'analyse de données, y compris de Données Personnelles, pour le compte du Client.

- Finalités du traitement : la fourniture par RINGO, pour le compte du Client, du Service, principalement la collecte, l’enregistrement et l'analyse d'enregistrements de réunions, d'appels téléphoniques, de vidéoconférences et de mails, ainsi que les services d'assistance, de back-up, de sécurité et de maintenance liés au Service.

- Durée du traitement : Les Données Personnelles sont traitées par RINGO pendant la durée de la relation contractuelle du Client. La durée de conservation des appels peut être paramétrée par le Client. Les logs sont conservés pendant une période d'un (1) an. Lorsque la fonctionnalité AI Assistant est activée, les données sont conservées par OpenAI pour une durée maximale de 30 jours aux fins de modération des contenus et de prévention des abus.

4. Instructions

RINGO ne traite les données personnelles que sur instruction documentée du Client, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, RINGO informe le Client de cette obligation juridique avant le traitement, sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Client pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Si RINGO estime qu'une instruction du Client constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel, il en informe immédiatement le Client. RINGO n’est en aucun cas responsable des instructions et décisions du Client et de leurs éventuelles conséquences.

5. Limitation des finalités

RINGO ne traite les données personnelles que pour les finalités du traitement telles qu’exposées au sein de l’article 1 du présent contrat, à moins que RINGO ne reçoive d’autres instructions documentées du Client.

6. Durée de traitement

RINGO traite les données personnelles que pour la durée définie au sein de l’article 1 du présent contrat, à moins que RINGO ne reçoive d’autres instructions documentées du Client.

7. Mesures de sécurité

RINGO s’engage à mettre en place des mesures de sécurité techniques et organisationnelles appropriées pour garantir la sécurité des Données à caractère personnel qu’il traite contre toute destruction, perte, transformation, divulgation ou accès non autorisé. Une description de ces mesures est disponible sur demande écrite.

Lorsque la fonctionnalité AI Assistant est activée, le Client accepte que les mesures de sécurité mises en œuvre soient celles de la politique de sécurité d’OpenAI. RINGO accorde l’accès aux données à caractère personnel uniquement aux membres de son personnel qui en ont besoin pour l’exécution du Service, sous une obligation de confidentialité.

8. Documentation et conformité

RINGO met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat.

À la demande du Client et en présence d’indices de non-conformité, RINGO permet et contribue à la réalisation d’audits des activités de traitement couvertes par les présentes clauses.

9. Sous-traitants ultérieurs

RINGO dispose de l'autorisation générale du Client pour l'engagement des sous-traitants ultérieurs énumérés en Annexe 1. RINGO s'engage à fournir une liste actualisée de ses sous-traitants ultérieurs à la demande du Client.

10. Assistance au Client

Il appartient au Client d’informer les Personnes concernées du traitement de leurs données et de leurs droits. RINGO notifie au Client toute demande reçue de la part de la personne concernée et l’assiste dans l’accomplissement de ses obligations.

11. Inspections, contrôle ou audits par les autorités publiques

Chaque Partie s’engage à apporter toute l’assistance nécessaire à l’autre en cas d’inspection ou d’audit par une autorité publique.

12. Notification des violations de Données à caractère personnel

En cas de violation de données à caractère personnel, RINGO coopère avec le Client et l’informe immédiatement de toute atteinte, fournissant toutes les informations pertinentes.

13. Hébergement des données et transferts

Les données à caractère personnel sont hébergées par Amazon Web Services dans l'Espace économique européen (EEE). Tout transfert vers un pays tiers ne sera effectué que sur la base de ce Contrat.

14. Modifications et mises à jour

RINGO se réserve le droit de modifier le présent DPA et informera le Client de ces modifications par email ou sur son site. Les modifications s'appliqueront 15 jours après l'information au Client.

15. Sort des données

À l’issue de la relation entre les Parties, le Client dispose d’un délai d’un (1) mois pour demander la restitution de ses enregistrements. À défaut, RINGO peut procéder à leur destruction.

16. Délégué à la protection des données

RINGO dispose d’un délégué à la protection des données, joignable par email à dpo@modjo.ai.

17. Registre des activités de Traitement

RINGO s’engage à tenir à jour un Registre des activités de traitement comprenant les informations pertinentes.

18. Engagements de RINGO

Pendant la durée du Contrat conclu entre RINGO et le Client, RINGO garantit la confidentialité des Données à caractère personnel traitées.

Annexe 1 : Liste des sous traitants ultérieurs