ACCORD DE TRAITEMENT DES DONNÉES
L'accord de traitement des données, en lecture claire.
v1.0 · En vigueur à compter de la date de publication
Rédigé pour que votre DPO puisse l'approuver en une seule lecture. Chaque clause, sous-traitant et garde-fou documenté en détail. Le PDF signé contient le même contenu.
PDF available on request — email dpo@sageio.net
PÉRIMÈTRE & RÔLES
Qui fait quoi, avec les données de qui.
Dans le cadre de ce DPA, le Client est le responsable du traitement et Sageio agit en tant que sous-traitant pour le compte du Client. Sageio ne traite les données personnelles que pour fournir les services contractés — traduction, transcription et résumé de réunions en temps réel — et uniquement selon les instructions documentées du Client. Ce DPA fait partie intégrante du contrat d'abonnement entre Sageio et le Client ; en cas de conflit, le DPA prévaut pour les questions de traitement des données personnelles. Il s'applique à toutes les activités de traitement réalisées dans le cadre de la plateforme Sageio.
DONNÉES TRAITÉES
Ce que nous traitons, et pourquoi nous le pouvons.
| Catégorie de données | Finalité du traitement | Base légale (GDPR Art. 6) | Conservation |
|---|---|---|---|
| Audio de réunion | Transcription parole-texte et traduction pendant la réunion. | Art. 6(1)(b) — exécution du contrat. | Supprimé dans les 24 heures suivant la fin de la réunion. Non utilisé pour l'entraînement de modèles. |
| Transcriptions & traductions de réunion | Stockage et consultation par les membres de l'espace de travail du Client. | Art. 6(1)(b) — exécution du contrat. | Configurable par le Client. Par défaut : 90 jours. |
| Résumés & actions à mener | Résultats de réunion générés par IA, dérivés de la transcription. | Art. 6(1)(b) — exécution du contrat. | Configurable par le Client. Par défaut : 90 jours, suivant la transcription. |
| Identifiants de compte (nom, e-mail, rôle) | Authentification, accès à l'espace de travail et journalisation d'audit. | Art. 6(1)(b) — exécution du contrat. | Durée du compte plus 30 jours après sa clôture. |
| Métadonnées d'espace de travail & d'usage | Exploitation du service, rapprochement de facturation et prévention des abus. | Art. 6(1)(b) et Art. 6(1)(f) — intérêt légitime à l'intégrité du service. | 12 mois à compter de leur génération. |
| Journaux d'audit | Surveillance de la sécurité et revue des accès du Client. | Art. 6(1)(f) — intérêt légitime à la sécurité. | 12 mois à compter de leur génération. |
| Identifiants de facturation | Gestion de l'abonnement. Les données de carte de paiement sont traitées par LemonSqueezy en tant que Merchant of Record et ne sont pas stockées par Sageio. | Art. 6(1)(b) — exécution du contrat. | Durée du compte plus 7 ans pour les documents fiscaux. |
SOUS-TRAITANTS
La chaîne complète de responsabilité.
| Sous-traitant | Finalité | Lieu de traitement |
|---|---|---|
| Amazon Web Services | Hébergement cloud, stockage d'objets, gestion des clés de chiffrement. | Région sélectionnée par le Client (par défaut : Asie-Pacifique). UE et États-Unis dans les offres Enterprise. |
| Neon | Base de données PostgreSQL gérée pour les données applicatives. | Région alignée sur la région AWS principale du Client. |
| Vercel | Hébergement du site marketing et de l'application web destinée aux clients. | Réseau edge mondial. Origine : région sélectionnée par le client. |
| Clerk | Authentification, authentification unique et gestion des identités. | États-Unis. |
| Deepgram | Transcription parole-texte de l'audio de réunion. | États-Unis. |
| Google (Gemini API) | Résumés de réunion et actions à mener générés par IA. | États-Unis. Données non utilisées pour entraîner les modèles Google selon les conditions de l'API entreprise. |
| LemonSqueezy | Traitement des paiements en tant que Merchant of Record. Conformité fiscale. | États-Unis. |
MESURES DE SÉCURITÉ
L'ingénierie rencontre l'engagement.
Sageio met en œuvre des mesures techniques et organisationnelles adaptées au risque du traitement, notamment le chiffrement en transit (TLS 1.3) et au repos (AES-256-GCM), le contrôle d'accès basé sur les rôles, la journalisation d'audit, des tests d'intrusion réguliers et un processus documenté de réponse aux incidents. L'accès à la production exige une justification métier explicite, est limité dans le temps et est journalisé. Le catalogue complet des mesures, y compris l'état actuel du programme de conformité, est publié sur la page Sécurité et mis à jour à mesure que le programme évolue.
TRANSFERTS INTERNATIONAUX
Des données transfrontalières, transférées légalement.
Lorsque des données personnelles sont transférées en dehors de l'Espace économique européen, du Royaume-Uni ou d'autres juridictions soumises à des restrictions équivalentes, Sageio s'appuie sur les Clauses contractuelles types de la Commission européenne (Module Deux : responsable du traitement vers sous-traitant) et, le cas échéant, sur l'addendum britannique relatif au transfert international de données. Pour les transferts vers des juridictions couvertes par une décision d'adéquation, Sageio s'appuie sur cette décision. Les sous-traitants sont liés par des obligations équivalentes via une répercussion contractuelle. Des analyses d'impact des transferts sont menées pour chaque sous-traitant traitant des données personnelles en dehors de la juridiction de l'exportateur de données.
DROITS DES PERSONNES CONCERNÉES
Les droits de vos utilisateurs, nos obligations.
- Droit d'accès — confirmation et copie des données personnelles traitées.
- Droit de rectification — correction des données inexactes ou incomplètes.
- Droit à l'effacement — suppression dans les 30 jours suivant une demande valide, sous réserve des obligations légales de conservation.
- Droit à la limitation — restriction du traitement dans des circonstances définies.
- Droit à la portabilité des données — export dans un format structuré et lisible par machine.
- Droit d'opposition — y compris au traitement fondé sur l'intérêt légitime.
- Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente.
CONTACT
De vraies personnes, des boîtes nommées.
- Data protection officer: dpo@sageio.net
- Security: security@sageio.net
Enregistrée à Taïwan. Entité enregistrée : 好客網路股份有限公司 (Numéro d'identification d'entreprise : 29041135). Adresse postale disponible sur demande à dpo@sageio.net.
Historique des versions
- v1.0En vigueur à compter de la publicationPublication initiale.