Voice2Evolve® logo

Document juridique officiel

Master Data Processing Agreement (MDPA)

Il s’agit du document juridique officiel publié par Voice2Evolve.

Avis de traduction : cette version traduite est fournie à titre de commodité. La version anglaise prévaut en cas de divergence.

Date d'entrée en vigueur

2026-02-08

Version juridique

2026-04-27

Dernière mise à jour

2026-04-27

Entité juridique

voice2evolve UG (haftungsbeschränkt)

Registre du commerce

Amtsgericht Stuttgart, HRB 803557

Télécharger le PDF

Avis : Cette version française est fournie à titre informatif uniquement. En cas de divergence entre les versions, la version anglaise fait foi.

Le présent Accord-cadre de traitement des données (« MDPA ») est incorporé par renvoi dans l'accord régissant l'utilisation des services de Voice2Evolve (l'« Accord ») conclu entre vous, le Client (tel que défini dans l'Accord) (le « Client »), et Voice2Evolve UG (haftungsbeschränkt) (« Voice2Evolve »), afin de refléter l'accord des Parties relatif au traitement des données à caractère personnel par Voice2Evolve exclusivement pour le compte du Client. Les deux parties sont ci-après collectivement désignées les « Parties » et individuellement une « Partie ».

Sauf disposition contraire dans le présent MDPA, les dispositions de l'Accord restent pleinement en vigueur. Tout terme en majuscule non défini dans le présent MDPA a la signification qui lui est attribuée dans l'Accord. Tout accord ou clause relatif à la protection des données ou à la vie privée antérieurement conclu entre Voice2Evolve et le Client est remplacé et supplanté par le présent MDPA.

Le présent MDPA a pris effet le 08.02.2026 et a été mis à jour pour la dernière fois le 27 avril 2026. Il est en vigueur entre le Client et Voice2Evolve à compter de la date d'entrée en vigueur de l'Accord (la « Date d'entrée en vigueur du MDPA »).

Les Parties conviennent de ce qui suit : (MDPA)

1. Définitions

Sauf définition contraire dans le présent accord, les termes en majuscule ont la signification qui leur est attribuée par les lois applicables en matière de protection des données.

  • Affilié : Toute entité contrôlant directement ou indirectement une Partie, contrôlée par elle, ou sous contrôle commun avec elle.
  • Juridiction approuvée : Tout pays appartenant à l'EEE ou reconnu par la Commission européenne comme assurant un niveau de protection adéquat.
  • Responsable du traitement : L'entité déterminant les finalités et les moyens du traitement des données à caractère personnel.
  • Sous-traitant : L'entité traitant des données à caractère personnel pour le compte d'un responsable du traitement.
  • Données à caractère personnel : Toute information se rapportant à une personne physique identifiée ou identifiable.
  • Traitement : Toute opération effectuée sur des données à caractère personnel, telle que la collecte, le stockage, la modification, la transmission ou la suppression.
  • Sous-traitant ultérieur : Un sous-traitant tiers engagé par Voice2Evolve.
  • Personne concernée : Une personne physique identifiable à laquelle se rapportent les données à caractère personnel.
  • Mesures de sécurité : Les mesures techniques et organisationnelles mises en œuvre par Voice2Evolve, telles que décrites à l'Annexe A.
  • Violation de données : Tout incident de sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel.
  • Autorité de contrôle : Une autorité publique indépendante instituée en vertu de l'article 51 du RGPD.
  • Catégories particulières de données à caractère personnel : Telles que définies à l'article 9 du RGPD, notamment les données relatives à la santé, les données biométriques ou les données relatives aux condamnations pénales.
  • Lois sur la protection des données : Le RGPD, le UK RGPD, le CPRA, et, le cas échéant, la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (LPRPDE/PIPEDA) et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (telle que modifiée par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, L.Q. 2021, c. 25, « Loi 25 »), collectivement.

2. Rôles et responsabilités

2.1 Relation entre les Parties

Le Client agit en qualité de Responsable du traitement, et Voice2Evolve agit en qualité de Sous-traitant.

2.2 Instructions du Client

Voice2Evolve traitera les données à caractère personnel uniquement sur la base des instructions documentées du Client. Si Voice2Evolve estime qu'une instruction enfreint le RGPD ou le droit applicable, elle en informera immédiatement le Client.

2.3 Périmètre et finalité

Le traitement couvre le sparring vocal par IA, la transcription, la notation et les analyses associées.

2.4 Durée

Le traitement se poursuit pendant la durée de l'Accord et prend fin lorsque toutes les données ont été restituées ou supprimées conformément à l'article 14.

2.5 Catégories particulières et données vocales

Les Services traitent de l'audio vocal en direct aux fins du sparring conversationnel, de la formation et de l'analyse basés sur l'IA. Dans le flux de service actuellement documenté, Voice2Evolve ne conserve pas l'audio brut de la session après traitement. Voice2Evolve ne traite pas de données vocales dans le but d'identifier de manière unique une personne physique (identification biométrique) au sens de l'article 9, paragraphe 1, du RGPD. En conséquence, l'audio vocal en direct traité dans le cadre du présent MDPA n'est pas considéré comme une Catégorie particulière de données à caractère personnel du seul fait qu'il s'agit de données vocales. Le Client ne doit pas soumettre aux Services des Catégories particulières de données à caractère personnel (article 9 du RGPD) sauf accord écrit express.

2.6 Prise de décision automatisée

Les Services génèrent des scores, des analyses et des retours d'information à l'aide de modèles d'IA. Ces résultats sont fournis à des fins d'information et de formation uniquement et ne produisent pas d'effets juridiques ou d'effets significatifs similaires sur les Personnes concernées au sens de l'article 22, paragraphe 1, du RGPD. Aucune décision ayant des conséquences juridiques ou équivalentes n'est prise sur la seule base d'un traitement automatisé.

2.7 Isolation des données par client

Voice2Evolve garantit contractuellement la séparation logique des données à caractère personnel de chaque Client de celles des autres clients. L'isolation est assurée par des politiques de sécurité au niveau des lignes de la base de données, une authentification limitée au locataire et des contrôles d'accès au niveau de l'application. Les données à caractère personnel d'aucun Client ne sont mélangées à celles d'un autre client ni accessibles à celui-ci.

2.8 Contact en matière de protection des données

Le contact désigné pour toutes les questions relatives à la protection des données au titre du présent MDPA est : Voice2Evolve UG (haftungsbeschränkt) — E-mail : help@voice2evolve.com

3. Obligations du responsable du traitement

Le Client informera sans délai Voice2Evolve de toute réclamation, demande ou enquête émanant d'une Autorité de contrôle ou d'une Personne concernée et portant sur des activités de traitement réalisées dans le cadre du présent MDPA. Les deux Parties coopéreront afin d'assurer une communication cohérente et rapide avec les régulateurs et les Personnes concernées, dans le respect de la transparence et de la conformité.

Le Client doit :

  • S'assurer de l'existence d'une base légale pour toutes les données fournies.
  • Remplir les obligations d'information et de consentement envers les Personnes concernées.
  • Fournir des données exactes et minimisées.
  • Documenter ses finalités de traitement et informer Voice2Evolve de tout changement.

4. Obligations du sous-traitant (art. 28(3)(a)–(h) du RGPD) et conformité transfrontalière

Voice2Evolve respecte également les obligations équivalentes de sous-traitant au titre des lois américaines sur la protection de la vie privée, notamment le CPRA (Californie) et le CDPA (Virginie), ainsi qu'au titre des lois canadiennes sur la protection de la vie privée, notamment la LPRPDE (PIPEDA) et la Loi 25 du Québec, garantissant que les mêmes principes de protection des données, de confidentialité et de droits des consommateurs sont appliqués de manière cohérente dans toutes les juridictions.

Voice2Evolve doit :

  1. Traiter les données à caractère personnel uniquement sur la base des instructions écrites du Client.
  2. Assurer la confidentialité du personnel (art. 28(3)(b)).
  3. Mettre en œuvre des mesures techniques et organisationnelles appropriées (art. 28(3)(c)).
  4. Respecter l'autorisation relative aux sous-traitants ultérieurs et tenir à jour une liste de ceux-ci (art. 28(3)(d)).
  5. Aider le Client à répondre aux demandes des Personnes concernées (art. 28(3)(e)).
  6. Aider le Client dans le cadre des analyses d'impact et des consultations auprès des autorités de contrôle (art. 28(3)(f)).
  7. Supprimer ou restituer les données après la résiliation, sauf obligation légale (art. 28(3)(g)).
  8. Mettre à disposition toutes les informations nécessaires pour démontrer la conformité et soutenir la vérification telle que décrite à l'article 10 (art. 28(3)(h)).
  9. Coopérer avec les autorités de contrôle.
  10. Tenir des registres de traitement conformément à l'art. 30(2) du RGPD.

5. Sous-traitance ultérieure

Voice2Evolve peut engager des sous-traitants ultérieurs tels que listés à l'Annexe B. Tous les sous-traitants ultérieurs sont liés par des contrats écrits leur imposant des obligations de protection des données équivalentes à celles du présent MDPA. Voice2Evolve reste responsable des actes et omissions de ses sous-traitants ultérieurs.

5.1 Notification préalable de nouveaux sous-traitants ultérieurs

Voice2Evolve informera le Client au moins trente (30) jours calendaires avant d'autoriser un nouveau sous-traitant ultérieur à traiter des données à caractère personnel. La notification sera transmise via les coordonnées associées au compte du Client ou par le biais d'un mécanisme de notification de changement auquel le Client peut s'abonner.

5.2 Droit d'opposition

Le Client peut s'opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données, en notifiant Voice2Evolve par écrit dans le délai de préavis de trente (30) jours. Voice2Evolve fera des efforts commercialement raisonnables pour traiter l'objection, notamment en proposant un sous-traitant ultérieur ou une configuration alternative. Si Voice2Evolve ne peut pas raisonnablement satisfaire à l'objection dans un délai de trente (30) jours suivant sa réception, le Client peut résilier les Services concernés — ou, si le sous-traitant ultérieur est indispensable à l'ensemble du Service, l'Accord — sans pénalité, en adressant un avis écrit avant que le nouveau sous-traitant ultérieur ne commence à traiter les données.

6. Mesures de sécurité (art. 32 du RGPD)

Voice2Evolve maintient les Mesures de sécurité décrites à l'Annexe A, notamment :

  • Chiffrement des données au repos et en transit.
  • Contrôle d'accès basé sur les rôles et sur le principe du moindre privilège.
  • Authentification multifacteur.
  • Journalisation, surveillance et gestion des incidents.
  • Évaluations régulières des vulnérabilités et tests de sécurité, adaptés aux risques.
  • Suppression sécurisée et politique de rétention de 30 jours.

7. Notification de violation de données (art. 33 du RGPD)

Voice2Evolve informera le Client de toute violation de données à caractère personnel dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures suivant la prise de connaissance de celle-ci. La notification initiale inclura, dans la mesure du possible à ce stade, la nature de la violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de données à caractère personnel affectés, les conséquences probables, ainsi que les mesures prises ou envisagées pour y remédier. Lorsque des informations complètes ne sont pas encore disponibles dans le délai de notification, Voice2Evolve fournira les informations restantes par étapes sans nouveau délai indu.

8. Droits des personnes concernées

Vérification de l'identité des personnes concernées

Avant de donner suite à toute demande d'une Personne concernée, Voice2Evolve vérifie l'identité du demandeur conformément à l'article 12(6) du RGPD. Les méthodes de vérification peuvent inclure l'authentification via les identifiants de compte enregistré de l'utilisateur ou d'autres processus de vérification raisonnables visant à prévenir tout accès ou divulgation non autorisés de données à caractère personnel. (Art. 15–22 du RGPD)

Voice2Evolve aidera le Client à répondre aux demandes d'accès, de rectification, de limitation, de suppression, de portabilité des données ou d'opposition. Pour les demandes de portabilité des données, Voice2Evolve mettra à disposition les données à caractère personnel concernées dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV). Voice2Evolve ne répondra pas directement aux Personnes concernées sauf autorisation du Client.

9. Transferts internationaux (art. 44–49 du RGPD)

Voice2Evolve réalise des Analyses d'impact des transferts (TIA) préalablement à tout transfert international de données, conformément aux orientations du CEPD, en prenant en compte les législations en matière de surveillance, l'accès des autorités publiques et les voies de recours disponibles. Les TIA sont consignées dans le registre interne des fournisseurs de Voice2Evolve et sont accessibles aux Clients sur demande légitime.

Les transferts hors de l'EEE s'appuient sur :

  • Les Clauses contractuelles types UE (Annexe C),
  • L'Addendum britannique (Annexe D), ou
  • Des décisions d'adéquation ou d'autres garanties légales.

Voice2Evolve s'assure que les données transférées vers des pays tiers bénéficient d'un niveau de protection équivalent à celui du RGPD.

10. Vérification de la conformité et documentation

Voice2Evolve mettra à disposition les informations raisonnablement nécessaires pour démontrer la conformité via une documentation écrite et des mesures d'assurance à distance conçues pour protéger la sécurité, la confidentialité et la vie privée des autres clients. Les inspections sur site régulières des résidences privées, des bureaux à domicile ou des installations de centres de données tiers ne sont pas proposées.

  • Le Client peut demander des informations relatives à la conformité annuellement ou après une violation de données à caractère personnel confirmée affectant les Données du Client.
  • Voice2Evolve peut satisfaire à ces demandes par des politiques, des résumés de sécurité, des réponses à des questionnaires, des résumés de rapports d'audit indépendants ou de certifications, et des sessions de clarification à distance.
  • Toute inspection allant au-delà de la révision documentaire ou à distance requiert l'accord écrit préalable de Voice2Evolve ou une obligation légale contraignante émanant d'une autorité de contrôle compétente.
  • Toute la documentation nécessaire à la démonstration de la conformité sera maintenue et fournie sur demande, sous réserve de garanties de confidentialité, de sécurité et de proportionnalité.

11. Responsabilité

La responsabilité totale de chaque Partie découlant du présent MDPA ou en lien avec celui-ci est limitée au total des honoraires payés au titre de l'Accord au cours des douze (12) mois précédant l'événement donnant lieu à la réclamation.

Cette limitation ne s'applique pas : (a) à la responsabilité résultant d'une faute intentionnelle ou d'une fraude ; (b) aux violations des Lois sur la protection des données applicables dans la mesure où la responsabilité ne peut être limitée par le droit impératif ; (c) aux manquements aux obligations de confidentialité.

Chaque Partie est seule responsable des amendes administratives, pénalités ou sanctions qui lui sont directement imposées par une Autorité de contrôle en raison de son propre non-respect des Lois sur la protection des données applicables.

12. Conformité à la protection des données en Suisse (LPD/FADP)

Voice2Evolve se conforme également à la Loi fédérale suisse sur la protection des données (LPD/FADP). Pour les transferts de données depuis la Suisse, les mêmes garanties, clauses contractuelles types et mesures de sécurité que celles prévues dans le présent MDPA s'appliquent. L'autorité de contrôle compétente pour un tel traitement est le Préposé fédéral à la protection des données et à la transparence (PFPDT).

13. Droit applicable et juridiction

Le présent MDPA est régi par le droit de la République fédérale d'Allemagne. La juridiction compétente pour tout litige est Stuttgart, Allemagne, sauf disposition impérative contraire.

14. Politique de conservation et de suppression des données

Voice2Evolve maintient des calendriers clairs de conservation et de suppression des données conformément aux articles 30 et 32 du RGPD. Toutes les données à caractère personnel sont stockées uniquement aussi longtemps que nécessaire pour accomplir les finalités du traitement ou pour satisfaire aux obligations légales. Les durées de conservation sont définies selon les critères suivants :

  • Transcriptions de sessions : Soumises au paramètre de conservation configurable du Client (7 à 365 jours ; valeur par défaut : 30 jours). À l'expiration, le Client peut choisir d'anonymiser les transcriptions en place — en remplaçant le contenu vocal par un marqueur expurgé tout en préservant les métadonnées de session — plutôt que de les supprimer. L'option d'anonymisation à l'expiration est activée par défaut. Lorsqu'aucun paramètre de conservation n'a été configuré par le Client, les transcriptions sont anonymisées ou supprimées dans les 30 jours suivant la fin de la session.
  • Analyses et scores de session (hors transcription) : Les scores, résultats d'analyse, métriques comportementales et autres données de session non transcrites sont conservés pendant la durée du compte utilisateur et supprimés dans les 30 jours suivant la clôture du compte, sauf si une suppression anticipée est demandée par le Client ou la Personne concernée.
  • Rapports d'évaluation interne de la qualité : Les rapports générés par le système automatisé d'évaluation interne de la qualité de Voice2Evolve sont conservés 30 jours puis supprimés. Ces rapports évaluent les propres composants du système IA de Voice2Evolve et ne contiennent pas de données d'évaluation des utilisateurs. Voir Section 15.1.
  • Données agrégées anonymisées : Les données comportementales agrégées entièrement anonymisées et k-anonymes — à partir desquelles aucun individu, session ou locataire ne peut être ré-identifié — sont conservées indéfiniment car elles ne relèvent pas de la définition des données à caractère personnel au sens de l'article 4(1) du RGPD et du Considérant 26. Voir Section 15.2.
  • Restitution des données après résiliation : À la résiliation ou à l'expiration de l'Accord, Voice2Evolve mettra les données à caractère personnel du Client à disposition pour export pendant une période de quatre-vingt-dix (90) jours calendaires. À l'expiration de cette période de transition, Voice2Evolve supprimera ou anonymisera de manière sécurisée toutes les données à caractère personnel restantes conformément à la présente Section 14, sauf si leur conservation est requise par le droit applicable.
  • Données de compte utilisateur : Conservées pendant la durée du compte et supprimées de manière sécurisée dans les 30 jours suivant la clôture.
  • Données de paiement et de facturation : Maintenues pendant les délais légaux de conservation fiscale et comptable (généralement 6 à 10 ans) avant suppression.
  • Journaux d'audit et de sécurité : Conservés 90 jours sauf si une conservation plus longue est requise pour l'investigation d'incidents ou la conformité.

Voice2Evolve s'assure que toutes les suppressions utilisent des méthodes d'effacement sécurisé et que des pistes d'audit sont enregistrées pour documenter les activités de suppression. La société révise les politiques de conservation annuellement et ajuste les calendriers pour refléter les exigences réglementaires et opérationnelles en vigueur.

15. Finalités secondaires autorisées de Voice2Evolve

Nonobstant la Section 4.1, les utilisations secondaires suivantes des Données du Client sont expressément autorisées par l'Accord et ne constituent pas un traitement en dehors des instructions documentées du Client :

15.1 Évaluation interne de la qualité

Voice2Evolve exploite un système automatisé d'évaluation de la qualité qui traite des transcriptions de sessions et des résultats d'analyse à l'aide de sous-traitants LLM tiers (tels que listés à l'Annexe B), uniquement dans le but d'évaluer la performance des propres composants du système IA de Voice2Evolve — notamment le planificateur de conversations, l'agent de dialogue en temps réel, l'orchestrateur et l'analyseur post-session. Ce traitement sert l'objectif de maintien et d'amélioration continue de la qualité technique des Services fournis au Client. Il n'évalue pas les utilisateurs individuels, ne produit aucun résultat visible par l'utilisateur et ne génère aucun score ni profil utilisateur. Les rapports d'évaluation de la qualité sont internes à Voice2Evolve, ne sont pas accessibles via l'application orientée client et sont supprimés dans les 30 jours.

15.2 Analyses agrégées anonymisées

Tel qu'autorisé par l'Accord et la présente Section 15.2, Voice2Evolve dérive des statistiques comportementales entièrement anonymisées et agrégées à partir des données de session pour améliorer les Services et développer des benchmarks produits. Avant l'agrégation, tous les identifiants directs et indirects — notamment le tenant_id, le session_id et le user_id — sont supprimés. L'agrégation est soumise à des seuils de k-anonymat (minimum 50 sessions par groupe de dimensions) ; les groupes en dessous de ce seuil sont entièrement exclus. Une fois anonymisées selon ce standard, les données résultantes ne constituent plus des données à caractère personnel au sens de l'article 4(1) du RGPD et du Considérant 26 et ne sont pas soumises aux restrictions du présent MDPA.

ANNEXE A – MESURES DE SÉCURITÉ

(Développement détaillé conformément à l'art. 32 du RGPD)

Contrôles techniques :

  • Chiffrement : Chiffrement AES-256 au repos et TLS 1.3 en transit. Les clés de chiffrement sont gérées selon des politiques de cycle de vie définies (génération, rotation, destruction) conformes aux normes ISO 27001 et NIST SP 800-57.
  • Contrôle d'accès : Contrôle d'accès basé sur les rôles (RBAC) appliqué avec authentification multifacteur (MFA) pour tout le personnel de Voice2Evolve et l'accès aux plateformes des fournisseurs. La MFA est appliquée au niveau administratif et de l'infrastructure ; elle n'est pas requise pour les comptes clients des utilisateurs finaux, qui sont protégés par Supabase Auth avec une gestion sécurisée des sessions. L'accès est accordé selon le principe du moindre privilège, revu trimestriellement et journalisé.
  • Journalisation et surveillance : Journalisation centralisée continue de tous les accès administratifs et systèmes. Les journaux sont inviolables, conservés au moins 90 jours et examinés pour détecter les anomalies.
  • Sécurité réseau : Voice2Evolve fonctionne exclusivement sur une infrastructure de type Plateforme en tant que Service (PaaS) managée. Les protections au niveau réseau — notamment la mitigation DDoS, les règles de pare-feu, l'isolation du trafic et la détection d'intrusion — sont fournies et maintenues par les fournisseurs d'infrastructure respectifs (voir Annexe B). L'accès administratif aux plateformes des fournisseurs est sécurisé par authentification multifacteur et limité au personnel autorisé.
  • Pseudonymisation : Les données analytiques et de transcription sont pseudonymisées en séparant les identifiants et en utilisant des jetons aléatoires pour minimiser la traçabilité.
  • Développement logiciel sécurisé : Sécurité intégrée dans le CVDL (cycle de vie du développement logiciel) via des revues de code, des vérifications de dépendances et des analyses de vulnérabilités avant déploiement.
  • Sauvegarde et récupération : Sauvegardes chiffrées quotidiennes stockées dans des centres de données UE avec une rétention de 30 jours ; testées trimestriellement pour la restorabilité.

Contrôles organisationnels :

  • Gouvernance de la sécurité : Politique de sécurité de l'information revue annuellement par la direction.
  • Confidentialité : Tous les employés et sous-traitants signent des accords de confidentialité et de protection des données.
  • Formation : Formation annuelle sur la protection des données et la sécurité pour tout le personnel ayant accès aux données à caractère personnel.
  • Gestion des fournisseurs : Les sous-traitants tiers font l'objet d'une évaluation des risques et d'une vérification de la DPA avant engagement. Les sous-traitants sont contractuellement tenus de maintenir une formation à la protection des données pour le personnel traitant des données à caractère personnel.
  • Réponse aux incidents : Procédures documentées pour la détection, l'escalade, la mitigation et le retour d'expérience post-incident. Les notifications de violation sont transmises sans délai indu conformément à l'article 33 du RGPD.
  • Audit et révision : Audits internes semi-annuels ; rapports d'audit indépendants ou certifications, le cas échéant.
  • Continuité des activités : Plans testés couvrant la reprise après sinistre, la redondance des services et la réponse aux urgences.
  • Sécurité physique : Voice2Evolve n'exploite pas ses propres centres de données. Toute l'infrastructure est hébergée par des fournisseurs tiers dont les installations maintiennent des contrôles de sécurité physique conformes aux normes industrielles, notamment la certification ISO 27001 ou SOC 2, des contrôles d'accès et une surveillance environnementale. Les certifications des fournisseurs sont vérifiées dans le cadre du processus de gestion des fournisseurs décrit ci-dessus.

ANNEXE B – SOUS-TRAITANTS ULTÉRIEURS

Voice2Evolve maintient un processus documenté pour les révisions et mises à jour régulières des sous-traitants ultérieurs et accorde aux Clients une autorisation générale de recourir à des sous-traitants ultérieurs conformément à l'article 28(2) du RGPD. Les Clients peuvent s'abonner aux notifications de changement pour recevoir un préavis raisonnable de tout nouvel engagement de sous-traitant ultérieur.

FournisseurRôleLocalisationBase juridique / Garanties
Supabase Inc.Base de données, AuthentificationUE (Stockholm, Suède — hébergement principal) ; transferts ultérieurs vers des sous-traitants aux États-Unis / SingapourDPA Supabase + CCT + mesures supplémentaires documentées dans la TIA Supabase
OpenAI, L.L.C.Inférence IA / API vocaleÉtats-UnisCCT + Conformité CPRA
Stripe Payments Europe Ltd.PaiementsUE / États-UnisDPA RGPD + CCT
Vercel Inc.Hébergement frontend (CDN)UE / États-Unis (AWS + Microsoft Azure + GCP ; régions edge UE : Paris, Francfort, Suède)CCT (Module 2, C2P) + IDTA britannique
Railway Corp. (railway.com)Infrastructure backendÉtats-Unis / déploiement région UE (infrastructure sous-jacente : GCP)DPA exécutée + CCT UE (Module 2, C2P) + DPF
Cloudflare, Inc.Résolution DNS, Relais TURN WebRTCUE / États-UnisDPA RGPD + CCT
Sentry, Inc.Surveillance des erreursUE / États-UnisDPA RGPD + CCT
RybbitAnalytique web et produit (pages d'application sélectionnées uniquement ; chemins sensibles exclus ; enregistrement de sessions non activé)UE (EEE — Hetzner ; Cloudflare Object Storage)DPA RGPD (acceptée par l'utilisation) + CCT
Plus Five Five, Inc. (Resend)E-mail transactionnelÉtats-UnisDPA RGPD + CCT + cadre UE-US DPF
Anthropic PBCInférence IA (LLM)États-UnisDPA RGPD + CCT
Haufe-Lexware GmbH & Co. KG (Lexware)Synchronisation des factures et de la comptabilitéUE (Allemagne)DPA RGPD (AVV)

ANNEXE C – CLAUSES CONTRACTUELLES TYPES (TEXTE INTÉGRAL)

Conformément à l'article 46 du RGPD et à la Décision d'exécution de la Commission UE 2021/914, les Clauses contractuelles types (Module 2 : Responsable du traitement vers Sous-traitant) sont incorporées par renvoi dans leur intégralité et font partie intégrante du présent Accord. Le texte officiel complet est publié au Journal officiel de l'Union européenne (JO L 199, 7.6.2021, p. 31–61) et est disponible à l'adresse https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj.

ANNEXE I – DÉTAILS DU OU DES TRANSFERT(S)

A. Liste des parties

  • Exportateur de données (Responsable du traitement) : Le Client tel qu'identifié dans l'Accord.
  • Importateur de données (Sous-traitant) : Voice2Evolve UG (haftungsbeschränkt), immatriculée en Allemagne. Contact : help@voice2evolve.com.

B. Description du transfert

  • Catégories de personnes concernées : Utilisateurs finaux (employés, candidats ou autres personnes) utilisant les Services pour le compte du Client ou sur instruction de celui-ci.
  • Catégories de données à caractère personnel : Audio vocal en direct pendant les sessions, transcriptions de sessions, analyses et scores de sessions, données de compte utilisateur (nom, adresse e-mail), métadonnées d'utilisation et adresses IP.
  • Catégories particulières de données : Aucune (voir Section 2.5).
  • Fréquence du transfert : Continue, pour la durée de l'Accord.
  • Nature et finalité du traitement : (1) Fourniture de services de sparring vocal, de formation, de transcription, de notation et d'analyse basés sur l'IA, tels que décrits dans l'Accord et la Section 2.3. (2) Lorsque le Client est une agence de recrutement agissant dans le cadre de l'Avenant pour les agences de recrutement : fourniture de sessions de préparation aux entretiens assistées par IA et génération d'analyses de coaching accessibles à la fois au candidat et au Client à des fins de débriefing et de soutien à la préparation, conformément à la Section 16 du présent MDPA.
  • Période de conservation : Telle que précisée à la Section 14.

C. Autorité de contrôle compétente L'autorité de contrôle compétente est l'autorité de protection des données de l'État membre de l'UE dans lequel l'Exportateur de données est établi, ou — lorsque l'Exportateur de données n'est pas établi dans l'UE — l'autorité de contrôle de l'État membre dans lequel le représentant UE de l'Exportateur de données est établi. Lorsqu'aucun des deux ne s'applique, l'autorité compétente est le Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (Allemagne).

Pour les Données du Client soumises au droit canadien : l'autorité compétente est le Commissariat à la protection de la vie privée du Canada (CPVP) (www.priv.gc.ca). Pour le traitement impliquant des résidents du Québec, l'autorité compétente supplémentaire est la Commission d'accès à l'information du Québec (CAI) (www.cai.quebec.ca).

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES Voir Annexe A (Mesures de sécurité)

ANNEXE III – SOUS-TRAITANTS ULTÉRIEURS Voir Annexe B (Sous-traitants ultérieurs)

ANNEXE D – ADDENDUM BRITANNIQUE (ICO)

S'applique aux transferts de données depuis le Royaume-Uni en vertu de l'Addendum approuvé par l'ICO aux CCT UE. L'Addendum assure des transferts licites au titre du UK RGPD et du Data Protection Act 2018.

Dispositions clés :

  • Les Clauses contractuelles types UE (Module 2) sont adoptées avec les modifications requises par l'Addendum britannique.
  • Les références au RGPD sont lues comme des références au UK RGPD.
  • Les références à l'Union européenne ou aux États membres sont interprétées comme incluant le Royaume-Uni.
  • L'autorité de contrôle compétente est l'Information Commissioner's Office (ICO).
  • Droit applicable et juridiction : Angleterre et Pays de Galles.

Ces dispositions assurent des transferts de données licites entre le Royaume-Uni et les pays tiers, conformément au droit britannique de la protection des données.

ANNEXE D.1 – ADDENDUM SUISSE (LPD/FADP)

S'applique aux transferts de données depuis la Suisse conformément à la Loi fédérale suisse sur la protection des données (LPD/FADP) et à l'Ordonnance relative à la LPD. Les mêmes Clauses contractuelles types UE (Module 2) sont adoptées pour les transferts depuis la Suisse, avec les ajustements nécessaires :

  • Les références au RGPD sont interprétées comme des références à la LPD/FADP.
  • L'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence (PFPDT).
  • Les références aux États membres de l'UE incluent la Suisse.

Ces clauses garantissent que les transferts de données depuis la Suisse vers des pays tiers maintiennent un niveau de protection adéquat équivalent à celui requis par la LPD/FADP.

ANNEXE E – ADDENDUM SUR LA VIE PRIVÉE AUX ÉTATS-UNIS

La présente Annexe s'applique uniquement dans la mesure où les lois américaines sur la protection de la vie privée régissent l'utilisation des Services par le Client.

Voice2Evolve agit en qualité de Prestataire de services et de Sous-traitant au titre des lois américaines applicables sur la protection de la vie privée, notamment :

  • California Consumer Privacy Act (CCPA) tel que modifié par le California Privacy Rights Act (CPRA),
  • Virginia Consumer Data Protection Act (CDPA),
  • Colorado Privacy Act (CPA),
  • Connecticut Data Privacy Act (CTDPA),
  • et toute autre loi américaine sur la protection de la vie privée imposant à Voice2Evolve des obligations de sous-traitant ou de prestataire de services en lien avec les Services.

Au titre de ces lois, Voice2Evolve doit :

  1. Traiter les données à caractère personnel uniquement sur la base des instructions documentées du Client et à des fins commerciales contractuelles.
  2. Ne pas vendre, partager ni utiliser les données à caractère personnel à des fins de publicité ciblée, de profilage ou à des fins non contractuelles.
  3. Aider le Client (Responsable du traitement) à répondre aux demandes vérifiées de droits des consommateurs, notamment les droits d'accès, de correction, de suppression, de portabilité et d'opposition à la publicité ciblée.
  4. S'assurer que tout transfert ultérieur de données à caractère personnel respecte les exigences applicables des lois sur la protection de la vie privée et les garanties contractuelles.
  5. Mettre en œuvre des pratiques de sécurité raisonnables adaptées à la sensibilité des données à caractère personnel.
  6. Maintenir la documentation des activités de traitement et des évaluations de protection des données lorsque la loi l'exige.
  7. Notifier sans délai le Client de toute violation de données, plainte ou demande relative à la conformité au CDPA ou au CPRA.
  8. Permettre au Client de vérifier la conformité par le biais de la documentation écrite et de mesures d'assurance à distance, sous réserve de la Section 10.
  9. Supprimer ou restituer les données à caractère personnel sur demande ou à la résiliation de l'Accord, sauf si leur conservation est requise par la loi.

La conservation des données reste limitée à la durée du service ou aux obligations légales. Voice2Evolve confirme sa conformité à toutes les réglementations américaines applicables sur la protection de la vie privée régissant son rôle de Sous-traitant/Prestataire de services.

Illinois Biometric Information Privacy Act (BIPA) — Note sur le champ d'application : L'utilisation par Voice2Evolve de l'API Realtime d'OpenAI est limitée à l'IA conversationnelle et au traitement de la parole en texte (STT) lors de sessions individuelles entre un utilisateur et un persona IA. Voice2Evolve n'effectue pas de diarisation des locuteurs, d'identification des locuteurs, ni aucun traitement de données vocales dans le but d'identifier de manière unique une personne physique. Les données audio vocales transmises au point de terminaison de l'API Realtime sont soumises à la Zéro rétention des données (ZDR), ce qui signifie qu'aucune donnée vocale ne persiste chez OpenAI après l'inférence en temps réel. Voice2Evolve ne collectant pas d'empreintes vocales au sens de 740 ILCS 14 (données extraites et traitées dans le but d'identifier un individu), les obligations de collecte et de consentement du BIPA ne sont pas déclenchées par les Services tels que conçus. Voice2Evolve obtient le consentement explicite de l'utilisateur avant le début de chaque session vocale ; ce consentement englobe l'enregistrement et le traitement IA de la voix pendant la session. Les Clients dont les utilisateurs sont résidents de l'Illinois doivent s'assurer que leur consentement au démarrage de session divulgue clairement le traitement vocal.

ANNEXE F – ADDENDUM CANADIEN SUR LA VIE PRIVÉE

La présente Annexe s'applique dans la mesure où le droit fédéral ou provincial canadien sur la protection de la vie privée régit l'utilisation des Services par le Client ou le traitement des données à caractère personnel par Voice2Evolve pour le compte du Client.

F.1 Lois applicables

Le présent Addendum traite des obligations au titre de :

  • LPRPDE/PIPEDA — la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (L.C. 2000, ch. 5), telle que modifiée ;
  • Loi 25 du Québec — la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (RLRQ c P-39.1), telle que modifiée par L.Q. 2021, c. 25 ;
  • la Personal Information Protection Act (PIPA, SA 2003, c P-6.5) de l'Alberta et la Personal Information Protection Act (PIPA, SBC 2003, c 63) de la Colombie-Britannique, dans la mesure applicable.

F.2 Rôles

Voice2Evolve agit en qualité d'organisation traitant des renseignements personnels pour le compte du Client (en tant que Responsable du traitement) conformément aux instructions documentées du Client, en cohérence avec les rôles définis à la Section 2 du présent MDPA.

F.3 Obligations au titre de la LPRPDE (PIPEDA)

Voice2Evolve doit, en ce qui concerne les renseignements personnels de résidents canadiens :

  1. Collecter, utiliser et divulguer les renseignements personnels uniquement aux fins identifiées auprès du Client et uniquement avec son autorisation, conformément aux principes d'identification des fins et de limitation de la collecte de la LPRPDE.
  2. Mettre en œuvre des mesures de protection techniques et organisationnelles appropriées, proportionnées à la sensibilité des renseignements personnels, conformément au principe des mesures de protection de la LPRPDE et aux mesures prévues à l'Annexe A.
  3. Conserver les renseignements personnels uniquement aussi longtemps que nécessaire pour accomplir les fins pour lesquelles ils ont été collectés, conformément au principe de limitation de l'utilisation, de la communication et de la conservation de la LPRPDE et au calendrier de conservation de la Section 14.
  4. Aider le Client à satisfaire aux demandes d'accès et de correction de résidents canadiens dans un délai raisonnable, conformément aux Principes 9 et 10 de la LPRPDE.
  5. Notifier le Client dès que possible après la découverte d'une atteinte à la protection des renseignements personnels lorsqu'il est raisonnable de croire que l'atteinte crée un risque réel de préjudice grave pour une personne, conformément aux exigences de notification de violation de la LPRPDE (art. 10.1 à 10.3 LPRPDE). Voice2Evolve conservera les registres de toutes ces atteintes pendant une période minimale de deux (2) ans.
  6. S'assurer que tout transfert ultérieur de renseignements personnels de résidents canadiens vers des sous-traitants est soumis à des protections contractuelles équivalentes à celles du présent MDPA.

F.4 Obligations supplémentaires au titre de la Loi 25 du Québec

En plus des obligations prévues à F.3, pour les renseignements personnels de résidents du Québec, Voice2Evolve doit :

  1. Traiter les renseignements personnels uniquement aux fins spécifiques communiquées au Client, conformément aux exigences de limitation des finalités de la Loi 25.
  2. Coopérer avec le Client pour répondre aux demandes de déindexation (droit de rendre des informations moins accessibles) et de portabilité des données (remise des renseignements personnels dans un format technologique structuré et couramment utilisé) de résidents du Québec, dans la mesure techniquement faisable.
  3. Notifier le Client de tout incident de confidentialité (atteinte à la protection des renseignements personnels) impliquant des renseignements personnels de résidents du Québec sans délai indu, permettant au Client de remplir ses propres obligations de notification envers la Commission d'accès à l'information (CAI) et les personnes concernées, le cas échéant, en vertu de la Loi 25.
  4. Appliquer la minimisation des données et la limitation des finalités conformément aux exigences de la Loi 25 pour tout traitement automatisé de renseignements personnels de résidents du Québec.

F.5 Sous-traitants ultérieurs

Les sous-traitants ultérieurs listés à l'Annexe B qui traitent des renseignements personnels de résidents canadiens le font en vertu de clauses contractuelles imposant des obligations de protection des données matériellement équivalentes à celles du présent Addendum. Voice2Evolve reste responsable des actes et omissions de ses sous-traitants ultérieurs concernant un tel traitement.

F.6 Autorité compétente

Les litiges ou plaintes relatifs au traitement de renseignements personnels de résidents canadiens en vertu du présent Addendum peuvent être adressés au Commissariat à la protection de la vie privée du Canada (CPVP) (www.priv.gc.ca) ou, pour les résidents du Québec, à la Commission d'accès à l'information du Québec (CAI) (www.cai.quebec.ca), en plus de tout droit prévu dans le corps principal du présent MDPA.

16. Traitement par les agences de recrutement

La présente section s'applique lorsque le Client est une agence de recrutement, un cabinet de chasseurs de têtes, un cabinet de conseil en recrutement ou une entreprise de travail temporaire utilisant les Services pour soutenir la préparation et le coaching de candidats dans le cadre de l'Avenant pour les agences de recrutement au MSA.

16.1 Nature des personnes concernées

Dans le modèle agence de recrutement, les personnes concernées (candidats) sont des tiers qui n'ont pas directement contracté avec Voice2Evolve. Il s'agit de personnes invitées par le Client (en tant que Responsable du traitement) à utiliser les Services sur instruction du Client. Le Client reste le Responsable du traitement pour toutes les données personnelles traitées dans ce contexte.

16.2 Obligation de notice de confidentialité candidat

Le Client, en tant que Responsable du traitement, doit fournir à chaque candidat une notice de confidentialité conforme à l'article 13 du RGPD avant le début de toute session, conformément à l'Avenant pour les agences de recrutement. Voice2Evolve met à disposition un modèle de notice de confidentialité candidat à l'adresse https://voice2evolve.com/legal/candidate-privacy-notice-template.

16.3 Base légale

Le Client doit identifier et documenter une base légale au titre de l'article 6 du RGPD et, le cas échéant, toute condition nationale supplémentaire applicable aux données d'emploi, telle que le §26 al. 1 BDSG, pour le traitement des données personnelles des candidats via les Services. Le consentement seul peut être insuffisant dans les contextes de recrutement lorsque le droit applicable le considère comme peu fiable en raison du déséquilibre entre recruteur et candidat. Le Client ne doit pas instruire Voice2Evolve de traiter des données de candidats sans base légale documentée.

16.4 Droits des personnes concernées — Accès des candidats

Voice2Evolve assiste techniquement le Client dans le traitement des demandes d'exercice de droits des candidats au titre des articles 15 à 22 du RGPD, conformément à la section 8 du présent MDPA. Voice2Evolve ne répond pas directement aux candidats ; toutes les réponses relatives aux droits sont coordonnées avec le Client en tant que Responsable du traitement et émises par ce dernier.

16.5 Transparence au titre de l'article 22 du RGPD

Les analyses de coaching IA produites par les Services constituent du profilage au sens de l'article 4, point 4 du RGPD. Voice2Evolve affichera sur la page d'analyse accessible au candidat une brève mention indiquant que le rapport de coaching est également visible par le Client (recruteur) à des fins de soutien à la préparation. Cette mention soutient les obligations de transparence du Client au titre de l'article 22, paragraphe 3 du RGPD.

16.6 Finalité de traitement supplémentaire

Aux fins de l'Annexe C (Annexe I des CCT) et de tout AIPD applicable, la finalité de traitement supplémentaire suivante s'applique dans le modèle agence de recrutement : fourniture de sessions de préparation aux entretiens assistées par IA organisées par un Client agence de recrutement ; génération d'analyses de coaching IA (audio vocal en direct pendant les sessions, transcriptions, scores de session, recommandations d'amélioration) accessibles à la fois au candidat et au Client à des fins de débriefing et de soutien à la préparation, conformément à la section 16 du présent MDPA.

16.7 Disponibilité linguistique

Le présent MDPA est actuellement publié en anglais, allemand et français. Les versions en italien et en espagnol n'existent pas encore. Les clients agences de recrutement dont la langue principale de contractualisation est l'italien ou l'espagnol doivent utiliser la version anglaise, qui prévaut conformément à la clause de langue contractuelle du présent MDPA.

Le présent MDPA est conclu par voie électronique et fait partie intégrante de l'Accord. Il devient juridiquement contraignant lors de l'acceptation de l'Accord par le Client par voie électronique, notamment via une case à cocher ou un mécanisme similaire.

Adresse de l'entreprise

Grabenstr. 26, 71254 Ditzingen, Germany

Numéro de TVA: DE459808424