Contrat de sous-traitance (DPA)

Contrat de sous-traitance conformément à l'Art. 28 RGPD

entre l'utilisateur du service BonusVoice (ci-après « Responsable du traitement ») et

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Allemagne E-mail : info@bonusvoice.de Téléphone : +49 201-89083160

(ci-après « Sous-traitant »)

§ 1 – Objet et durée du traitement

(1) Le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement dans le cadre du service BonusVoice (transcription et résumé de fichiers audio assistés par IA).

(2) La durée du traitement correspond à la durée du contrat d'utilisation. Le traitement prend fin avec la suppression du compte utilisateur. Les données personnelles seront supprimées dans un délai de 30 jours après la suppression du compte, sauf obligation légale de conservation.

§ 2 – Nature et finalité du traitement

Le traitement comprend les activités suivantes :

  • Stockage des enregistrements audio, transcriptions et résumés
  • Traitement IA pour la transcription (reconnaissance vocale) et le résumé
  • Gestion des utilisateurs (création de compte, authentification, appartenance à une organisation)
  • Envoi d'e-mails (confirmation de compte, notifications, envoi de transcriptions)
  • Traitement des paiements (gestion des abonnements et facturation)

§ 3 – Types de données personnelles

Les catégories de données suivantes sont traitées :

  • Nom et adresse e-mail
  • Mot de passe (stocké chiffré)
  • Appartenance à une organisation
  • Enregistrements audio et transcriptions et résumés dérivés
  • Métadonnées (titre, description, durée, langue des enregistrements)
  • Données de paiement (traitées par Stripe, non stockées par le Sous-traitant)
  • Données de journaux serveur (adresse IP, navigateur, horodatage)

§ 4 – Catégories de personnes concernées

  • Utilisateurs enregistrés du service
  • Personnes capturées dans les enregistrements audio (interlocuteurs)

§ 5 – Obligations du Sous-traitant

(1) Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable du traitement, sauf obligation légale de l'Union ou d'un État membre.

(2) Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à la confidentialité.

(3) Le Sous-traitant met en œuvre toutes les mesures requises par l'Art. 32 RGPD, notamment :

  • Chiffrement SSL/TLS de toutes les transmissions de données
  • Stockage chiffré de tous les fichiers audio sur le stockage objet
  • Stockage chiffré des mots de passe
  • Contrôle d'accès et concept d'autorisation
  • Mises à jour de sécurité régulières de tous les systèmes
  • Localisation des serveurs exclusivement en Allemagne et dans l'UE

(4) Le Sous-traitant aide le Responsable du traitement à respecter les obligations visées aux Articles 32 à 36 RGPD.

(5) À la fin du traitement, le Sous-traitant supprime toutes les données personnelles, sauf obligation légale de conservation.

(6) Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Art. 28 RGPD.

§ 6 – Sous-traitants ultérieurs

(1) Le Responsable du traitement accepte le recours aux sous-traitants ultérieurs suivants :

6.1 Hetzner Online GmbH

| | | |---|---| | Finalité | Hébergement serveur et stockage de fichiers (Object Storage) | | Adresse | Industriestr. 25, 91710 Gunzenhausen, Allemagne | | Localisation des serveurs | Allemagne | | Données traitées | Toutes les données utilisateurs et de contenu, fichiers audio, transcriptions | | DPA | Contrat de sous-traitance conformément à l'Art. 28 RGPD en place |

6.2 Mistral AI

| | | |---|---| | Finalité | Traitement IA : transcription (modèle Voxtral) et résumé | | Adresse | 15 Rue des Halles, 75001 Paris, France | | Localisation des serveurs | UE (France) | | Données traitées | Fichiers audio (pour transcription), transcriptions (pour résumé) | | Remarque | Tout le traitement IA a lieu exclusivement dans l'UE. Aucun transfert de données vers des pays tiers. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalité | Envoi d'e-mails (confirmation de compte, notifications, envoi de transcriptions) | | Adresse | Hauptstraße 68, 02742 Friedersdorf, Allemagne | | Localisation des serveurs | Allemagne | | Données traitées | Adresse e-mail, nom, contenu des e-mails |

6.4 Stripe, Inc.

| | | |---|---| | Finalité | Traitement des paiements (cartes de crédit, SEPA, gestion des abonnements) | | Adresse | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Localisation du traitement | UE (Stripe traite les données de paiement européennes dans l'UE) | | Données traitées | Informations de paiement (données de carte de crédit, données SEPA). Ces données sont traitées exclusivement par Stripe et ne sont pas stockées par le Sous-traitant. | | Remarque | Stripe est exclusivement responsable du traitement des paiements. Aucune donnée audio, transcription ou contenu n'est transmise à Stripe. | | Garanties | EU-US Data Privacy Framework, Clauses contractuelles types (CCT) |

6.5 Google Ireland Limited (optionnel)

| | | |---|---| | Finalité | Authentification (Google OAuth 2.0) — uniquement si l'utilisateur choisit activement de se connecter avec Google | | Adresse | Gordon House, Barrow Street, Dublin 4, Irlande | | Localisation du traitement | UE (Irlande) | | Données traitées | Nom et adresse e-mail de l'utilisateur (uniquement pour l'identification du compte) | | Remarque | Google OAuth est entièrement optionnel. Les utilisateurs peuvent toujours se connecter par e-mail/mot de passe ou lien magique. Aucun enregistrement audio, transcription, résumé ou autre donnée de contenu n'est transmis à Google. | | Garanties | EU-US Data Privacy Framework, Clauses contractuelles types (CCT) |

(2) Le Sous-traitant informera le Responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement de sous-traitants ultérieurs. Le Responsable du traitement peut s'opposer à ces modifications.

§ 7 – Transferts vers des pays tiers

(1) Un transfert de données personnelles vers des pays tiers (hors EEE) n'a pas lieu en règle générale.

(2) Exceptions :

  • Stripe (traitement des paiements) : Stripe, Inc. est basée aux USA mais traite les données européennes dans l'UE. Le EU-US Data Privacy Framework et les clauses contractuelles types s'appliquent.
  • Google (uniquement pour Google OAuth) : Google Ireland Limited traite les données dans l'UE. Uniquement lorsque l'utilisateur choisit activement la connexion Google.

(3) Le traitement IA (transcription et résumé) ainsi que le stockage de toutes les données de contenu et utilisateurs ont lieu exclusivement en Allemagne et dans l'UE.

§ 8 – Droits des personnes concernées

Le Sous-traitant aide le Responsable du traitement à respecter les droits des personnes concernées conformément aux Art. 12–22 RGPD, notamment :

  • Droit d'accès (Art. 15 RGPD)
  • Droit de rectification (Art. 16 RGPD)
  • Droit à l'effacement (Art. 17 RGPD)
  • Droit à la limitation du traitement (Art. 18 RGPD)
  • Droit à la portabilité des données (Art. 20 RGPD)

Les utilisateurs peuvent consulter, exporter et supprimer leurs données à tout moment via leur compte utilisateur.

§ 9 – Notification des violations de données

Le Sous-traitant informe le Responsable du traitement sans retard injustifié, et au plus tard dans les 48 heures, de toute violation de données personnelles conformément à l'Art. 33 RGPD.

§ 10 – Droits de contrôle

(1) Le Responsable du traitement a le droit de vérifier le respect du présent contrat de manière raisonnable.

(2) Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires et permet des audits y compris des inspections.

§ 11 – Durée et résiliation

Le présent contrat s'applique pendant toute la durée d'utilisation du service BonusVoice. Il prend effet lors de l'inscription et prend fin avec la suppression du compte utilisateur.

§ 12 – Dispositions finales

(1) Si certaines dispositions du présent contrat s'avèrent invalides, la validité des dispositions restantes n'en est pas affectée.

(2) Le droit de la République fédérale d'Allemagne s'applique.

(3) Le tribunal compétent est celui d'Essen, Allemagne.

Dernière mise à jour : Mars 2026

Contact pour les questions relatives à la protection des données : info@bonusvoice.de