← Accueil

Accord de Traitement des Données (DPA)

Version en vigueur le : 30 juin 2026

Parties

Responsable du traitement (le « Client ») : le Professionnel utilisant le Service, tel qu'identifié dans son compte / son offre.

Sous-traitant (le « Prestataire ») : Diarytree SAS — Siège social : Paris, France — contact@diarytree.com

Sauf accord particulier, le présent accord fait partie intégrante des Conditions Générales du Prestataire et s'applique chaque fois que le Prestataire traite des données à caractère personnel pour le compte du Client.

1. Objet et contexte

Le Prestataire fournit une plateforme de réservation et de gestion d'agenda en ligne et un assistant téléphonique IA (le « Service »). Le présent accord précise les conditions dans lesquelles le Prestataire traite des données à caractère personnel pour le compte et sur instruction du Client, en qualité de sous-traitant au sens du RGPD.

2. Nature, finalités, objet et base légale

Le Client fournit au Prestataire les données nécessaires à la fourniture du Service. Les opérations de traitement peuvent inclure : collecte, organisation, structuration, conservation, adaptation, consultation, mise en relation, restriction, effacement, copie, analyse, réception, transmission et mise à jour. La finalité du traitement est la fourniture contractuelle du Service.

3. Catégories de données et de personnes concernées

Catégories de données pouvant être traitées : données d'identification et de contact, données d'authentification et d'accès technique, données de rendez-vous, numéros de téléphone, métadonnées de téléphonie, données de conversation et données audio (voix), transcriptions, instructions et informations liées à l'IA, données d'usage et d'interaction, texte libre, données de facturation et de paiement, journaux, préférences.

Catégories particulières (art. 9 RGPD) : en règle générale non requises. Si l'activité du Client le justifie (ex. secteur bien-être/santé), des données de santé peuvent être traitées et le Client en assume la licéité.

Personnes concernées : Clients finals du Client, personnel du Client, et autres personnes en relation avec le Client.

4. Obligations du Prestataire

  • Instructions documentées : traitement uniquement sur instruction documentée du Client (l'accord constituant l'instruction initiale).
  • Minimisation : traitement limité à ce qui est nécessaire à la fourniture du Service (art. 5.1.c RGPD).
  • Confidentialité : seules les personnes habilitées, soumises à une obligation de confidentialité, accèdent aux données.
  • Sécurité : mise en œuvre et maintien de mesures techniques et organisationnelles appropriées décrites à l'Annexe 1.
  • Assistance : aide au Client pour répondre aux demandes d'exercice des droits, assurer la sécurité, réaliser les AIPD et tenir le registre.
  • Notification de violation : information du Client sans délai injustifié et au plus tard dans les 24 heures suivant la prise de connaissance d'une violation.
  • Alerte sur instruction illicite : information du Client si le Prestataire estime qu'une instruction constitue une violation du RGPD.

5. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés en Annexe 3. Le Prestataire informe le Client de tout ajout ou remplacement au moins 2 semaines à l'avance. Le Client peut s'opposer pour un motif légitime de protection des données. Le Prestataire impose des obligations équivalentes à ses sous-traitants ultérieurs.

6. Transferts internationaux

Tout transfert hors de l'Espace économique européen est réalisé conformément au RGPD, sur le fondement d'une décision d'adéquation ou de garanties appropriées (clauses contractuelles types, etc.). Les garanties retenues sont indiquées en Annexe 3.

7. Audit

Le Prestataire permet au Client (ou à un auditeur tiers soumis à confidentialité) de vérifier le respect du présent accord, moyennant un préavis raisonnable. Les coûts d'audit sont à la charge du Client, sauf si l'audit révèle un manquement grave du Prestataire.

8. Durée, restitution et suppression

À la fin de la prestation ou sur demande du Client, le Prestataire supprime ou restitue les données traitées, au choix du Client, sous réserve des obligations légales de conservation. À défaut d'instruction du Client, le Prestataire supprime les données dans un délai de 6 mois après la fin du contrat.

9. Dispositions finales

Toute modification requiert un écrit (y compris électronique). Le présent accord est régi par le droit français. La nullité d'une clause n'affecte pas la validité des autres.

Annexe 1 — Mesures techniques et organisationnelles (MTO)

Mesures techniques

Hébergement dans un centre de données certifié (ISO 27001) dans l'UE. Séparation stricte production/test. Pare-feu et TLS/HTTPS. Durcissement des systèmes, anti-malware, gestion des correctifs. IAM, moindre privilège, MFA, expiration automatique des sessions. Chiffrement en transit et au repos, pseudonymisation. Journaux d'audit et sauvegardes régulières. Analyses de vulnérabilités et tests d'intrusion.

Mesures organisationnelles

Politiques de sécurité revues régulièrement. DPO désigné le cas échéant, privacy by design et by default. Registre des traitements, AIPD et analyses de transfert. Évaluation des sous-traitants et DPA. Formation du personnel, procédures de réponse aux incidents et de notification de violation, concept de suppression/rétention, revues régulières.

Annexe 2 — Clauses additionnelles

Ni le Prestataire ni ses sous-traitants ultérieurs n'utilisent les données à caractère personnel pour l'entraînement, l'amélioration ou l'évaluation de modèles d'IA. Lorsque l'accord est conclu via un partenaire revendeur, le Prestataire agit en qualité de sous-traitant ultérieur de ce partenaire.

Annexe 3 — Sous-traitants ultérieurs

Liste des sous-traitants ultérieurs utilisés par Diarytree SAS au 30 juin 2026.

Sous-traitantServiceBase de transfert hors UELocalisation
Hetzner Online GmbHHébergementn/aUE (Allemagne)
Stripe Payments Europe Ltd.PaiementDPF / SCCUE (Irlande)
Twilio Ireland Ltd.Envoi de SMS / WhatsAppDPF / SCCUE (Irlande)
Vapi Inc.Assistant vocal IA (appels)SCC (mod. 3)États-Unis (avec garanties)
Meta Platforms Ireland Ltd.Messagerie WhatsApp / InstagramDPF / SCCUE (Irlande)
SendGrid (Twilio) Inc.E-mail transactionnelDPF / SCCÉtats-Unis (avec garanties)
Google Ireland LimitedModèle de langage (IA)SCC (mod. 3)UE (Irlande)
Accueil·CGU·Politique de confidentialité·Mentions légales