FR

Accord de traitement des données

Accord de traitement des données Suunta.ai (DPA)

Date d'entrée en vigueur: 27/01/2025 · Version: 1.0

GDPR ISO 27001 ZDR

Parties

Responsable du traitement (Client) : L'entité qui a accepté les Conditions d'utilisation Suunta.ai et utilise les Services.

Responsable du traitement (Suunta.ai) : Y4 Works Oy, Numéro d'entreprise : 2978296-6, Adresse : Finlande, Courriel : privacy@suunta.ai

1. Définitions

  • Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable telle que définie à l'article 4(1) du RGPD.
  • Traitement désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, tel que défini à l'article 4(2) du RGPD.
  • Personne concernée désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
  • Sous-traitant désigne tout tiers engagé par Suunta.ai pour traiter des Données personnelles au nom du Client.
  • Services désigne la plateforme Suunta.ai et les services connexes tels que décrits dans les Conditions d'utilisation.
  • RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil (Règlement général sur la protection des données).
  • Clauses contractuelles types (CCT) désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne.
  • Incident de sécurité désigne toute destruction, perte, altération, divulgation non autorisée ou accès accidentels ou illicites aux Données personnelles.

2. Portée et objectif

2.1 Portée Ce DPA s'applique à tout Traitement de Données personnelles par Suunta.ai au nom du Client en relation avec les Services.

2.2 Rôles Le Client agit en tant que Responsable du traitement. Suunta.ai agit en tant que Responsable du traitement. Lorsque Suunta.ai détermine les finalités et les moyens du Traitement (par exemple, pour les analyses d'amélioration du service), Suunta.ai agit en tant que Responsable indépendant et traitera ces données conformément à sa Politique de confidentialité.

2.3 Objectif du traitement Suunta.ai traite les Données personnelles uniquement dans le but de fournir les Services tels que décrits dans les Conditions d'utilisation, y compris :

  • Gestion de compte utilisateur et authentification
  • Fourniture de fonctionnalités de planification stratégique alimentées par l'IA
  • Traitement et stockage des données commerciales soumises par les Utilisateurs
  • Génération d'analyses et recommandations assistées par l'IA
  • Facturation et gestion d'abonnement
  • Support client
  • Sécurité du service et prévention des abus

3. Catégories de données et personnes concernées

3.1 Catégories de personnes concernées

  • Employés et prestataires du Client qui utilisent les Services
  • Autres personnes dont les Données personnelles sont soumises aux Services par le Client

3.2 Catégories de données personnelles

Catégorie Éléments de données Objectif
Données de compteNom, email, téléphone (optionnel), titre de poste, rôleIdentification et accès utilisateur
Données d'authentificationHachage de mot de passe, identifiants SSO, données de sessionAccès sécurisé
Données d'organisationNom de l'organisation, pays, ville, secteur, taillePersonnalisation du service
Données d'utilisationAdresse IP, user agent, horodatages de connexion, journaux d'activitéSécurité et audit
Données commercialesDocuments stratégiques, OKRs, KPIs, projets, tâchesLivraison du service principal
Données de communicationMessages de chat, interactions IAFonctionnalités du service
Données de facturationID client Stripe, détails d'abonnementTraitement des paiements

3.3 Catégories spéciales de données Le Client accepte de ne pas soumettre de catégories spéciales de Données personnelles (telles que définies à l'article 9 du RGPD) aux Services sans le consentement écrit préalable de Suunta.ai.

4. Obligations du responsable du traitement

4.1 Instructions de traitement Suunta.ai traitera les Données personnelles uniquement sur instructions documentées du Client, informera le Client si une instruction enfreint le RGPD et s'assurera que les personnes autorisées sont liées par la confidentialité.

4.2 Mesures de sécurité

Mesure Mise en œuvre
Chiffrement au reposAES-256 (AWS RDS)
Chiffrement en transitTLS 1.2+
Contrôle d'accèsAccès basé sur les rôles, isolement par organisation
AuthentificationHachage de mot de passe (PBKDF2-SHA256), gestion de session
Journalisation d'auditJournalisation complète des activités avec politiques de rétention
SauvegardeSauvegardes quotidiennes automatisées avec récupération à un instant donné
InfrastructureAWS UE (Stockholm, eu-north-1)

4.3 Sous-traitance Suunta.ai peut engager des Sous-traitants sous réserve des conditions de la Section 6.

4.4 Assistance au responsable du traitement Suunta.ai aidera le Client à répondre aux demandes des Personnes concernées, à assurer la conformité aux articles 32-36 du RGPD et à fournir les informations nécessaires pour démontrer la conformité.

4.5 Suppression et retour Lors de la résiliation des Services ou sur demande du Client : (a) le Client peut demander l'exportation des Données client dans les 30 jours suivant la résiliation ; (b) Suunta.ai supprimera les Données personnelles dans les 90 jours suivant la résiliation, sauf si la rétention est requise par la loi ; (c) L'exportation des données est fournie en formats JSON et CSV via les Services.

5. Gestion des données spécifiques à l'IA

5.1 Traitement IA Lorsque les Données client sont traitées via les fonctionnalités IA : (a) les invites et réponses sont transmises aux Fournisseurs d'IA tiers pour traitement ; (b) Suunta.ai ne stocke PAS les invites ou réponses IA dans sa base de données ; (c) seules les métadonnées d'utilisation (tokens, latence, modèle, coût) sont enregistrées pour la facturation et les analyses ; (d) l'historique des conversations de chat est stocké pour permettre la continuité des conversations.

5.2 Pas de formation sur les données client Suunta.ai n'utilisera PAS les Données client pour former, affiner ou améliorer les modèles IA sans consentement écrit explicite. Suunta.ai configure les Fournisseurs d'IA tiers pour désactiver la rétention des données lorsque disponible, se désinscrire de l'utilisation des données de formation et appliquer des politiques de zéro rétention des données lorsque pris en charge.

5.3 Traitement de documents RAG Les documents téléchargés sont traités pour extraire le texte, convertis en intégrations vectorielles, et le texte brut du document est effacé dans les 24 heures suivant l'indexation. Le contenu des fragments et les intégrations sont conservés pour la fonctionnalité du service ; lors de la suppression de la source, tous les fragments et intégrations associés sont supprimés.

6. Sous-traitants

6.1 Sous-traitants autorisés Le Client fournit une autorisation générale pour que Suunta.ai engage les Sous-traitants listés à l'Annexe A.

6.2 Exigences des sous-traitants Suunta.ai conclura des accords écrits avec les Sous-traitants imposant des obligations de protection des données pas moins protectrices que ce DPA, restera responsable de la conformité des Sous-traitants et effectuera une diligence raisonnable appropriée.

6.3 Modifications des sous-traitants Suunta.ai maintiendra une liste à jour des Sous-traitants à https://suunta.ai/legal/subprocessors, notifiera le Client au moins 30 jours avant d'engager un nouveau Sous-traitant et fournira au Client une opportunité de s'opposer pour des raisons raisonnables de protection des données.

6.4 Processus d'opposition Si aucune résolution n'est atteinte dans les 30 jours, le Client peut résilier les Services affectés sans pénalité. Une telle résiliation est le seul recours du Client pour les objections de Sous-traitants.

7. Droits des personnes concernées

7.1 Assistance Suunta.ai aidera le Client à répondre aux demandes des Personnes concernées pour exercer leurs droits en vertu du Chapitre III du RGPD, y compris l'accès, la rectification, l'effacement, la limitation, la portabilité des données et l'opposition.

7.2 Demandes des personnes concernées Si Suunta.ai reçoit une demande directement d'une Personne concernée, Suunta.ai notifiera promptement le Client, ne répondra pas directement sauf autorisation ou exigence légale, et fournira une assistance raisonnable.

7.3 Fonctionnalités en libre-service Les Services incluent des fonctionnalités en libre-service permettant aux Utilisateurs de :

  • Voir et exporter leurs Données personnelles
  • Corriger les informations de compte
  • Supprimer leur compte utilisateur
  • Demander l'exportation des données d'organisation
  • Demander la suppression d'organisation

8. Incidents de sécurité

8.1 Notification Suunta.ai notifiera le Client de tout Incident de sécurité sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance, fournissant une description de l'incident, des personnes concernées et enregistrements affectés, point de contact, conséquences probables et mesures prises.

8.2 Coopération Suunta.ai coopérera avec l'enquête du Client, prendra des mesures raisonnables pour atténuer les effets, fournira des mises à jour et aidera avec les notifications aux autorités de contrôle et aux Personnes concernées.

8.3 Enregistrements Suunta.ai maintient un journal d'audit de conformité immuable pour les événements liés à la sécurité avec une rétention étendue.

9. Transferts internationaux

9.1 Localisations de traitement Le traitement principal des données se produit dans l'UE (AWS eu-north-1, Stockholm). Certains traitements peuvent se produire aux États-Unis via les Fournisseurs d'IA tiers.

9.2 Mécanismes de transfert Pour les transferts vers des pays sans décision d'adéquation de l'UE, Suunta.ai s'appuie sur les Clauses contractuelles types (Module 2 : Responsable à Responsable du traitement, Module 3 : Responsable du traitement à Responsable du traitement), mesures supplémentaires et certifications des Sous-traitants le cas échéant.

9.3 Évaluation d'impact sur les transferts Suunta.ai a effectué des évaluations d'impact sur les transferts vers les États-Unis, considérant :

  • Nature des données transférées (principalement invites/requêtes, pas de Données personnelles en vrac)
  • Mesures techniques (chiffrement, configurations de zéro rétention des données)
  • Cadre juridique du pays de destination
  • Protections contractuelles avec les Sous-traitants

10. Droits d'audit

10.1 Informations d'audit Sur demande écrite du Client (pas plus d'une fois par an), Suunta.ai fournira un résumé des mesures de sécurité, des résultats d'audit tiers (sous réserve de confidentialité), confirmation de la conformité des Sous-traitants et enregistrements des Incidents de sécurité affectant les Données client.

10.2 Audits sur site Les audits sur site nécessitent un préavis écrit de 30 jours, sont effectués pendant les heures ouvrables avec une perturbation minimale, aux frais du Client, sous confidentialité et limités à la conformité DPA.

10.3 Certifications Suunta.ai travaille vers les certifications SOC 2 Type II et ISO 27001. Une fois obtenues, les rapports d'audit seront mis à disposition des Clients sous NDA.

11. Rétention des données

11.1 Périodes de rétention

Catégorie de données Période de rétention Notes
Données de compte activesDurée des ServicesSupprimées lors de la suppression du compte
Comptes utilisateur supprimésAnonymisés immédiatementRétention de sauvegarde de 90 jours
Métadonnées d'utilisation IA365 joursComptes de tokens, coûts
Journaux d'audit (standard)24 moisOpérations CRUD
Journaux d'audit (critiques)36 moisSuppressions, événements de sécurité
Journaux d'audit de conformité7 ansImmuables, rétention réglementaire
Enregistrements de facturation6 ansDroit comptable finlandais
Sauvegardes30 joursRotation automatisée

11.2 Processus de suppression La suppression d'organisation suit un processus structuré : demande de suppression avec confirmation de mot de passe ; période de grâce de 30 jours (annulable) ; annulation d'abonnement Stripe ; suppression systématique de toutes les données d'organisation ; entrée de journal d'audit de conformité immuable.

12. Responsabilité

La responsabilité de chaque partie en vertu de ce DPA est soumise aux limitations énoncées dans les Conditions d'utilisation. Chaque partie indemnisera l'autre pour les pertes découlant de la violation par la partie indemnisante de ce DPA ou des lois applicables sur la protection des données.

13. Durée et résiliation

Ce DPA reste en vigueur pendant la durée des Conditions d'utilisation. Les Sections 5 (Gestion des données spécifiques à l'IA), 8 (Incidents de sécurité), 11 (Rétention des données) et 12 (Responsabilité) survivent à la résiliation.

14. Droit applicable

Ce DPA est régi par les lois de la Finlande. Les différends seront résolus conformément aux dispositions de résolution des litiges des Conditions d'utilisation.

15. Contact

Pour les demandes de protection des données : Y4 Works Oy (Suunta.ai), Courriel : privacy@suunta.ai

Annexe A : Sous-traitants autorisés

Dernière mise à jour : 27/01/2025. Consultez la liste complète à https://suunta.ai/legal/subprocessors.

Annexe B : Mesures techniques et organisationnelles

1. Contrôle d'accès

  • Contrôle d'accès basé sur les rôles (RBAC)
  • Isolation des données au niveau de l'organisation (architecture multi-locataire)
  • Comptes utilisateur uniques avec authentification sécurisée
  • Gestion de session avec délais d'expiration configurables
  • Protection contre la force brute avec verrouillage de compte

2. Chiffrement

  • Données au repos : chiffrement AES-256 (AWS RDS)
  • Données en transit : TLS 1.2+ pour toutes les connexions
  • Stockage des mots de passe : hachage PBKDF2-SHA256

3. Disponibilité et résilience

  • Infrastructure AWS avec haute disponibilité
  • Sauvegardes quotidiennes automatisées avec récupération à un instant donné
  • Procédures de reprise après sinistre

4. Surveillance et journalisation

  • Journalisation d'audit complète des activités utilisateur
  • Suivi de l'utilisation IA (métadonnées uniquement)
  • Surveillance des événements de sécurité
  • Rétention des journaux selon la Section 11

5. Réponse aux incidents

  • Procédures documentées de réponse aux incidents
  • Engagement de notification d'incident de 72 heures
  • Piste d'audit de conformité immuable

6. Personnel

  • Obligations de confidentialité pour tout le personnel
  • Formation à la sensibilisation à la sécurité
  • Principe du moindre privilège

7. Gestion des fournisseurs

  • Diligence raisonnable sur les Sous-traitants
  • Exigences contractuelles de protection des données
  • Examen régulier de la conformité des Sous-traitants