FR-CA

Entente de traitement des données

Entente de traitement des données de Suunta.ai (DPA)

Date d'entrée en vigueur: 27 janvier 2025 · Version: 1.0

GDPR ISO 27001 ZDR

Parties

Responsable du traitement (Client) : L'entité qui a accepté les Conditions d'utilisation de Suunta.ai et utilise les Services.

Sous-traitant (Suunta.ai) : Y4 Works Oy, Business ID: 2978296-6, Adresse : Finlande, Courriel : privacy@suunta.ai

1. Définitions

  • Données personnelles désigne toute information relative à une personne physique identifiée ou identifiable telle que définie à l'Article 4(1) du RGPD.
  • Traitement désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles, tel que défini à l'Article 4(2) du RGPD.
  • Personne concernée désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
  • Sous-traitant secondaire désigne tout tiers engagé par Suunta.ai pour traiter des Données personnelles pour le compte du Client.
  • Services désigne la plateforme Suunta.ai et les services connexes tels que décrits dans les Conditions d'utilisation.
  • RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil (Règlement général sur la protection des données).
  • Clauses contractuelles types (SCC) désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne.
  • Incident de sécurité désigne toute destruction accidentelle ou illicite, perte, altération, divulgation non autorisée ou accès à des Données personnelles.

2. Portée et finalité

2.1 Portée Cette Entente s'applique à tout Traitement de Données personnelles par Suunta.ai pour le compte du Client dans le cadre des Services.

2.2 Rôles Le Client agit comme Responsable du traitement. Suunta.ai agit comme Sous-traitant. Lorsque Suunta.ai détermine les finalités et les moyens du traitement (p. ex., pour l'analytique d'amélioration des services), Suunta.ai agit comme Responsable indépendant et traitera ces données conformément à sa Politique de confidentialité.

2.3 Finalité du traitement Suunta.ai traite les Données personnelles uniquement afin de fournir les Services décrits dans les Conditions d'utilisation, notamment :

  • Gestion des comptes utilisateurs et authentification
  • Fourniture de fonctionnalités de planification stratégique propulsées par l'IA
  • Traitement et stockage des données d'affaires soumises par les Utilisateurs
  • Génération d'analyses et de recommandations assistées par IA
  • Facturation et gestion des abonnements
  • Soutien client
  • Sécurité du service et prévention des abus

3. Catégories de données et personnes concernées

3.1 Catégories de personnes concernées

  • Employés et contractuels du Client qui utilisent les Services
  • Autres personnes dont les Données personnelles sont soumises aux Services par le Client

3.2 Catégories de Données personnelles

Catégorie Éléments de données Finalité
Données de compteNom, courriel, téléphone (optionnel), titre, rôleIdentification et accès de l'utilisateur
Données d'authentificationHachage du mot de passe, identifiants SSO, données de sessionAccès sécurisé
Données d'organisationNom de l'organisation, pays, ville, secteur, taillePersonnalisation du service
Données d'utilisationAdresse IP, user agent, horodatages de connexion, journaux d'activitéSécurité et audit
Données d'affairesDocuments stratégiques, OKR, KPI, projets, tâchesPrestation principale du service
Données de communicationMessages de clavardage, interactions IAFonctionnalités du service
Données de facturationStripe Customer ID, détails d'abonnementTraitement des paiements

3.3 Catégories particulières de données Le Client accepte de ne pas soumettre de catégories particulières de Données personnelles (tel que défini à l'Article 9 du RGPD) aux Services sans le consentement écrit préalable de Suunta.ai.

4. Obligations du sous-traitant

4.1 Instructions de traitement Suunta.ai traitera les Données personnelles uniquement sur instructions documentées du Client, informera le Client si une instruction enfreint le RGPD et veillera à ce que les personnes autorisées soient tenues à la confidentialité.

4.2 Mesures de sécurité

Mesure Mise en œuvre
Chiffrement au reposAES-256 (AWS RDS)
Chiffrement en transitTLS 1.2+
Contrôle d'accèsAccès basé sur les rôles, isolation par organisation
AuthentificationHachage de mots de passe (PBKDF2-SHA256), gestion des sessions
Journalisation d'auditJournalisation complète des activités avec politiques de conservation
SauvegardeSauvegardes quotidiennes automatisées avec restauration point-in-time
InfrastructureAWS UE (Stockholm, eu-north-1)

4.3 Sous-traitance Suunta.ai peut engager des sous-traitants soumis aux conditions de la Section 6.

4.4 Assistance au Responsable Suunta.ai aidera le Client à répondre aux demandes des personnes concernées, à assurer la conformité aux Articles 32-36 du RGPD et à fournir les informations nécessaires pour démontrer la conformité.

4.5 Suppression et restitution À la résiliation des Services ou sur demande du Client : (a) le Client peut demander l'exportation des Données du Client dans les 30 jours suivant la résiliation; (b) Suunta.ai supprimera les Données personnelles dans les 90 jours suivant la résiliation, sauf si la loi exige la conservation; (c) l'exportation des données est fournie en formats JSON et CSV via les Services.

5. Gestion des données spécifique à l'IA

5.1 Traitement IA Lorsque les Données du Client sont traitées via des fonctionnalités d'IA : (a) les prompts et réponses sont transmis aux Fournisseurs d'IA tiers pour traitement; (b) Suunta.ai NE stocke PAS les prompts ni les réponses IA dans sa base de données; (c) seules des métadonnées d'utilisation (tokens, latence, modèle, coût) sont consignées pour la facturation et l'analytique; (d) l'historique de conversation est stocké pour assurer la continuité.

5.2 Aucun entraînement sur les Données du Client Suunta.ai N'utilisera pas les Données du Client pour entraîner, affiner ou améliorer des modèles d'IA sans consentement écrit explicite. Suunta.ai configure les Fournisseurs d'IA tiers pour désactiver la conservation des données lorsque disponible, se retirer de l'utilisation des données pour l'entraînement et appliquer des politiques de zero data retention lorsque prises en charge.

5.3 Traitement des documents RAG Les documents téléversés sont traités pour extraire du texte, convertis en embeddings vectoriels et le texte brut est supprimé dans les 24 heures suivant l'indexation. Le contenu des chunks et les embeddings sont conservés pour la fonctionnalité du service; la suppression d'une source retire tous les chunks et embeddings associés.

6. Sous-traitants

6.1 Sous-traitants autorisés Le Client donne une autorisation générale à Suunta.ai d'engager les sous-traitants listés à l'Annexe A.

6.2 Exigences pour les sous-traitants Suunta.ai conclura des accords écrits avec les sous-traitants imposant des obligations de protection des données au moins équivalentes à celles du présent DPA, demeurera responsable de la conformité des sous-traitants et effectuera une diligence raisonnable appropriée.

6.3 Changements de sous-traitants Suunta.ai maintiendra une liste à jour des sous-traitants à https://suunta.ai/legal/subprocessors, avisera le Client au moins 30 jours avant d'engager un nouveau sous-traitant et donnera au Client l'occasion de s'y opposer pour des motifs raisonnables de protection des données.

6.4 Processus d'opposition Si aucune résolution n'est atteinte dans les 30 jours, le Client peut résilier les Services concernés sans pénalité. Cette résiliation constitue le seul recours du Client pour les oppositions aux sous-traitants.

7. Droits des personnes concernées

7.1 Assistance Suunta.ai assistera le Client dans la réponse aux demandes des personnes concernées pour exercer leurs droits en vertu du Chapitre III du RGPD, y compris l'accès, la rectification, l'effacement, la limitation, la portabilité et l'opposition.

7.2 Demandes des personnes concernées Si Suunta.ai reçoit une demande directement d'une personne concernée, Suunta.ai avisera rapidement le Client, ne répondra pas directement sauf autorisation ou obligation légale, et fournira une assistance raisonnable.

7.3 Fonctionnalités en libre-service Les Services incluent des fonctionnalités en libre-service permettant aux Utilisateurs de :

  • Consulter et exporter leurs Données personnelles
  • Corriger les informations de compte
  • Supprimer leur compte utilisateur
  • Demander l'exportation des données de l'organisation
  • Demander la suppression de l'organisation

8. Incidents de sécurité

8.1 Avis Suunta.ai avisera le Client de tout Incident de sécurité sans délai indu et, en tout état de cause, dans les 72 heures suivant la prise de connaissance, en fournissant une description de l'incident, les personnes concernées et dossiers affectés, un point de contact, les conséquences probables et les mesures prises.

8.2 Coopération Suunta.ai coopérera à l'enquête du Client, prendra des mesures raisonnables pour atténuer les effets, fournira des mises à jour et aidera aux notifications aux autorités de contrôle et aux personnes concernées.

8.3 Registres Suunta.ai maintient un registre d'audit de conformité immuable pour les événements pertinents de sécurité avec conservation prolongée.

9. Transferts internationaux

9.1 Lieux de traitement Le traitement principal des données se fait dans l'UE (AWS eu-north-1, Stockholm). Certains traitements peuvent avoir lieu aux États-Unis via des Fournisseurs d'IA tiers.

9.2 Mécanismes de transfert Pour les transferts vers des pays sans décision d'adéquation de l'UE, Suunta.ai s'appuie sur les Clauses contractuelles types (Module 2 : Responsable vers Sous-traitant, Module 3 : Sous-traitant vers Sous-traitant), des mesures supplémentaires et des certifications des sous-traitants lorsque applicable.

9.3 Évaluation d'impact des transferts Suunta.ai a réalisé des évaluations d'impact pour les transferts vers les États-Unis, en considérant :

  • Nature des données transférées (principalement prompts/requêtes, pas de données personnelles massives)
  • Mesures techniques (chiffrement, configurations de zero data retention)
  • Cadre juridique du pays de destination
  • Protections contractuelles avec les sous-traitants

10. Droits d'audit

10.1 Informations d'audit Sur demande écrite du Client (au maximum une fois par an), Suunta.ai fournira un résumé des mesures de sécurité, des résultats d'audits tiers (sous réserve de confidentialité), une confirmation de la conformité des sous-traitants et des registres d'Incidents de sécurité affectant les Données du Client.

10.2 Audits sur site Les audits sur site nécessitent un préavis écrit de 30 jours, sont réalisés pendant les heures ouvrables avec perturbation minimale, aux frais du Client, sous confidentialité et limités à la conformité du DPA.

10.3 Certifications Suunta.ai travaille vers les certifications SOC 2 Type II et ISO 27001. Une fois obtenues, les rapports d'audit seront disponibles pour les Clients sous NDA.

11. Conservation des données

11.1 Périodes de conservation

Catégorie de données Période de conservation Notes
Données de compte activesDurée des ServicesSupprimées à la suppression du compte
Comptes utilisateurs supprimésAnonymisés immédiatementConservation des sauvegardes 90 jours
Métadonnées d'utilisation de l'IA365 joursComptes de tokens, coûts
Journaux d'audit (standard)24 moisOpérations CRUD
Journaux d'audit (critiques)36 moisSuppressions, événements de sécurité
Journaux d'audit de conformité7 ansImmuables, conservation réglementaire
Enregistrements de facturation6 ansLoi comptable finlandaise
Sauvegardes30 joursRotation automatisée

11.2 Processus de suppression La suppression de l'organisation suit un processus structuré : demande de suppression avec confirmation du mot de passe; période de grâce de 30 jours (annulable); annulation de l'abonnement Stripe; suppression systématique de toutes les données de l'organisation; entrée d'audit de conformité immuable.

12. Responsabilité

La responsabilité de chaque partie en vertu de ce DPA est soumise aux limitations prévues dans les Conditions d'utilisation. Chaque partie indemnisera l'autre pour les pertes résultant d'une violation du présent DPA ou des lois applicables en matière de protection des données.

13. Durée et résiliation

Ce DPA reste en vigueur pendant la durée des Conditions d'utilisation. Les Sections 5 (Gestion des données spécifique à l'IA), 8 (Incidents de sécurité), 11 (Conservation des données) et 12 (Responsabilité) survivent à la résiliation.

14. Droit applicable

Ce DPA est régi par les lois de la Finlande. Les différends seront réglés conformément aux dispositions de règlement des différends des Conditions d'utilisation.

15. Contact

Pour les questions de protection des données : Y4 Works Oy (Suunta.ai), Courriel : privacy@suunta.ai

Annexe A : Sous-traitants autorisés

Dernière mise à jour : 27 janvier 2025. Consultez la liste complète à https://suunta.ai/legal/subprocessors.

Annexe B : Mesures techniques et organisationnelles

1. Contrôle d'accès

  • Contrôle d'accès basé sur les rôles (RBAC)
  • Isolation des données au niveau de l'organisation (architecture multi-tenant)
  • Comptes utilisateurs uniques avec authentification sécurisée
  • Gestion des sessions avec délais configurables
  • Protection contre le brute-force avec verrouillage de compte

2. Chiffrement

  • Données au repos : chiffrement AES-256 (AWS RDS)
  • Données en transit : TLS 1.2+ pour toutes les connexions
  • Stockage des mots de passe : hachage PBKDF2-SHA256

3. Disponibilité et résilience

  • Infrastructure AWS avec haute disponibilité
  • Sauvegardes quotidiennes automatisées avec restauration point-in-time
  • Procédures de reprise après sinistre

4. Surveillance et journalisation

  • Journalisation complète des activités des utilisateurs
  • Suivi de l'utilisation de l'IA (métadonnées uniquement)
  • Surveillance des événements de sécurité
  • Conservation des journaux selon la Section 11

5. Réponse aux incidents

  • Procédures documentées de réponse aux incidents
  • Engagement de notification de violation sous 72 heures
  • Piste d'audit de conformité immuable

6. Personnel

  • Obligations de confidentialité pour tout le personnel
  • Formation à la sécurité
  • Principe du moindre privilège

7. Gestion des fournisseurs

  • Diligence raisonnable des sous-traitants
  • Exigences contractuelles de protection des données
  • Révision régulière de la conformité des sous-traitants