Data Processing Agreement (DPA)

Préambule

Le présent Data Processing Agreement (« DPA ») est conclu entre :

• le Client, personne morale ou physique ayant souscrit au Service Sylen via les Conditions Générales de Vente, agissant en qualité de responsable du traitement au sens de l'article 4.7 du RGPD ;
• et SYLEN SAS, Société par Actions Simplifiée au capital de 1 500 €, immatriculée au RCS de Nancy sous le numéro 999 064 215, SIRET 999 064 215 00014, TVA intracommunautaire FR 36 999 064 215, dont le siège social est situé 31 rue de Turique, 54000 Nancy, France, représentée par son Président M. Idris MAADI, agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD (ci-après « Sylen »).

Le présent DPA est indissociable des CGV et fait partie intégrante du Contrat entre le Client et Sylen. Il est accepté automatiquement par le Client au moment de la souscription et prévaut sur toute stipulation contraire des CGV s'agissant des obligations RGPD.

01Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles Sylen, en qualité de sous-traitant, traite pour le compte du Client les données personnelles nécessaires à la fourniture du Service Sylen, conformément aux obligations de l'article 28 du RGPD.

Il précise notamment :

• la nature, la finalité, la durée et l'objet du traitement (Annexe 1) ;
• les catégories de données et de personnes concernées (Annexe 1) ;
• les obligations et responsabilités des Parties ;
• les mesures techniques et organisationnelles de sécurité (Annexe 2) ;
• la liste des sous-traitants ultérieurs autorisés (Annexe 3) ;
• les conditions des transferts hors Union européenne.

02Définitions

Les termes utilisés dans le présent DPA ont le sens qui leur est donné par l'article 4 du RGPD. En particulier :

• Client ou Responsable du traitement : la personne morale ou physique ayant souscrit au Service Sylen, déterminant les finalités et les moyens du traitement des données des personnes concernées.
• Sylen ou Sous-traitant : SYLEN SAS, traitant les données pour le compte et sur instructions du Client.
• Personnes concernées : les personnes physiques identifiées ou identifiables dont les données sont traitées — principalement les appelants de l'agent IA, et secondairement les contacts professionnels, prospects et employés du Client saisis dans le CRM et l'agenda.
• Données personnelles : toute information se rapportant à une personne concernée au sens de l'article 4.1 du RGPD.
• Traitement : toute opération effectuée sur des données personnelles au sens de l'article 4.2 du RGPD.
• Violation de données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles (art. 4.12 RGPD).
• Sous-traitant ultérieur : tiers auquel Sylen confie tout ou partie du traitement effectué pour le compte du Client (hébergement, téléphonie, modèle d'IA, email, paiement, calendrier).
• Service : le service Sylen (site sylen.ai et application app.sylen.ai) tel que décrit dans les CGV.

03Description du traitement

La description détaillée du traitement confié à Sylen (nature, finalité, durée, catégories de données, catégories de personnes concernées) figure à l'Annexe 1 du présent DPA.

En synthèse, Sylen traite pour le compte du Client les données suivantes :

• métadonnées d'appels (numéro appelant, horodatage, durée, statut) ;
• transcriptions textuelles générées en temps réel à partir du flux audio (aucun enregistrement audio n'est conservé) ;
• résumés d'appel et intentions détectées ;
• messages pris par l'agent à destination du Client ;
• rendez-vous créés, modifiés ou annulés par l'agent ;
• contacts et prospects (CRM interne) saisis par le Client ou créés par l'agent.

04Obligations du Sous-traitant

4.1 Traitement sur instructions documentées (art. 28.3.a)

Sylen ne traite les données personnelles que sur instructions documentées du Client, y compris en ce qui concerne les transferts hors Union européenne, sauf obligation imposée par le droit de l'Union ou d'un État membre. Dans ce dernier cas, Sylen en informe le Client préalablement au traitement, sauf interdiction légale.

Les instructions du Client sont matérialisées par :

• les présentes stipulations et ses annexes ;
• les Conditions Générales de Vente (CGV) et les Conditions Générales d'Utilisation (CGU) ;
• la configuration de l'agent IA effectuée par le Client depuis son espace client (prompt système, voix, horaires, règles métier, intégrations calendrier, outils de prise de message, de prise de rendez-vous et de transfert d'appel) ;
• les paramétrages de rétention et de notifications effectués dans l'espace client ;
• toute instruction ponctuelle adressée par écrit à contact@sylen.ai.

Sylen informe immédiatement le Client si, à son avis, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou d'un État membre relatives à la protection des données.

4.2 Confidentialité (art. 28.3.b)

Sylen garantit que les personnes autorisées à traiter les données personnelles :

• s'engagent contractuellement à respecter une obligation de confidentialité ou sont soumises à une obligation légale appropriée de confidentialité ;
• sont sensibilisées aux exigences de la protection des données à caractère personnel et reçoivent la formation nécessaire ;
• n'accèdent aux données que selon le principe du need-to-know, c'est-à-dire dans la stricte mesure nécessaire à l'exécution de leurs missions.

4.3 Sécurité du traitement (art. 28.3.c & 32)

Sylen met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont détaillées à l'Annexe 2 du présent DPA.

4.4 Sous-traitants ultérieurs (art. 28.2 & 28.4)

Voir section 05 et Annexe 3.

4.5 Assistance aux droits des personnes (art. 28.3.e)

Sylen assiste le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD). Les fonctionnalités suivantes sont mises à disposition du Client dans son espace client :

• Export des données (droit à la portabilité, art. 20) : téléchargement ZIP complet en self-service depuis la page Profil ;
• Accès et rectification : accès direct aux appels, transcriptions, messages, rendez-vous et contacts CRM avec possibilité de modification ou suppression unitaire ;
• Effacement : suppression automatique des transcriptions et messages à 12 mois, ou sur demande ;
• Limitation et opposition : désactivation ciblée d'un traitement à venir par le Client depuis l'espace client (désactivation de l'agent IA, suppression unitaire d'un appel ou d'un contact CRM). L'exercice des droits sur les données déjà collectées d'une personne concernée identifiée passe par la transmission de la demande au Client.

Si une demande d'exercice de droits est adressée directement à Sylen par une personne concernée, Sylen la transmet au Client sans délai et ne répond pas à la place du Client, sauf instruction écrite contraire.

4.6 Assistance au Responsable (art. 28.3.f)

Sylen assiste le Client, compte tenu de la nature du traitement et des informations à sa disposition, pour garantir le respect des obligations prévues :

• à l'article 32 (sécurité du traitement) ;
• à l'article 33 (notification de violation à l'autorité de contrôle) ;
• à l'article 34 (communication de violation à la personne concernée) ;
• à l'article 35 (analyse d'impact relative à la protection des données — AIPD / DPIA) ;
• à l'article 36 (consultation préalable de l'autorité de contrôle).

Sylen fournit au Client, sur demande écrite motivée, les informations nécessaires à la réalisation d'une AIPD portant sur le traitement objet du présent DPA, notamment la description des mesures de sécurité, des flux de données et des sous-traitants ultérieurs impliqués.

4.7 Notification de violation (art. 28.3.f & 33.2)

En cas de violation de données personnelles affectant les données traitées pour le compte du Client, Sylen notifie le Client dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, par courriel adressé à l'adresse de contact RGPD renseignée dans l'espace client (ou, à défaut, à l'email du compte principal).

La notification contient, dans la mesure des informations disponibles :

• la nature de la violation et, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
• les conséquences probables de la violation ;
• les mesures prises ou envisagées par Sylen pour remédier à la violation et en atténuer les effets ;
• le nom et les coordonnées du point de contact Sylen permettant d'obtenir des informations complémentaires.

Si les informations ne peuvent être fournies en une seule fois, elles le sont de manière échelonnée et sans retard indu.

4.8 Restitution et suppression en fin de contrat (art. 28.3.g)

Voir section 09.

4.9 Mise à disposition d'informations et droit d'audit (art. 28.3.h)

Voir section 10.

05Sous-traitants ultérieurs

5.1 Autorisation générale. Le Client autorise Sylen à recourir aux sous-traitants ultérieurs listés à l'Annexe 3 pour l'exécution du traitement. Cette autorisation générale est donnée en application de l'article 28.2 du RGPD.

5.2 Garanties contractuelles. Sylen conclut avec chaque sous-traitant ultérieur un contrat imposant des obligations de protection des données équivalentes à celles du présent DPA, conformément à l'article 28.4 du RGPD, notamment en matière de confidentialité, sécurité, assistance aux droits, notification de violation et transferts internationaux.

5.3 Notification des changements. Sylen notifie au Client, par courriel ou via l'espace client, toute modification envisagée concernant l'ajout, le remplacement ou le retrait d'un sous-traitant ultérieur traitant des données du Client, avec un préavis minimum de 30 jours avant effectivité.

5.4 Droit d'objection. Pendant ce délai, le Client peut formuler par écrit à contact@sylen.ai une objection motivée portant sur la conformité du nouveau sous-traitant. Les Parties s'efforcent alors, de bonne foi, de trouver une solution. À défaut d'accord dans un délai raisonnable, le Client peut résilier le Contrat sans indemnité, à la date effective du changement, par dérogation aux CGV.

5.5 Responsabilité. Sylen demeure pleinement responsable envers le Client du respect par les sous-traitants ultérieurs de leurs obligations.

06Transferts hors Union européenne

6.1 Localisation. Les données personnelles traitées pour le compte du Client sont hébergées dans l'Union européenne (base de données Supabase en région Europe, hébergement Vercel en région Europe). Certains sous-traitants ultérieurs sont néanmoins établis hors de l'EEE, principalement aux États-Unis (Twilio, OpenAI, Railway, Resend). Les maisons-mères américaines de Vercel et Supabase peuvent avoir un accès limité à des fins d'exploitation et de support, encadré par les CCT 2021/914. Voir Annexe 3.

6.2 Encadrement juridique. Tout transfert hors EEE est encadré par l'un au moins des mécanismes suivants, prévus aux articles 44 à 49 du RGPD :

• les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne par décision d'exécution 2021/914/UE du 4 juin 2021, dans leur module « Responsable de traitement vers Sous-traitant » ou « Sous-traitant vers Sous-traitant » selon le cas ;
• l'adhésion du sous-traitant ultérieur au Data Privacy Framework UE–États-Unis, lorsqu'il en est certifié (décision d'adéquation 2023/1795) ;
• des mesures supplémentaires techniques (chiffrement TLS en transit, chiffrement au repos, contrôles d'accès RLS, pseudonymisation) et organisationnelles, conformément aux recommandations 01/2020 du CEPD.

6.3 Évaluation des impacts du transfert. Sylen tient à disposition du Client, sur demande écrite, un résumé des analyses d'impact de transfert (Transfer Impact Assessment) réalisées pour les principaux sous-traitants ultérieurs.

07Durées de conservation

Sylen applique une politique de rétention différenciée par catégorie de données, automatisée par un traitement « cron » quotidien. Les durées applicables aux données traitées pour le compte du Client sont les suivantes :

08Registre et documentation (art. 30.2)

Sylen tient un registre des catégories d'activités de traitement effectuées pour le compte du Client, conformément à l'article 30.2 du RGPD. Ce registre contient :

• le nom et les coordonnées du sous-traitant et, le cas échéant, de son représentant ;
• les catégories de traitements effectués pour le compte du Client ;
• les transferts hors UE et les garanties associées ;
• une description générale des mesures de sécurité (Annexe 2).

Ce registre est mis à disposition de l'autorité de contrôle ou du Client sur demande écrite.

09Restitution et suppression en fin de contrat

À la résiliation du Contrat, quelle qu'en soit la cause, Sylen s'engage à :

1. Maintenir l'accès à l'export pendant une période de 30 jours à compter de la date effective de résiliation. Pendant cette période, le Client peut télécharger l'ensemble de ses données depuis l'espace client, au format ZIP JSON structuré, couramment utilisé et lisible par machine (droit à la portabilité, art. 20).
2. Supprimer ou anonymiser automatiquement à J+30 les données personnelles traitées pour le compte du Client, à savoir :
   • suppression complète des transcriptions, résumés, messages et rendez-vous ;
   • anonymisation des métadonnées d'appel (historiques agrégés conservés à des fins statistiques internes et de facturation) ;
   • suppression du profil utilisateur et anonymisation des références dans l'espace client.
3. Conserver, le cas échéant, les données strictement nécessaires au respect d'une obligation légale de conservation, notamment les données de facturation conservées pendant 10 ans en application de l'article L. 123-22 du Code de commerce.

Une attestation écrite de suppression peut être délivrée sur demande à contact@sylen.ai.

10Audit et contrôles (art. 28.3.h)

10.1 Principe. Sylen met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et de l'article 28 du RGPD.

10.2 Documentation à disposition. Sur demande écrite du Client, Sylen transmet :

• un extrait du registre des activités de traitement (art. 30.2) ;
• un résumé des mesures de sécurité mises en œuvre (Annexe 2) ;
• les rapports d'audit ou certifications tierces dont Sylen viendrait à disposer, le cas échéant sous engagement de confidentialité ;
• la liste à jour des sous-traitants ultérieurs et leurs garanties de transfert.

10.3 Audit sur site ou à distance. Le Client peut, une fois par an au maximum, diligenter un audit portant sur la conformité du traitement aux obligations du présent DPA, dans les conditions suivantes :

• préavis écrit de 30 jours, adressé à contact@sylen.ai ;
• audit réalisé par les équipes du Client ou par un tiers indépendant soumis à un engagement de confidentialité équivalent ;
• audit exécuté aux heures ouvrées, sans perturber l'activité opérationnelle de Sylen, et aux frais du Client, étant précisé que si l'audit révèle un manquement substantiel de Sylen à ses obligations au titre du présent DPA, les frais raisonnables et documentés de l'audit sont pris en charge par Sylen, dans la limite de 5 000 € HT ;
• l'audit ne peut porter sur les données d'autres clients ni sur les secrets d'affaires de Sylen.

10.4 Audit à la suite d'une violation. En cas de violation de données avérée affectant les données du Client, un audit ciblé et hors quota annuel peut être diligenté à la demande du Client, aux frais du Client sauf faute prouvée de Sylen.

11Responsabilité et limitations

11.1 Chaque Partie répond des dommages causés par un traitement non conforme au RGPD dans les conditions prévues à l'article 82 du RGPD.

11.2 Les limitations et plafonds de responsabilité prévus par les CGV s'appliquent au présent DPA, sauf pour les cas où une limitation serait contraire à l'article 82.3 du RGPD (faute intentionnelle, non-respect d'une instruction licite, manquements graves aux obligations du sous-traitant).

12Durée, modification, droit applicable

12.1 Durée. Le présent DPA entre en vigueur à la date d'acceptation des CGV par le Client et demeure applicable pendant toute la durée du Contrat, ainsi que pour les obligations survivant à sa cessation (restitution, suppression, confidentialité, audit).

12.2 Modification. Sylen peut faire évoluer le présent DPA pour tenir compte d'évolutions réglementaires, de décisions d'autorités de contrôle, de nouvelles recommandations du CEPD, ou de changements dans ses sous-traitants ultérieurs. Les modifications substantielles sont notifiées au Client par courriel avec un préavis minimum de 30 jours. En cas de refus, le Client peut résilier le Contrat sans indemnité, dans les conditions prévues aux CGV.

12.3 Version signable. Une version du présent DPA sous forme contractuelle signable (PDF) peut être transmise au Client sur demande écrite à contact@sylen.ai. Cette version reprend strictement les stipulations publiées sur la présente page à la date de la demande.

12.4 Droit applicable. Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis à la juridiction compétente désignée par les CGV.

A1Annexe 1 — Description du traitement

A1.1 Objet et nature du traitement

Traitement des communications téléphoniques entrantes à destination du Client par un agent conversationnel d'intelligence artificielle vocale, comprenant la réception de l'appel, la transcription en temps réel, la génération d'une réponse vocale, la prise de message, la prise, modification ou annulation de rendez-vous, le transfert d'appel vers un humain, et la création d'entrées CRM.

A1.2 Finalité du traitement

Fourniture du Service Sylen au bénéfice du Client, à savoir l'automatisation de la réception téléphonique : ne plus manquer d'appels, qualifier les demandes, prendre des rendez-vous, prendre des messages et transmettre les appels prioritaires.

A1.3 Durée du traitement

Durée du Contrat conclu entre le Client et Sylen, augmentée des durées de conservation post-résiliation décrites à l'article 9 et à l'article 7.

A1.4 Catégories de personnes concernées

• Appelants : personnes physiques composant le numéro attribué au Client, qu'elles soient clients, prospects, fournisseurs, candidats ou contacts divers du Client.
• Contacts et prospects saisis par le Client ou créés par l'agent dans le CRM interne.
• Personnes invitées à un rendez-vous créé par l'agent.
• Collaborateurs du Client destinataires d'un transfert d'appel ou d'un message.

A1.5 Catégories de données personnelles

• Données d'identification : nom et prénom tels que communiqués oralement, numéro de téléphone appelant.
• Coordonnées : email, adresse postale, numéro de téléphone complémentaire, le cas échéant communiqués pendant l'appel.
• Contenu de la conversation : transcription textuelle de l'échange entre l'appelant et l'agent IA, résumé automatique, intention détectée.
• Métadonnées techniques : horodatage, durée, statut (répondu, manqué, transféré), numéro Twilio utilisé.
• Données d'agenda : titre, date, heure, durée, participants et commentaires du rendez-vous.
• Données CRM : statut (prospect, client, archive), raison de contact, score, notes saisies par le Client ou l'agent.

Catégories particulières (art. 9). Sylen ne traite pas de données sensibles au sens de l'article 9 du RGPD. Le Client s'engage contractuellement à configurer son agent de manière à ne pas solliciter de telles données auprès des appelants.

A1.6 Opérations de traitement

• collecte (via le flux téléphonique et la saisie dans l'espace client) ;
• enregistrement textuel (pas audio) ;
• organisation, structuration, stockage ;
• consultation par le Client dans son espace client ;
• communication aux sous-traitants ultérieurs listés en Annexe 3 ;
• effacement ou anonymisation à expiration des durées de conservation.

A2Annexe 2 — Mesures de sécurité

Sylen met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

A2.1 Mesures techniques

• Chiffrement en transit : TLS 1.2 minimum sur l'ensemble des flux (site, application, API, WebSocket, flux audio Twilio↔OpenAI) ;
• Chiffrement au repos : chiffrement des bases de données et des stockages par les hébergeurs (Supabase, Vercel) ;
• Isolation locative multi-tenant : contrôle d'accès Row-Level Security (RLS) PostgreSQL sur l'ensemble des tables contenant des données Client (auth.uid() appliqué sur chaque requête) ;
• Authentification : mots de passe hachés (bcrypt), double authentification (2FA) par code envoyé par email avec secret dédié et tokens à durée limitée signés ;
• Sécurisation des WebSocket : tokens HMAC-SHA256 signés avec clé secrète partagée, expiration courte, vérification en timing-safe côté serveur ;
• Protection anti-injection de prompt : sanitisation des contenus avant transmission au modèle IA ;
• Headers de sécurité : Content-Security-Policy, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy, Permissions-Policy ;
• Rate limiting en mémoire sur les endpoints sensibles (assistant IA, scraping, preview voix, chat support, entraînement Coshy, export de données) ;
• Sauvegardes automatiques quotidiennes chiffrées de la base de données, tests de restauration réguliers ;
• Journalisation des accès administrateurs et des événements de sécurité.

A2.2 Mesures organisationnelles

• Politique de mots de passe et obligation de 2FA sur les comptes internes disposant de droits étendus ;
• Gestion des accès selon le principe du moindre privilège et du need-to-know ;
• Engagement de confidentialité contractuel pour toute personne autorisée à traiter les données ;
• Sensibilisation à la protection des données à l'embauche et lors des évolutions du cadre réglementaire ;
• Point de contact RGPD dédié (contact@sylen.ai) assurant le suivi des questions de protection des données ;
• Gestion des incidents : procédure documentée de qualification, de confinement et de notification des violations de données dans les 72 heures ;
• Revue périodique des accès, des sous-traitants ultérieurs et des mesures de sécurité.

A2.3 Mesures propres à l'activité vocale

• Aucun enregistrement audio n'est conservé par Sylen ;
• Transparence AI Act : l'appelant est informé dès la prise d'appel qu'il converse avec un agent d'intelligence artificielle (art. 50 Règlement (UE) 2024/1689) ;
• Durée maximale d'appel bornée côté WebSocket pour limiter l'exposition ;
• Suppression automatique des transcriptions à 12 mois par traitement planifié (cron quotidien).

A3Annexe 3 — Liste des sous-traitants ultérieurs

Liste à jour des sous-traitants ultérieurs auxquels Sylen fait appel pour l'exécution du traitement, leurs rôles, leurs localisations et les garanties de transfert applicables.

Les Google Calendar et Outlook Calendar ne sont activés qu'après consentement explicite du Client dans son espace client. En l'absence d'activation, aucune donnée n'est transmise à ces sous-traitants.