Accord de traitement des données
Dernière mise à jour : 27 mai 2026
Le présent document décrit, en application de l’article 28 du RGPD, les engagements de Signaris (le sous-traitant) à l’égard de ses clients B2B (les responsables du traitement) lors de l’utilisation des produits Signaris Desk, Field, Net, Sonar, Brain et Listen.
Cette page constitue un DPA public de référence, accessible sans signature. Un accord contractuel formel, signé par les deux parties, est conclu lors de la signature du contrat de service.
1. Objet
Le présent DPA encadre le traitement de données personnelles effectué par Signaris pour le compte du Client, dans le cadre de l’utilisation des services Signaris. Il s’applique automatiquement à tout client signant un contrat de service avec Signaris.
2. Définitions
Les termes « données personnelles », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données » ont le sens qui leur est donné à l’article 4 du RGPD.
3. Rôles des parties
- Le Client est responsable du traitement des données qu’il traite via les services Signaris (données de ses collaborateurs, de ses clients finaux, de ses fournisseurs, de ses visiteurs, etc.).
- Signaris agit en qualité de sous-traitant au sens de l’article 28 RGPD. Il traite les données uniquement sur instructions documentées du Client et pour les finalités fixées au contrat.
4. Nature, finalité et catégories de données
Les traitements effectués par Signaris dépendent du produit utilisé :
- Signaris Desk — tickets de service, demandes d’assistance. Données : nom, fonction, point de vente, contenu de la demande, pièces jointes.
- Signaris Field — tâches opérationnelles, rapports photo. Données : nom du collaborateur, point de vente, photos avec horodatage et géolocalisation.
- Signaris Net — VPN d’entreprise. Données : identifiants techniques (clés publiques), métadonnées de connexion (horodatage, durée). Aucun contenu de trafic n’est inspecté.
- Signaris Sonar — enquêtes sur les points de vente. Données : réponses aux enquêtes (anonymisées par défaut), métadonnées de session.
- Signaris Brain — base de connaissances. Données : contenu documentaire du Client, identifiants des utilisateurs ayant consulté.
- Signaris Listen — analyse audio des dialogues sur les points de vente. Données : enregistrements audio, transcriptions, identifiants du caissier/serveur, horodatage. Le traitement requiert l’information préalable des personnes concernées (CNIL — délibération relative aux enregistrements audio en environnement professionnel).
5. Sous-traitants ultérieurs autorisés
Signaris fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Service | Lieu de traitement |
|---|---|---|
| Brevo SAS | Envoi des emails transactionnels et de notification | Union européenne (France) |
| Timeweb LLC | Hébergement applicatif et stockage de base de données | Fédération de Russie |
| OpenAI (optionnel, Signaris Brain et Listen) | Inférence LLM pour la base de connaissances et la transcription audio | États-Unis (clauses contractuelles types) |
Toute modification de cette liste de sous-traitants ultérieurs est notifiée au Client au moins 30 jours avant sa prise d’effet, conformément à l’article 28.2 RGPD. Le Client dispose d’un droit d’objection motivé.
6. Mesures de sécurité
Signaris met en œuvre les mesures techniques et organisationnelles appropriées suivantes (art. 32 RGPD) :
- Chiffrement TLS 1.2+ pour l’ensemble des communications client-serveur.
- Chiffrement au repos des sauvegardes (AES-256).
- Authentification forte des accès administratifs (SSH par clé, MFA pour les interfaces critiques).
- Contrôle d’accès basé sur les rôles (RBAC) au sein des applications.
- Journalisation des accès aux données personnelles.
- Sauvegardes quotidiennes avec rétention de 30 jours.
- Revue régulière des dépendances et application des correctifs de sécurité.
- Périmètre réseau isolé (zero-knowledge tunnel via Signaris Net pour les accès clients).
7. Notification de violation
En cas de violation de données personnelles affectant le traitement effectué pour le compte du Client, Signaris notifie le Client sans délai injustifié et au plus tard sous 48 heures après en avoir pris connaissance. La notification précise : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées.
8. Droits des personnes concernées
Signaris met à disposition du Client les outils et l’assistance nécessaires pour répondre aux demandes d’exercice des droits formulées par les personnes concernées (accès, rectification, effacement, opposition, portabilité). Les demandes sont traitées dans les délais légaux.
9. Audit
Le Client peut, à ses frais et après un préavis raisonnable (30 jours), procéder à un audit du respect par Signaris de ses obligations RGPD, soit directement, soit par un auditeur tiers indépendant tenu à la confidentialité. Signaris peut proposer comme alternative la communication de rapports d’audit externes (SOC 2 lorsque disponible).
10. Durée et restitution des données
Le présent DPA s’applique pour toute la durée du contrat de service. À l’expiration ou à la résiliation du contrat, Signaris s’engage, au choix du Client :
- à restituer l’intégralité des données dans un format structuré et exploitable (export JSON/CSV) dans un délai maximum de 30 jours ;
- ou à supprimer définitivement les données, sauf obligation légale de conservation.
Un certificat de suppression peut être fourni sur demande.
11. Transferts hors UE
Le sous-traitant principal Timeweb LLC est situé en Fédération de Russie, qui ne bénéficie pas d’une décision d’adéquation de la Commission européenne. Les transferts sont encadrés par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914) et par des mesures techniques complémentaires : chiffrement en transit et au repos, contrôles d’accès stricts, journalisation, pseudonymisation lorsque techniquement possible.
Une migration vers un hébergement européen est planifiée pour 2026-2027.
12. Contact
Toutes les demandes relatives à la protection des données dans le cadre du DPA sont à adresser à : info@signaris.ru.