RGPD & protection des données

Nous ne traitons une donnée que si une base légale le justifie (article 6 du RGPD) : l’exécution du contrat qui nous lie au professionnel, l’intérêt légitime à assurer la continuité de son accueil téléphonique, ou le consentement lorsqu’il est requis. Lorsqu’un appel est enregistré pour établir la preuve d’un rendez-vous ou d’un engagement, l’enregistrement n’est conservé que s’il est réellement nécessaire à cette fin. Chaque finalité est définie à l’avance ; aucune donnée n’est réutilisée pour un usage non prévu.

Nous collectons le strict nécessaire à la qualification de l’appel et à la prise de rendez-vous, rien de plus. Les transcriptions et enregistrements sont conservés pour une durée limitée, proportionnée à leur finalité, puis supprimés ou anonymisés.

• Durées de conservation définies par finalité et documentées dans notre politique de confidentialité.
• Base de données et stockage hébergés dans l’Union européenne (Supabase, région UE, Francfort).
• Accès restreints aux seules personnes habilitées, dans le cadre de leurs missions.

Faire fonctionner un agent vocal suppose de recourir à des prestataires techniques (téléphonie, transcription, modèle de langage, hébergement, e-mails). Chacun intervient en qualité de sous-traitant, encadré par un accord de traitement des données (DPA, article 28 du RGPD) précisant le traitement sur nos seules instructions, la confidentialité, les mesures de sécurité et le sort des données en fin de contrat.

Nous privilégions un hébergement européen. Lorsqu’un transfert hors Union européenne est nécessaire, il s’appuie sur le mécanisme adapté au prestataire concerné : soit une décision d’adéquation de la Commission européenne (par exemple le Data Privacy Framework pour les entités américaines certifiées), soit des clauses contractuelles types assorties d’une évaluation des garanties offertes. Nous ne présentons jamais un transfert comme inexistant : nous décrivons l’encadrement réel qui s’applique.

Conformément à l’article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles adaptées au risque : contrôle des accès, chiffrement des données en transit et au repos chez nos hébergeurs, et journalisation des opérations sensibles. En cas de violation de données susceptible de présenter un risque, le responsable de traitement en est informé dans les meilleurs délais afin qu’il puisse remplir ses obligations.

Toute personne concernée — au premier chef l’appelant — peut exercer les droits prévus par le RGPD : accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20) et opposition (art. 21). Lorsqu’une décision produisant des effets significatifs serait prise de manière entièrement automatisée, l’article 22 ouvre également un droit d’intervention humaine. Ces demandes reçoivent une réponse dans un délai d’un mois (art. 12), prolongeable si nécessaire.

Pour en savoir plus sur les traitements réalisés, consultez notre politique de confidentialité. Pour exercer un droit ou poser une question, écrivez-nous via la page contact.