Contrat de sous-traitance de Données à caractère personnel

Janvier 2024

ENTRE :

Le présent Contrat de sous-traitance de données à caractère personnel  (ci-après " DPA") est applicable aux relations commerciales entre la société RINGO (exerçant sous le nom de MODJO), société par actions simplifiée au capital de 38.666,31 euros immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 879 606 283, et dont le siège social est situé au 59, avenue Sainte-Foy - 92200 Neuilly-sur-Seine, France (ci-après " RINGO ") et son Client (ci-après le " Client ") tel qu’identifié dans le Bon de Commande. 

Préambule :

Dans le cadre de l’exécution du ou des Bons de Commande et des Conditions Générales de Vente Modjo conclus entre RINGO et le Client, le Client, en sa qualité de Responsable de traitement, confie à RINGO, en sa qualité de Sous-traitant, des opérations de traitement de Données à caractère personnel.

Ce Contrat de sous-traitance de données à caractère personnel fait partie intégrante du ou des Bons de Commande et des Conditions Générales de Vente Modjo. 

Les Parties entendent respecter l’ensemble de la réglementation applicable en matière de Traitement de Données à caractère personnel, et en particulier la Loi n°78-17 du 6 janvier 1978 (dite « Informatique et Libertés ») dans sa version modifiée et le Règlement Général sur la Protection des Données Personnelles n°2016-679 en date du 27 avril 2016 (« RGPD »).

Les Parties ont convenu du présent Contrat afin de respecter les dispositions de l’article 28, en particulier des paragraphes 3 et 4, du RGPD. Le présent Contrat s’applique aux traitements des données à caractère personnel tels que spécifiés à l’article 1. 

Il est expressément convenu que les termes utilisés dans le présent Contrat avec une majuscule (par ex. Responsable de traitement, Données à caractère personnel, Service…) correspondent aux définitions contenues dans le RGPD et dans les CGV. Le présent Contrat doit être lu et interprété à la lumière des dispositions du RGPD. 

Il est convenu ce qui suit :

  1. Description des traitements

Les spécificités des traitements de données à caractère personnel, notamment les catégories de données à caractère personnel et les finalités de traitement pour lesquelles les données à caractère personnel sont traitées pour le compte du Client, en sa qualité de Responsable de traitement, sont : 

  • Catégories de personnes concernées par le traitement de leurs données à caractère personnel : le personnel du Client et les employés utilisant les services fournis par RINGO ainsi que  les contacts, prospects et clients du Client. 
  • Catégories de données à caractère personnel traitées : les données relatives à l'identification des personnes concernées (nom, prénom, coordonnées et email), les données relatives aux enregistrements des appels téléphoniques et des visioconférences, les données relatives à l'utilisation des services tels que les commentaires, les revues, les traductions, résumés et les scorings intelligents réalisés à partir des services, les données relatives aux emails échangés entre les personnes concernées, les données relatives aux emails de rappels de meeting et les données relatives aux réseaux.
  • Objet du traitement : la fourniture par RINGO des services convenus avec le Client, et leur usage par le Client, conformément au(x) Bon(s) de Commande et aux CGV jointes conclus entre RINGO et le Client.  
  • Nature du traitement : la collecte et l'analyse de données, y compris de Données Personnelles, pour le compte du Client.
  • Finalités du traitement : la fourniture par RINGO, pour le compte du Client, du Service, principalement la collecte, l'enregistrement et l'analyse d'enregistrements d'appels téléphoniques et de vidéoconférences et le remplissage du logiciel de gestion de la relation client, ainsi que les services d'assistance, de back-up, de sécurité et de maintenance liés au Service.
  • Durée du traitement : Les Données Personnelles sont traitées par RINGO pendant la durée de la relation contractuelle du Client. Les logs sont conservés pendant une période d'un (1) an. Lorsque la fonctionnalité AI Assistant est activée par le Client, les données sont conservées par Open AI pour une durée maximale de 30 jours aux fins de modération des contenus et de prévention des abus. 
  1. Instructions

RINGO ne traite les données personnelles que sur instruction documentée du Client et conformément aux dispositions ci-dessus, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans ce cas, RINGO informe le Client de cette obligation juridique avant le traitement,  sauf si la loi le lui interdit pour des motifs importants d’intérêt public. Des instructions peuvent également être données ultérieurement par le Client pendant toute la durée du traitement des données à caractère personnel. Ces instructions doivent toujours être documentées.

Si RINGO estime qu'une instruction du Client constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel, il en informe immédiatement le Client. RINGO n’est  en aucun cas responsable des instructions et décisions du Client et de leurs éventuelles conséquences.

Les dispositions du présent Contrat, ainsi que l’activation par le Client, ses Administrateurs ou Utilisateurs des fonctionnalités de traduction et de AI Assistant constituent des instructions documentées  du Client à RINGO. 

  1. Limitation des finalités

RINGO ne traite les données personnelles que pour les finalités du traitement telles qu’exposées au sein de l’article 1 du présent contrat, à moins que RINGO ne reçoive d’autres instructions documentées du Client. 

  1. Durée de traitement

RINGO traite les données personnelles  que pour la durée définie au sein de l’article 1 du présent contrat, à moins que RINGO ne reçoive d’autres instructions documentées du Client. 

  1. Mesures de sécurité

RINGO s’engage à mettre en place des mesures de sécurité techniques et organisationnelles appropriées en vue de garantir la sécurité des Données à caractère personnel qu’il traite contre toute destruction, perte, transformation, divulgation ou accès non autorisé, ou toute autre forme de traitement non autorisé. Lors de la détermination du niveau de sécurité approprié, RINGO tient compte de l’état de la technique,  des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques encourus par les personnes concernées.

Une description de ces mesures a été établie par RINGO conformément à l’article 32 du RGPD et est disponible sur demande écrite.

Lorsque la fonctionnalité AI Assistant est activée par le Client, il accepte que les mesures de sécurité mises en œuvre soient celles de la politique de sécurité d’OpenAI. 

RINGO n’accorde aux membres de son personnel l’accès aux données à caractère personnel faisant l’objet du traitement que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du Service. RINGO veille à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation contractuelle de confidentialité. 

  1. Documentation et conformité 

RINGO met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent Contrat et qui découlent directement du GDPR.

À la demande du Client et en présence d’indices sérieux de non-conformité, RINGO permet et contribue à la réalisation d’audits des activités de traitement couvertes par les présentes clauses. 

L’audit peut être réalisé à raison d’une (1) fois par année civile, et moyennant un préavis écrit de soixante (60) jours à RINGO. 

Cet audit doit être mené de manière à respecter la sécurité et la confidentialité de la documentation et des procédures de RINGO. Il ne durera pas plus d'un (1) jour et se déroulera pendant les heures normales de bureau dans les locaux de RINGO.

Le Client peut décider d'effectuer lui-même l'audit ou de désigner un auditeur indépendant, choisi d'un commun accord entre les parties et soumis à une obligation de confidentialité. 

Nonobstant toute disposition contraire, le Client est responsable de tous les coûts et/ou dépenses encourus du fait de cette visite.     

Les parties mettent à la disposition de l’autorité de contrôle compétente/des autorités de contrôle compétentes, dès que celles-ci en font la demande, les informations énoncées dans la présente clause, y compris les résultats de tout audit.

  1. Sous-traitants ultérieurs

RINGO dispose de l'autorisation générale du Client pour l'engagement des sous-traitants ultérieurs énumérés au sein de la liste présente en Annexe 1. 

RINGO s'engage à fournir une liste actualisée de ses sous-traitants ultérieurs et de leurs activités de traitement à la demande du Client.

RINGO informe le Client de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins huit (8) jours avant la date prévue d'ajout ou de remplacement du sous-traitant ultérieur concerné.

Le Client peut s’opposer au recours de RINGO à un nouveau sous-traitant ultérieur en le notifiant promptement par écrit (par email) et avant la date d’ajout ou de remplacement du sous-traitant ultérieur concerné. Dans l’éventualité où le Client s’oppose à la désignation d’un nouveau sous-traitant ultérieur, RINGO fera des efforts raisonnables pour mettre à la disposition du Client une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l’utilisation des services permettant d’éviter le traitement des Données Personnelles par le nouveau sous-traitant ultérieur auquel le Client s’oppose, sans imposer une charge déraisonnable au Client. Si RINGO est dans l’incapacité d’opérer de telles modifications dans un délai raisonnable, qui ne saurait excéder trente (30) jours, le Client pourra alors résilier le contrat applicable mais uniquement pour les services qui ne peuvent pas être fournis par RINGO sans le recours au nouveau sous-traitant ultérieur, en adressant à RINGO une notification écrite par lettre recommandée avec accusé de réception.

L'absence d'objection du Client est considérée comme l'acceptation par le Client des modifications affectant la liste des sous-traitants ultérieurs. 

Chaque sous-traitant ultérieur de RINGO est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Client. Il appartient à RINGO de s’assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées pour que le traitement réponde aux exigences du RGPD. 

RINGO demeure pleinement responsable à l’égard du Client de l’exécution par le sous-traitant ultérieur de ses obligations.

Certains sous-traitants ultérieurs ne traitent les données du Client que lorsque la fonctionnalité pour laquelle ils interviennent est activée par l’Administrateur ou l’Utilisateur du Client. 

Ainsi, le sous-traitant ultérieur OpenAI ne traite les données du Client que lorsque l’Administrateur a activé la fonctionnalité AI Assistant. Lorsque cette fonctionnalité est activée, OpenAI est amené à traiter les données du Client pour la fourniture de résumés, chapitres et scorings intelligents.  

De même, le sous-traitant ultérieur Deepl ne traite les données du Client que lorsque l’Utilisateur active la fonctionnalité de traduction pour un enregistrement donné. Lorsque cette fonctionnalité est activée, Deepl est amené à traiter les données du Client relatives à cet enregistrement pour la fourniture d’une traduction.

  1. Assistance au Client 

Il appartient au Client d’informer les Personnes concernées du traitement de leurs données et de leurs droits au titre de la loi Informatique et Libertés et du RGPD. En particulier, le Client informe ses propres employés et leurs correspondants de l’enregistrement de leurs conversations téléphoniques et visioconférences, ainsi que du fait qu’ils peuvent à tout moment s’opposer à cet enregistrement. RINGO ne peut en aucun cas être tenu responsable de ces obligations. 

RINGO notifie sans délai au Client toute demande, y compris d’exercice des droits,  qu'il reçoit de la part de la personne concernée. Le Client s'engage à répondre aux demandes des Personnes concernées dans un délai d'un (1) mois.

En tant que sous-traitant, RINGO assiste le Client dans l’accomplissement de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits, compte tenu de  la nature du traitement et des instructions du Client. 

RINGO assiste également le Client à garantir le respect des obligations suivantes, compte tenu de la nature du traitement et des informations dont dispose RINGO : 

  • l’obligation de procéder à une évaluation de l’incidence des opérations de traitement envisagées sur la protection des données à caractère personnel («analyse d’impact relative à la protection des données») lorsqu’un type de traitement est susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et, le cas échéant, l'obligation de consulter l'autorité de contrôle compétente avant le traitement
  • les obligations énoncées à l’article 32 du RGPD. 
  1. Inspections, contrôle ou audits par les autorités publiques

En cas d’inspection, de contrôle ou d’audit réalisé par une autorité publique, y compris une Autorité de contrôle, chaque Partie s’engage à apporter toute l’assistance nécessaire à l’autre.

Si l’autorité publique estime que le traitement réalisé porte atteinte à la réglementation applicable en matière de protection des Données à caractère personnel, les Parties s’engagent à communiquer et prendre immédiatement les mesures nécessaires afin de remédier à l’atteinte.

  1. Notification des violations de Données à caractère personnel

En cas de violation de données à caractère personnel, RINGO coopère avec le Client et lui prête assistance aux fins de la mise en conformité du Client avec les obligations qui lui incombent en vertu des articles 33 et 34 du RGPD, en tenant compte de la nature du traitement et des informations dont dispose RINGO.

En cas de violation de données à caractère personnel ne résultant pas du fait du Client, RINGO s’engage à prendre immédiatement les mesures correctives de nature à y remédier.

RINGO doit notifier toute atteinte au Client dans les plus brefs délais de sa découverte, par e-mail adressé au Client. 

Cette notification devra contenir l’ensemble des informations pertinentes au sujet de l’atteinte, afin de permettre au Client, le cas échéant, de notifier cette atteinte à l’Autorité de contrôle concernée et/ou aux personnes concernées, conformément à ses obligations en qualité de Responsable de traitement.

Les Parties s’engagent à coopérer pleinement afin de mettre fin à l’atteinte dans les meilleurs délais.

  1. Hébergement des données et transferts

Les données à caractère personnel traitées par RINGO pour le compte du Client et les sites Internet et bases de données de RINGO sont hébergés par Amazon Web Services sur des serveurs situés dans l'Espace économique européen ("EEE").

Tout transfert de données vers un pays tiers ou une organisation internationale par RINGO ne sera effectué que sur la base du présent Contrat ou afin de répondre à une exigence spécifique du droit de l'Union ou des États membres à laquelle le sous-traitant est soumis et aura lieu dans le respect du chapitre V du RGPD.

Préalablement à un transfert autorisé par le Client, RINGO s'engage à mettre en place les mesures nécessaires pour que le destinataire situé dans le pays hors de l'Espace économique européen présente un niveau de protection adéquat. Lorsque le Client a activé la fonctionnalité AI Assistant,  il accepte que ses données soient traitées par OpenAI en accord avec ses conditions de traitement et qu’elles soient transférées aux Etats-Unis en application des clauses contractuelles types adoptées par la Commission européenne.  

RINGO peut transférer des données à caractère personnel aux sous-traitants ultérieurs autorisés identifiés dans l'annexe 1 "Liste des sous-traitants ultérieurs autorisés". Ces sous-traitants ultérieurs peuvent être situés en dehors de l’EEE. Dans ce cas, RINGO s'assure que le sous-traitant ultérieur peut garantir le respect du chapitre V du RGPD en présentant un niveau de protection adéquat, tel que l'utilisation de clauses contractuelles types adoptées par les Commissions ou approuvées par le BCR.  

La liste exhaustive et les informations relatives à nos sous-traitants ultérieurs sont fournies en annexe 1.

  1. Modifications et mises à jour

RINGO se réserve le droit de modifier à tout moment le présent DPA. Le Client est informé de ces modifications par email (envoyé à l'adresse email de l’Administrateur Modjo) ou sur le site www.modjo.ai ou sur la plateforme commerciale d'analyse conversationnelle Modjo, selon ce que RINGO décide.

A l’exception des modifications relatives aux sous-traitants ultérieurs régies par l’article 7 du DPA, les modifications du présent DPA s'appliqueront au Client, même si son engagement est antérieur aux modifications, huit (8) jours après que l'information lui ait été donnée. Dans le cas où les modifications du DPA porteraient un préjudice important au Client et ne seraient pas exigées par les lois, règlements, directives, recommandations ou délibération d’une autorité européenne de protection des données ou par une décision de justice, le Client informe RINGO de son opposition et de ses motifs dans les huit (8) jours de l'information.  Si les Parties ne parviennent pas à un accord dans les trente (30) jours suivant la réception de l'objection du Client, le Client peut résilier, sans pénalité, le Service concerné par la modification en adressant une notification écrite à RINGO. Toute utilisation du Service après l'information du Client sera considérée comme l'acceptation par le Client du DPA mis à jour. 

  1. Sort des données

A l’issue de la relation entre les Parties, le Client dispose d’un délai d’un (1) mois pour demander par écrit la restitution, en format brut et sous sa responsabilité, de ses enregistrements ; à défaut d’une telle demande dans ce délai, RINGO peut procéder à la destruction définitive de l’ensemble des données, y compris les logs et back-up.

  1. Délégué à la protection des données

RINGO dispose d’un délégué à la protection des données, joignable par courrier électronique à l’adresse suivante : dpo@modjo.ai

  1. Registre des activités de Traitement

RINGO s’engage à tenir à jour un Registre des activités de traitement réalisées en sa qualité de Sous-traitant et comprenant les éléments suivants :

  • le nom et les coordonnées du Responsable de traitement, des éventuels sous-traitants ultérieurs et du Référent à la protection des données
  • les catégories de Traitements effectués pour le compte du Responsable de traitement
  • les éventuels transferts des données à caractère personnel vers des pays tiers à l’Union Européenne et les éléments attestant de l’existence de garanties appropriées
  • une description générale des mesures de sécurité techniques et organisationnelles mises en place
  1. Engagements de RINGO

Pendant la durée du Contrat conclu entre RINGO et le Client : 

  • RINGO garantit la confidentialité des Données à caractère personnel traitées en sa qualité de Sous-traitant et s’assure que les membres de son personnel, autorisés à traiter les Données à caractère personnel, respectent ce principe de confidentialité et ont reçu la formation nécessaire en la matière
  • RINGO s’engage à tenir compte du principe de protection des Données à caractère personnel dès la conception et par défaut, s’agissant des outils, produits, applications ou services qu’il utilise.
  1. Engagements du Client 

Le Client s'engage à collecter et à traiter les Données Personnelles dans le respect de la réglementation applicable en droit du travail et en matière de protection des données, notamment en ce qui concerne les méthodes, la base et les finalités du traitement, la durée de conservation des Données Personnelles, les droits des Personnes concernées et l'information qui leur est donnée. 

En particulier, le Client s'engage à respecter l'ensemble des réglementations et obligations applicables au traitement des données des salariés et au traitement de catégories particulières de Données à caractère personnel (telles que les données de santé, les convictions religieuses, l'orientation sexuelle, etc.) et à procéder, préalablement à leur Traitement, aux vérifications, études et analyses d'impact nécessaires, à informer les Personnes concernées conformément aux articles 12, 13 et 14 du RGPD et à obtenir, le cas échéant, le consentement des Personnes concernées à l'égard de la collecte et du traitement de leurs données à caractère personnel et, notamment, de l'enregistrement de leur voix.

Le Client s'engage à fournir à RINGO toutes les informations nécessaires à l'exécution des activités de traitement prévues dans le respect des réglementations applicables et à documenter toute instruction concernant le traitement.

Le Client s'engage à fournir à RINGO les Données personnelles identifiées à l'article 1 du présent Contrat et à garantir la licéité et l'exactitude des données. Le Client s'engage également à assurer l'effectivité des droits des Personnes concernées. 

Le Client garantit RINGO de toute réclamation ou action à cet égard

Le Client s’engage à superviser le Traitement, y compris à réaliser à ses frais les audits et inspections nécessaires auprès de RINGO ou à assurer à ses frais la conduite ou la défense des intérêts des Parties dans le cadre de toute action, procédure ou contrôle.


Télécharger le contrat :
Télécharger le PDF