LIATER← Plateforme
Document légal

Accord de sous-traitance · DPA

Article 28 RGPD · clauses applicables à toute Maison cliente déployant Liater pour traiter des données personnelles de ses clients finaux.

Mis à jour · 5 mai 2026

Préambule

Le présent Data Processing Agreement (DPA) encadre la relation de sous-traitance entre :

  • La Maison cliente (« Responsable de traitement »), qui collecte et confie à Liater le traitement de données personnelles de ses clients finaux.
  • Liater · service édité par Les Artisans du Digital (« Sous-traitant »), filiale de Jemitilab.

Le DPA s'applique de plein droit dès lors qu'une Maison signe un contrat de service Liater. Il complète les clauses contractuelles types (SCC) de la Commission européenne lorsqu'applicable.

1 · Objet du traitement

  • Finalité · transformer le verbatim oral d'un conseiller en notes structurées (entités, actions, timeline, messages multilingues) pour alimenter le CRM, le marketing automation et le POS de la Maison.
  • Durée · pendant toute la durée du contrat de service, sauf résiliation anticipée.
  • Nature du traitement · transcription audio, extraction structurée par LLM, génération multilingue, routing.

2 · Catégories de données

Catégories pouvant être traitées (selon le verbatim conseiller) :

  • Identifiants client (nom, prénom partiels, civilité)
  • Données de marché (segment VIP, géographie, langue préférée)
  • Données comportementales (produits considérés/achetés, dates, intérêts)
  • Données familiales (accompagnants mentionnés dans le débrief)
  • Marques tierces mentionnées (signaling cross-marque)

Données sensibles · Liater ne traite pas de données sensibles au sens de l'article 9 RGPD (santé, opinions, religion, orientation sexuelle, biométrie). En cas de mention incidente dans un verbatim, le module de PII redaction côté serveur applique un masquage.

3 · Sous-processeurs autorisés

La Maison cliente autorise les sous-processeurs suivants. Toute modification fait l'objet d'une notification préalable de 30 jours, sauf urgence sécurité.

  • Anthropic PBC (USA) · Claude · LLM principal pour l'analyse · finalité : extraction structurée & génération de messages · base : SCC 2021/914 · garantie pas d'entraînement sur les données API par défaut (option data_request_no_training).
  • Google LLC (USA, hébergement EU) · Gemini (LLM fallback), Speech-to-Text Chirp 2, Cloud Run europe-west9, Firestore, Secret Manager · base : SCC 2021/914 · données stockées et traitées en région Paris/EU.

4 · Localisation des données

  • Stockage · 100% Union Européenne · Firestore (eur3), Cloud Run (europe-west9 Paris), Artifact Registry (europe-west9), Secret Manager (europe-west9).
  • Inférence LLM · les requêtes Claude et Gemini transitent par les API Anthropic/Google en HTTPS chiffré (TLS 1.3). L'inférence peut être servie depuis les régions disponibles du provider, avec SCC en place.
  • Inférence STT · Speech-to-Text v2 Chirp 2 en région global par défaut pour la couverture multilingue, ou eneurope-west4 sur demande pour résidence stricte EU (couverture langues réduite).

5 · Mesures de sécurité (art. 32 RGPD)

Mesures techniques

  • Chiffrement TLS 1.3 en transit, AES-256 au repos (Google Cloud)
  • Service account IAM dédié · principe du moindre privilège
  • Secrets en Secret Manager · jamais en clair dans le code ou les logs
  • Hash SHA-256 des verbatims pour analytics · pas de log brut
  • PII redaction serveur avant tout envoi LLM (téléphones, emails, IBAN)
  • Rate-limit IP/session/global pour anti-abuse
  • Headers de sécurité durcis (CSP, X-Frame-Options, Permissions-Policy)

Mesures organisationnelles

  • Accès restreint aux logs production · audit trail complet
  • Revue de code obligatoire avant déploiement
  • Audit dépendances automatisé (Dependabot · vulnérabilités CVE)
  • Plan de continuité · back-up multi-région Firestore

6 · Notification de violation

En cas de violation de données personnelles avérée ou suspectée, Liater notifie le Responsable de traitement par email dans un délai de 72 heures à compter de la prise de connaissance, en précisant : nature, catégories, conséquences probables, mesures prises.

7 · Droits des personnes concernées

Liater fournit au Responsable de traitement, sur demande raisonnable, les moyens techniques pour répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité). Le délai de mise à disposition des extractions est de 15 jours ouvrés maximum.

8 · Audits

Le Responsable de traitement peut demander, une fois par an et avec préavis raisonnable, un audit de conformité (auto-évaluation détaillée ou audit tiers indépendant aux frais du Responsable). Liater fournit les certifications applicables des sous-processeurs (SOC 2 Type 2, ISO 27001 pour Google Cloud).

9 · Fin du traitement

À l'issue du contrat, Liater procède, au choix du Responsable :

  • Suppression définitive de toutes les données dans un délai de 30 jours (Firestore, caches, logs au-delà du minimum légal).
  • Restitution dans un format structuré exploitable (export JSON conforme extracted-note-v1).

10 · Responsabilité

Liater répond des manquements à ses obligations de sous-traitant à hauteur des conditions définies dans le contrat de service principal. Aucune responsabilité ne saurait être engagée sur les conséquences d'un usage non conforme par le Responsable de traitement (verbatims contenant des données sensibles non pseudonymisées, défaut de consentement, etc.).

11 · Contact

Pour toute demande relative au présent DPA : contact@lesartisansdudigital.fr