Accord de traitement des données

Accord de traitement des données

Version 2026-05-20

Projet / texte provisoire. Ce document est un point de départ en attente de revue juridique. Les clients du marché intermédiaire nécessitant un DPA contresigné peuvent écrire à teams@trueings.com. Nous fournirons sur demande la version actuelle revue par nos conseils.

Cet accord de traitement des données (« DPA ») complète le contrat d’abonnement principal entre Trueings et votre organisation. Il porte sur la manière dont les données personnelles sont traitées lorsque votre organisation participe au canal B2B2C de Trueings.

1. Rôles et responsabilités

Vos employés sont les personnes concernées dont les données personnelles transitent par Trueings. Vous (l’organisation) êtes l’acheteur du pool de licences ; Trueings est le responsable du traitement des données de compte des employés et du contenu des retours ; vos employés sont également responsables du traitement de leurs propres comptes et des personnes qu’ils invitent à répondre.

Votre organisation n’a pas accès au contenu des retours des employés. Le DPA confirme cette limite par écrit.

2. Ce que nous traitons pour le compte de vos employés

  • Données de compte : l’e-mail de compte choisi par chaque employé qui active une licence, son nom d’affichage, son pays, sa profession, et le justificatif d’affiliation à l’employeur (e-mail professionnel + nom d’affichage de l’employeur, fenêtre d’activité liée à la licence).
  • Contenu des retours : les tours d’entretien conversationnel des répondants invités par l’employé, stockés sous forme de transcriptions brutes jusqu’à 30 jours après la synthèse, puis purgés automatiquement.
  • Résultat synthétisé : le rapport anonymisé et filtré pour la confidentialité, accessible uniquement à l’employé.

3. Limite de confidentialité

Votre organisation ne reçoit que des indicateurs agrégés et aveugles au contenu (taux d’activation, taux de complétion, NPS de satisfaction de l’outil une fois collecté). Votre organisation ne tentera pas d’identifier quel employé a activé quelle licence, ni de déduire le contenu des retours à partir des données d’engagement, ni de contraindre les employés à partager leurs rapports.

4. Sous-traitants

Nous faisons appel aux sous-traitants suivants. Cette liste reflète les prestataires en cours d’utilisation ; les changements substantiels sont notifiés avec un préavis d’au moins trente jours.

  • Supabase : Postgres géré et authentification sans mot de passe. Région UE.
  • Anthropic : inférence par grand modèle de langage. Hébergé aux États-Unis ; transferts couverts par les clauses contractuelles types. Un accord de non-conservation s’applique au trafic de notre organisation, de sorte que le contenu n’est pas conservé au-delà de l’inférence et n’est pas utilisé pour l’entraînement.
  • Resend : envoi d’e-mails transactionnels. Région UE.
  • Stripe : traitement des paiements pour les offres payantes. Nous ne stockons pas les détails des cartes.

5. Conservation

  • Transcriptions brutes des conversations : supprimées automatiquement trente jours après la finalisation du rapport de chaque employé.
  • Rapports synthétisés : conservés pendant toute la durée de vie du compte de l’employé (qui survit à son départ de votre organisation).
  • Enregistrements de licence : conservés pendant toute la durée de vie du compte de votre organisation, plus une période d’archivage légale pour la facturation.

6. Transferts transfrontaliers

Les données sont principalement traitées dans l’Union européenne. Les transferts vers des sous-traitants hors UE (actuellement : Anthropic, US) sont couverts par les clauses contractuelles types et limités à ce que le service requiert (inférence LLM uniquement ; aucune donnée identifiante ne circule en parallèle).

7. Mesures de sécurité

Nous maintenons des mesures techniques et organisationnelles adaptées à la sensibilité des données, notamment la sécurité au niveau des lignes sur les données personnelles, un stockage chiffré en transit et au repos, des contrôles d’accès selon le principe du moindre privilège, et une interface opérateur auditée pour tout accès inter-locataires.

8. Droits des personnes concernées

Les employés peuvent exercer leurs droits au titre du RGPD (accès, rectification, effacement, portabilité) directement depuis leur tableau de bord Trueings ou en écrivant à privacy@trueings.com. Votre organisation n’intervient pas dans ces demandes, conformément à la limite de confidentialité ci-dessus.

9. Durée et résiliation

Ce DPA reste en vigueur tant que le MSA est en vigueur ET tant que Trueings conserve des données personnelles traitées pour le compte de vos employés. La résiliation déclenche les délais de conservation standard ci-dessus.

10. Contact

DPA contresigné, notifications de sous-traitants, questionnaires de sécurité : teams@trueings.com. Demandes des personnes concernées (employés) : privacy@trueings.com.