Contrat de sous-traitance (DPA)

Contrat de sous-traitance conformément à l'Art. 28 RGPD

entre l'utilisateur du service BonusFlow (ci-après « Responsable du traitement ») et

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen, Allemagne E-mail : datenschutz@bonusflow.de Téléphone : 0201-89083160

(ci-après « Sous-traitant »)

§ 1 – Objet et durée du traitement

(1) Le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement dans le cadre du service BonusFlow (assistant personnel vocal pour la gestion de tâches, rappels, entrées de calendrier, domaines de vie et connaissances personnelles).

(2) La durée du traitement correspond à la durée du contrat d'utilisation. Le traitement prend fin avec la suppression du compte utilisateur. Les données personnelles seront supprimées dans un délai de 30 jours après la suppression du compte, sauf obligation légale de conservation.

§ 2 – Nature et finalité du traitement

Le traitement comprend les activités suivantes :

  • Stockage des todos, rappels, entrées de calendrier, domaines de vie et faits personnels
  • Traitement IA pour la reconnaissance d'intentions à partir de texte transcrit (Intent Recognition)
  • Traitement IA pour le calcul de représentations vectorielles (embeddings) pour la recherche sémantique
  • Gestion des utilisateurs (création de compte, authentification)
  • Envoi d'e-mails (confirmation de compte, réinitialisation de mot de passe, notifications)
  • Traitement des paiements (gestion des abonnements et facturation)

§ 3 – Types de données personnelles

Les catégories de données suivantes sont traitées :

  • Nom et adresse e-mail
  • Mot de passe (stocké chiffré)
  • Todos, rappels et entrées de calendrier (titre, description, date/heure)
  • Domaines de vie et entrées associées (contenus, notes, indications de dosage)
  • Faits personnels (allergies, contacts, préférences — uniquement en cas de saisie active par l'utilisateur)
  • Représentations vectorielles (embeddings) des contenus textuels mentionnés ci-dessus
  • Données de paiement (traitées par Stripe, non stockées par le Sous-traitant)
  • Données de journaux serveur (adresse IP, navigateur, horodatage)

Remarque concernant les catégories particulières : Les utilisateurs peuvent volontairement enregistrer des faits liés à la santé (médicaments, compléments alimentaires, allergies). Ceux-ci peuvent constituer des catégories particulières de données personnelles au sens de l'Art. 9 RGPD. Le traitement est fondé sur le consentement explicite de l'utilisateur (Art. 9, par. 2, lit. a RGPD).

§ 4 – Catégories de personnes concernées

  • Utilisateurs enregistrés du service

§ 5 – Obligations du Sous-traitant

(1) Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable du traitement, sauf obligation légale de l'Union ou d'un État membre.

(2) Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à la confidentialité.

(3) Le Sous-traitant met en œuvre toutes les mesures requises par l'Art. 32 RGPD, notamment :

  • Chiffrement SSL/TLS de toutes les transmissions de données
  • Stockage chiffré des mots de passe (bcrypt)
  • Traitement vocal local — les données audio ne quittent jamais l'appareil de l'utilisateur
  • Contrôle d'accès et concept d'autorisation
  • Mises à jour de sécurité régulières de tous les systèmes
  • Localisation des serveurs exclusivement en Allemagne et dans l'UE

(4) Le Sous-traitant aide le Responsable du traitement à respecter les obligations visées aux Articles 32 à 36 RGPD.

(5) À la fin du traitement, le Sous-traitant supprime toutes les données personnelles, y compris les données vectorielles dans la base de données Qdrant, sauf obligation légale de conservation.

(6) Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Art. 28 RGPD.

§ 6 – Sous-traitants ultérieurs

(1) Le Responsable du traitement accepte le recours aux sous-traitants ultérieurs suivants :

6.1 Hetzner Online GmbH

| | | |---|---| | Finalité | Hébergement serveur (application et base de données) | | Adresse | Industriestr. 25, 91710 Gunzenhausen, Allemagne | | Localisation des serveurs | Allemagne | | Données traitées | Toutes les données utilisateurs et de contenu, données vectorielles (Qdrant) | | DPA | Contrat de sous-traitance conformément à l'Art. 28 RGPD en place |

6.2 Mistral AI SAS

| | | |---|---| | Finalité | Traitement IA : reconnaissance d'intentions (Mistral Small) et calcul d'embeddings (Mistral Embed) | | Adresse | 16 Passage Jouffroy, 75009 Paris, France | | Localisation des serveurs | UE (France) | | Données traitées | Texte transcrit des commandes vocales (pour la reconnaissance d'intentions), contenus textuels des entrées (pour le calcul d'embeddings) | | Remarque | Tout le traitement IA a lieu exclusivement dans l'UE. Aucun transfert de données vers des pays tiers. Aucune donnée audio n'est transmise. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalité | Envoi d'e-mails (confirmation de compte, réinitialisation de mot de passe, notifications) | | Adresse | Hauptstraße 68, 02742 Friedersdorf, Allemagne | | Localisation des serveurs | Allemagne | | Données traitées | Adresse e-mail, nom, contenu des e-mails |

6.4 Stripe, Inc.

| | | |---|---| | Finalité | Traitement des paiements (cartes de crédit, SEPA, gestion des abonnements) | | Adresse | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Localisation du traitement | UE (Stripe traite les données de paiement européennes dans l'UE) | | Données traitées | Informations de paiement (données de carte de crédit, données SEPA). Ces données sont traitées exclusivement par Stripe et ne sont pas stockées par le Sous-traitant. | | Garanties | EU-US Data Privacy Framework, Clauses contractuelles types (CCT) |

6.5 Google Ireland Limited (optionnel)

| | | |---|---| | Finalité | Authentification (Google OAuth 2.0) — uniquement si l'utilisateur choisit activement de se connecter avec Google | | Adresse | Gordon House, Barrow Street, Dublin 4, Irlande | | Localisation du traitement | UE (Irlande) | | Données traitées | Nom et adresse e-mail de l'utilisateur (uniquement pour l'identification du compte) | | Remarque | Google OAuth est entièrement optionnel. Les utilisateurs peuvent toujours se connecter par e-mail/mot de passe ou lien magique. Aucune donnée de contenu n'est transmise à Google. | | Garanties | EU-US Data Privacy Framework, Clauses contractuelles types (CCT) |

(2) Le Sous-traitant informera le Responsable du traitement de toute modification envisagée concernant l'ajout ou le remplacement de sous-traitants ultérieurs. Le Responsable du traitement peut s'opposer à ces modifications.

§ 7 – Transferts vers des pays tiers

(1) Un transfert de données personnelles vers des pays tiers (hors EEE) n'a pas lieu en règle générale.

(2) Exceptions :

  • Stripe (traitement des paiements) : Stripe, Inc. est basée aux USA mais traite les données européennes dans l'UE. Le EU-US Data Privacy Framework et les clauses contractuelles types s'appliquent.
  • Google (uniquement pour Google OAuth) : Google Ireland Limited traite les données dans l'UE. Uniquement lorsque l'utilisateur choisit activement la connexion Google.

(3) Le traitement IA ainsi que le stockage de toutes les données de contenu et utilisateurs (y compris les données vectorielles) ont lieu exclusivement en Allemagne et dans l'UE.

§ 8 – Droits des personnes concernées

Le Sous-traitant aide le Responsable du traitement à respecter les droits des personnes concernées conformément aux Art. 12–22 RGPD, notamment :

  • Droit d'accès (Art. 15 RGPD)
  • Droit de rectification (Art. 16 RGPD)
  • Droit à l'effacement (Art. 17 RGPD)
  • Droit à la limitation du traitement (Art. 18 RGPD)
  • Droit à la portabilité des données (Art. 20 RGPD)

Les utilisateurs peuvent consulter et supprimer leurs données à tout moment via leur compte utilisateur.

§ 9 – Notification des violations de données

Le Sous-traitant informe le Responsable du traitement sans retard injustifié, et au plus tard dans les 48 heures, de toute violation de données personnelles conformément à l'Art. 33 RGPD.

§ 10 – Droits de contrôle

(1) Le Responsable du traitement a le droit de vérifier le respect du présent contrat de manière raisonnable.

(2) Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires et permet des audits y compris des inspections.

§ 11 – Durée et résiliation

Le présent contrat s'applique pendant toute la durée d'utilisation du service BonusFlow. Il prend effet lors de l'inscription et prend fin avec la suppression du compte utilisateur.

§ 12 – Dispositions finales

(1) Si certaines dispositions du présent contrat s'avèrent invalides, la validité des dispositions restantes n'en est pas affectée.

(2) Le droit de la République fédérale d'Allemagne s'applique.

(3) Le tribunal compétent est celui de Essen, Allemagne.

Dernière mise à jour : Mars 2026

Contact pour les questions relatives à la protection des données : datenschutz@bonusflow.de