Data Processing Agreement (DPA)

1. Définitions

Les termes définis ci-dessous ont la signification qui leur est attribuée dans le Règlement (UE) 2016/679 (« RGPD ») :

Responsable de traitement : le Client (l'établissement de formation) qui détermine les finalités et moyens du traitement des données personnelles via le Service.
Sous-traitant : Navescale, Lda agissant sous le nom commercial Qaptivo, qui traite les données personnelles pour le compte du Client.
Sous-traitant ultérieur : tiers engagé par Qaptivo pour exécuter une partie du traitement (Annexe 3).
Données personnelles du Client : toute information se rapportant à une personne physique identifiée ou identifiable, traitée par Qaptivo dans le cadre du Service pour le compte du Client.
Personne concernée : un visiteur ou prospect du site web du Client, dont les données sont traitées via le Service.
Service : la plateforme SaaS Qaptivo de chatbot IA, telle que décrite dans les CGV.
CGV : les Conditions générales de vente de Qaptivo accessibles sur qaptivo.com/cgv.
Violation de données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.

2. Rôles des parties

Les parties reconnaissent que, dans le cadre du Service :

Le Client agit en qualité de responsable de traitement ; il détermine seul les finalités, le périmètre et les modalités d'utilisation du Service.
Qaptivo agit en qualité de sous-traitant au sens de l'article 4(8) RGPD ; il ne traite les données personnelles que sur instruction documentée du Client.

Le présent DPA constitue les instructions documentées du Client à Qaptivo, ainsi que la configuration du Service réalisée par le Client dans son tableau de bord (paramètres du chatbot, base de connaissance, intégrations).

3. Objet, durée, nature et finalité du traitement

Les éléments visés à l'article 28(3) RGPD sont décrits en Annexe 1. La durée du traitement correspond à la durée de l'abonnement du Client au Service, augmentée d'une période maximale de 30 jours pour la suppression ou la restitution des données conformément à la section 5.8.

4. Type de données et catégories de personnes concernées

Voir Annexe 1. Le Client s'engage à ne pas collecter de catégories particulières de données au sens de l'article 9 RGPD via le Service (santé, opinions, origine raciale, religion, données biométriques, etc.). Le Service intègre par défaut un avertissement aux visiteurs leur déconseillant de partager ce type d'informations.

5. Obligations de Qaptivo (sous-traitant)

5.1 Traitement sur instruction documentée

Qaptivo ne traite les données personnelles du Client que sur la base d'instructions documentées du Client (le présent DPA, la configuration du Service par le Client, les CGV). Si Qaptivo estime qu'une instruction enfreint le RGPD ou tout autre droit applicable, il en informe immédiatement le Client.

Qaptivo ne traite les données personnelles à aucune autre fin et notamment ne les utilise pas pour ses propres finalités commerciales ou pour entraîner ses modèles d'intelligence artificielle.

5.2 Confidentialité

Qaptivo veille à ce que toutes les personnes autorisées à traiter les données personnelles du Client (employés, prestataires, dirigeants) soient soumises à une obligation contractuelle de confidentialité ou à une obligation légale appropriée de confidentialité. L'accès est limité au strict nécessaire (principe du « need-to-know »).

5.3 Mesures techniques et organisationnelles de sécurité

Qaptivo met en œuvre les mesures techniques et organisationnelles décrites en Annexe 2, conformément à l'article 32 RGPD, en tenant compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

5.4 Sous-traitants ultérieurs

Le Client donne par les présentes une autorisation générale à Qaptivo pour engager les sous-traitants ultérieurs listés en Annexe 3. Qaptivo s'engage à :

Conclure avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des données que celles prévues au présent DPA, notamment en matière de mesures de sécurité.
Notifier par email au Client tout ajout ou remplacement de sous-traitant ultérieur, avec un préavis raisonnable d'au moins 30 jours avant l'engagement du nouveau sous-traitant.
Permettre au Client de s'opposer au changement de sous-traitant ultérieur dans ce délai. En cas d'opposition motivée et raisonnable, Qaptivo s'efforcera de proposer une solution alternative ; à défaut, le Client peut résilier l'abonnement sans frais ni pénalité, avec remboursement prorata.
Demeurer pleinement responsable vis-à-vis du Client de l'exécution des obligations du sous-traitant ultérieur.

5.5 Assistance aux droits des personnes concernées

Qaptivo met à disposition du Client les fonctionnalités techniques nécessaires (export, suppression, accès) pour répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 23 RGPD : accès, rectification, effacement, limitation, portabilité, opposition). En cas de demande spécifique non couverte par les fonctionnalités du Service, Qaptivo assiste le Client dans un délai raisonnable n'excédant pas 15 jours ouvrés.

5.6 Assistance aux analyses d'impact (AIPD)

Qaptivo assiste le Client, dans la mesure du raisonnable et compte tenu des informations dont il dispose, pour la réalisation d'analyses d'impact relatives à la protection des données (article 35 RGPD) et pour les consultations préalables auprès de l'autorité de contrôle (article 36 RGPD).

5.7 Notification des violations de données

Qaptivo notifie au Client toute violation de données personnelles dont il a connaissance, sans retard injustifié et au plus tard 72 heures après en avoir pris connaissance. La notification précise, dans la mesure du possible :

La nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
Le nom et les coordonnées du point de contact ;
Les conséquences probables de la violation ;
Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets négatifs.

5.8 Suppression ou restitution en fin de contrat

À la cessation du Service (résiliation, expiration, fin de l'essai non transformée en abonnement), Qaptivo procède à la suppression de toutes les données personnelles du Client dans un délai maximal de 30 jours, sauf si le droit de l'Union ou d'un État membre exige leur conservation. À la demande écrite du Client formulée avant la cessation, Qaptivo restitue les données dans un format structuré et couramment utilisé (export CSV/JSON) avant suppression.

Les sauvegardes contenant des données personnelles sont automatiquement purgées dans un délai supplémentaire maximal de 30 jours.

5.9 Audit et inspections

Qaptivo met à la disposition du Client, sur demande écrite, toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA. Le Client peut, une fois par an, et à ses frais, réaliser un audit (ou mandater un tiers indépendant tenu à la confidentialité) avec un préavis raisonnable d'au moins 30 jours, dans des conditions n'entravant pas le fonctionnement normal de Qaptivo. Qaptivo peut satisfaire à cette obligation par la fourniture d'attestations, certifications ou rapports d'audit indépendants pertinents.

6. Obligations du Client (responsable de traitement)

Le Client garantit qu'il :

Dispose d'une base légale valide (article 6 RGPD) pour chaque traitement réalisé via le Service ;
Informe les personnes concernées du traitement de leurs données conformément aux articles 13 et 14 RGPD (politique de confidentialité accessible, mention dans le widget) ;
Configure le Service de manière à respecter les principes de minimisation et d'exactitude des données ;
S'abstient de collecter via le Service des catégories particulières de données (article 9) ou des données relatives à des condamnations pénales (article 10) ;
Répond directement aux demandes des personnes concernées dont il est responsable de traitement, en s'appuyant le cas échéant sur l'assistance prévue à la section 5.5 ;
Notifie aux autorités de contrôle compétentes les violations de données qui lui sont notifiées par Qaptivo, lorsque la notification est requise par l'article 33 RGPD.

7. Transferts internationaux de données

Certains sous-traitants ultérieurs (Annexe 3) sont établis hors de l'Union européenne. Tout transfert vers un pays tiers est encadré par l'un des mécanismes suivants :

Une décision d'adéquation de la Commission européenne (article 45 RGPD), notamment l'EU-US Data Privacy Framework pour les sous-traitants américains certifiés ;
À défaut, les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914) — module 3 (sous-traitant UE → sous-traitant ultérieur hors UE), considérées comme conclues entre le Client (par l'intermédiaire de Qaptivo) et le sous-traitant ultérieur concerné ;
Toute mesure supplémentaire de protection le cas échéant (chiffrement, pseudonymisation), évaluée selon la nature des données et la juridiction de destination.

Par l'acceptation du présent DPA, le Client autorise Qaptivo à conclure et exécuter ces CCT en son nom et pour son compte vis-à-vis des sous-traitants ultérieurs concernés.

8. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est régie par les dispositions de limitation de responsabilité prévues à la section 10 des CGV, sans préjudice des dispositions impératives du RGPD relatives aux droits des personnes concernées et aux pouvoirs des autorités de contrôle.

9. Confidentialité

Chaque partie traite les informations relatives au présent DPA et à son exécution comme confidentielles, sauf si leur divulgation est requise par la loi ou par une autorité compétente, ou si l'autre partie a expressément consenti à leur divulgation.

10. Durée et résiliation

Le présent DPA prend effet à la date d'acceptation des CGV par le Client et reste en vigueur tant que Qaptivo traite des données personnelles pour le compte du Client. Sa résiliation suit celle des CGV et entraîne les obligations de suppression / restitution prévues à la section 5.8.

11. Modifications du DPA

Qaptivo se réserve le droit de modifier le présent DPA pour refléter les évolutions du droit applicable, des sous-traitants ultérieurs ou des mesures techniques et organisationnelles. Toute modification substantielle est notifiée au Client par email avec un préavis d'au moins 30 jours avant son entrée en vigueur. La poursuite de l'utilisation du Service après la date d'entrée en vigueur vaut acceptation de la nouvelle version. À défaut d'acceptation, le Client peut résilier sans frais avec remboursement prorata.

L'historique des versions du DPA est disponible sur demande à [email protected].

12. Hiérarchie des documents

En cas de contradiction entre le présent DPA et les CGV ou tout autre accord entre les parties, les dispositions du présent DPA prévalent pour tout ce qui concerne le traitement de données personnelles. Pour le reste, les CGV s'appliquent.

13. Droit applicable et juridiction

Le présent DPA est régi par le droit portugais, sans préjudice des dispositions impératives du RGPD et des droits des personnes concernées de saisir l'autorité de contrôle ou la juridiction de leur lieu de résidence habituelle. Tout litige entre les parties relatif au présent DPA est soumis à la compétence exclusive des tribunaux de Lisbonne (Portugal).

14. Coordonnées

Sous-traitant : Navescale, Lda — Praça Duque de Saldanha 1, 2º andar, 1050-094 Lisbonne, Portugal — NIF 518556719
Contact RGPD / DPO : [email protected]
Autorité de contrôle compétente : Comissão Nacional de Proteção de Dados (CNPD), Portugal — www.cnpd.pt

Annexe 1 — Description du traitement

Objet	Fourniture d'un service SaaS de chatbot IA pour l'engagement et la capture de prospects sur le site web du Client.
Durée	Durée de l'abonnement du Client + 30 jours pour la suppression / restitution.
Nature du traitement	Hébergement, traitement en temps réel, recherche sémantique vectorielle, génération automatisée de réponses, scoring automatisé d'intérêt commercial, notification par email, export de données.
Finalité	Répondre aux questions des prospects 24/7, capter les demandes d'information, qualifier les leads pour les équipes admissions du Client.
Type de données personnelles	Identité : prénom, email, numéro de téléphone (lorsque communiqués volontairement par le visiteur) Conversations : messages textuels échangés avec le chatbot Données techniques : adresse IP (rate limiting et sécurité uniquement), user-agent, langue détectée Données de navigation : URL de la page de visite, paramètres UTM, referrer (uniquement si le Client a activé le tracking de source) Score de qualification commerciale (0 à 100) calculé automatiquement
Catégories particulières (art. 9)	Aucune. Le Client s'engage à ne pas collecter de catégories particulières via le Service.
Catégories de personnes concernées	Visiteurs et prospects du site web du Client, majoritairement des personnes physiques majeures (candidats à une formation, parents d'élèves, salariés en reconversion).
Fréquence du traitement	Continue, en temps réel.
Lieu du traitement principal	Allemagne (Frankfurt, infrastructure Hetzner) avec sous-traitances ponctuelles dans les juridictions listées en Annexe 3.

Annexe 2 — Mesures techniques et organisationnelles

En application de l'article 32 RGPD, Qaptivo met en œuvre les mesures suivantes :

Sécurité technique

Chiffrement en transit : TLS 1.2 minimum (TLS 1.3 par défaut) sur toutes les communications HTTP, API, dashboard et widget.
Chiffrement des secrets : mots de passe utilisateurs hashés avec bcrypt (cost factor 12) ; clés API et tokens OAuth chiffrés au repos.
Isolation multi-tenant : chaque école Cliente (« tenant ») est isolée logiquement par un identifiant unique appliqué à toutes les requêtes en base ; aucune fuite de données possible entre Clients.
Contrôle d'accès : authentification JWT pour le dashboard avec expiration de 24 heures ; authentification par clé API publique pour le widget (limitée aux endpoints publics).
Limitation de débit (rate limiting) : protection des endpoints publics contre les abus et attaques par déni de service.
Sauvegardes : sauvegardes quotidiennes automatisées de la base de données, conservation 30 jours, restauration testée.
Surveillance et journalisation : monitoring d'erreurs applicatives via Sentry avec filtrage actif des données personnelles (PII scrubbing) ; journaux d'accès aux infrastructures conservés 30 jours.
Mises à jour de sécurité : revue régulière des dépendances logicielles, application des correctifs critiques sous 7 jours.
Protection anti-bot : Cloudflare Turnstile en mode invisible sur les endpoints publics.

Sécurité organisationnelle

Accès du personnel : selon le principe du « need-to-know », chaque accès aux données de production est tracé et révocable.
Confidentialité : tous les collaborateurs et prestataires accédant aux systèmes de production sont liés par une clause de confidentialité.
Réponse aux incidents : procédure interne formalisée, notification sous 72h conformément à la section 5.7 du présent DPA.
Continuité d'activité : infrastructure cloud avec redondance, plan de reprise documenté.
Sensibilisation : formation interne aux principes RGPD et aux bonnes pratiques de sécurité.

Privacy by design

Le widget ne dépose aucun cookie ni identifiant local tant que le visiteur n'a pas ouvert le chat (exemption ePrivacy).
Avertissement intégré au widget invitant les visiteurs à ne pas partager de données sensibles.
Suppression automatique des conversations à l'issue de la durée de conservation (12 mois).
Possibilité d'exporter ou de supprimer un lead à la demande, depuis le dashboard du Client.

Annexe 3 — Liste des sous-traitants ultérieurs

Liste à jour au 5 mai 2026. Toute évolution est notifiée par email avec un préavis de 30 jours conformément à la section 5.4.

Sous-traitant	Pays	Finalité	Garantie de transfert
Hetzner Online GmbH	Allemagne (Frankfurt)	Hébergement serveur, base de données, fichiers	UE — pas de transfert
Anthropic, PBC	États-Unis	Traitement IA des conversations (modèle Claude)	EU-US Data Privacy Framework + CCT 2021/914
OpenAI, L.L.C.	États-Unis	Génération d'embeddings vectoriels pour la recherche sémantique	EU-US Data Privacy Framework + CCT 2021/914
Cloudflare, Inc.	États-Unis	Browser Rendering (scraping du site du Client) + Turnstile (protection anti-bot)	EU-US Data Privacy Framework + CCT 2021/914
Stripe Payments Europe, Ltd.	Irlande / États-Unis	Traitement des paiements et facturation Qaptivo (données du Client uniquement, pas des prospects)	UE + EU-US DPF
Sendinblue SAS (Brevo)	France	Envoi d'emails transactionnels (notifications de leads, rapports hebdomadaires)	UE — pas de transfert
Giphy, Inc.	États-Unis	Recherche et affichage de GIFs dans les réponses (uniquement si activé par le Client)	EU-US Data Privacy Framework + CCT 2021/914
Functional Software, Inc. (Sentry.io)	États-Unis	Monitoring d'erreurs applicatives avec filtrage des PII	EU-US Data Privacy Framework + CCT 2021/914

Note : DataFast (analytics du site marketing qaptivo.com) n'est pas un sous-traitant des données du Client : il n'a aucun accès au widget chatbot ni au dashboard.