Définitions
Données personnelles : toute information se rapportant à une personne identifiée ou identifiable.
Incident de sécurité : violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.
Instructions : directives documentées du Client à Godia.ai concernant le traitement.
Sous-traitant ultérieur : tout prestataire engagé par Godia.ai pour exécuter une partie du traitement.
Identification des parties
Responsable du traitement (Client) : entité cliente figurant au bon de commande.
Sous-traitant (Godia.ai) : 777 Industries Luxembourg – 24, Route d'Arlon L-8008 Strassen – Contacts : support@godia.ai · legal@godia.ai.
Objet et durée
- Objet
Fourniture de la plateforme SaaS Godia.ai (agents IA, collecte et routage des conversations, administration, analyses).
- Durée
Effet à la signature du contrat principal ; fin à sa résiliation. Suppression des données sous 30 jours (attestation sur demande).
Catégories et finalités
- Catégories
Conversations (messages, horodatages, identifiants), données de contact (nom, email, téléphone, société, champs libres), données techniques (IP à des fins de sécurité, logs, métriques), configurations (paramètres agents, bases de connaissances).
- Personnes concernées
Utilisateurs finaux (visiteurs, prospects, clients) et utilisateurs internes du Client.
- Finalités
Exécution du service, amélioration & support, obligations légales, sécurité et prévention des abus.
Instructions & accès support
Godia.ai traite uniquement sur instructions du Client. L'accès support n'est possible que via une clé sécurisée temporaire générée par le Client, limitée dans le temps, journalisée et révocable.
Mesures de sécurité
- Accès & permissions
Authentification par token, contrôles d'accès, cloisonnement par clientId.
- Chiffrement
Données sensibles chiffrées au repos (AES-256-GCM) et en transit (TLS 1.2+). Tokens OAuth des intégrations email chiffrés en base.
- Sauvegardes
Sauvegardes chiffrées quotidiennes gérées par Neon, tests réguliers de restauration.
- Traçabilité
Journalisation des opérations de support ; relevé disponible sur demande.
Hébergement & sous-traitants
Godia.ai fait appel aux sous-traitants ultérieurs suivants. Tout ajout ou remplacement significatif fera l'objet d'une notification préalable (30 jours) avec droit d'objection motivé du Client.
| Sous-traitant | Rôle | Localisation | DPA |
|---|---|---|---|
| Railway | Hébergement infrastructure (compute, réseau, déploiement) | Europe (UE) | Disponible |
| Neon | Base de données PostgreSQL managée | Europe (UE) | Disponible |
| Mistral AI | Inférence des modèles de langage (IA conversationnelle) | France (UE) | Disponible |
| Mailjet (Sinch) | Envoi d'emails transactionnels et notifications | France (UE) | Disponible |
| Authentification OAuth 2.0 / Gmail API (optionnel, sur activation Client) | États-Unis (SCCs) | Disponible | |
| Microsoft | Authentification OAuth 2.0 / Outlook API (optionnel, sur activation Client) | UE / États-Unis (SCCs) | Disponible |
Transferts internationaux
L'infrastructure principale (compute et base de données) est hébergée dans l'Union européenne. Les transferts hors UE concernent uniquement :
- Google — uniquement si le Client active l'intégration Gmail. Couvert par les Clauses Contractuelles Types (SCC) RGPD et le DPA Google Cloud.
- Microsoft — uniquement si le Client active l'intégration Outlook/Microsoft 365. Couvert par les SCC RGPD et le DPA Microsoft.
Pour tout traitement hors UE, Godia.ai met en place les garanties appropriées (SCC) et en informe le Client si nécessaire.
Droits des personnes & assistance
Mécanismes permettant au Client de répondre aux demandes (accès, rectification, suppression, opposition). Suppression de conversations via l'interface et assistance complémentaire sur demande.
Incidents & notifications
Notification au Client sans délai indu après prise de connaissance ; accusé de réception sous 24 h ouvrées avec informations disponibles pour l'évaluation et, le cas échéant, la notification aux autorités/personnes concernées.
Audits & conformité
Godia.ai privilégie la fourniture de preuves documentaires (politiques, descriptions de contrôles, rapports de tests internes) et la réponse à des questionnaires de sécurité. Les audits sur site ne sont pas proposés par défaut ; possibles uniquement si exigence légale/réglementaire ou accord mutuel (préavis, périmètre, confidentialité) et aux frais du demandeur.
Rétention & suppression
| Catégorie | Durée indicative |
|---|---|
| Conversations & pièces jointes | Jusqu'à suppression par le Client ou fin de contrat (max 30 j après résiliation) |
| Logs techniques | 30 à 90 jours |
| Backups chiffrés | Cycles glissants <= 30 jours |
| Métadonnées analytiques | 12 mois (agrégées/anonymisées au-delà) |
Restitution/Suppression en fin de contrat
À la fin du contrat, suppression sous 30 jours (sauf obligation légale contraire). Restitution possible sur demande préalable. Attestation disponible sur demande.
Droit applicable & juridiction
Droit luxembourgeois (selon le contrat cadre). Compétence des juridictions du siège social du Client sauf stipulation contraire.
Contacts & PDF signé
Privacy/Légal : legal@godia.ai · Support : support@godia.ai.
Pour obtenir une version PDF signée, merci d'en faire la demande par email.