AVENANT DE TRAITEMENT DES DONNÉES

Dernière mise à jour : 19 mars 2026

Le présent Avenant de Traitement des Données (« DPA ») fait partie des Conditions Générales (« Accord ») conclu entre Acira AI LLC (« Sous-traitant », « nous ») et l'utilisateur des Services (« Responsable du traitement », « vous ») et complète l'Accord en ce qui concerne le traitement des données à caractère personnel.

Le présent DPA s'applique lorsque vous utilisez les Services pour créer, héberger et publier des sites web qui collectent ou traitent des données à caractère personnel de personnes situées dans l'Espace Économique Européen (« EEE »), au Royaume-Uni (« RU ») ou en Suisse, ou lorsque les lois applicables en matière de protection des données l'exigent.

Le présent DPA peut être traduit dans d'autres langues pour votre commodité. En cas de conflit ou d'incohérence entre la version anglaise et toute version traduite, la version anglaise prévaudra.

TABLE DES MATIÈRES

1. DÉFINITIONS
2. CHAMP D'APPLICATION ET RÔLES
3. DÉTAILS DU TRAITEMENT DES DONNÉES
4. OBLIGATIONS DU SOUS-TRAITANT
5. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT
6. SOUS-TRAITANTS ULTÉRIEURS
7. TRANSFERTS INTERNATIONAUX DE DONNÉES
8. DROITS DES PERSONNES CONCERNÉES
9. SÉCURITÉ DES DONNÉES
10. NOTIFICATION DE VIOLATION DE DONNÉES
11. AUDITS ET VÉRIFICATION DE CONFORMITÉ
12. CONSERVATION ET SUPPRESSION DES DONNÉES
13. DURÉE ET RÉSILIATION
14. LIMITATION DE RESPONSABILITÉ
15. CONTACTEZ-NOUS

1. DÉFINITIONS

« Loi applicable en matière de protection des données » désigne l'ensemble des lois et réglementations applicables au traitement des données à caractère personnel dans le cadre du présent DPA, notamment (selon le cas) le Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD »), le UK RGPD, la Loi fédérale suisse sur la protection des données (« LPD »), et le California Consumer Privacy Act (« CCPA »).

« Responsable du traitement » désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données à caractère personnel — dans ce contexte, vous, l'utilisateur des Services qui exploite un site web via la plateforme.

« Personne concernée » désigne une personne physique identifiée ou identifiable dont les données à caractère personnel sont traitées.

« Données à caractère personnel » désigne toute information relative à une personne concernée qui est traitée via les Services.

« Traitement » désigne toute opération effectuée sur des données à caractère personnel, notamment la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la divulgation, la diffusion, la restriction, l'effacement ou la destruction.

« Sous-traitant » désigne une personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement — dans ce contexte, Acira AI LLC.

« Sous-traitant ultérieur » désigne tout tiers engagé par le sous-traitant pour traiter des données à caractère personnel pour le compte du responsable du traitement.

« Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers, adoptées par la Commission européenne.

2. CHAMP D'APPLICATION ET RÔLES

2.1 Relation de traitement

Lorsque vous utilisez les Services pour créer et exploiter un site web qui collecte des données à caractère personnel auprès de vos visiteurs (via des formulaires, des comptes utilisateurs, des interactions avec des chatbots, des commentaires, des avis ou d'autres fonctionnalités interactives), vous agissez en tant que Responsable du traitement et nous agissons en tant que Sous-traitant de ces données à caractère personnel des visiteurs.

2.2 Notre rôle en tant que responsable du traitement

Nous agissons en tant que Responsable du traitement indépendant pour les données à caractère personnel que nous collectons à nos propres fins, notamment : vos informations de compte, vos données de facturation, les analyses d'utilisation, les caractéristiques générales du site web dérivées du contenu de votre site web (telles que le secteur d'activité ou le type d'entreprise), et les données d'exploitation de la plateforme. Le traitement de ces données est régi par notre Politique de confidentialité et ne relève pas du champ d'application du présent DPA.

2.3 Analyses de la plateforme

Nous collectons des analyses basiques et respectueuses de la vie privée sur les visiteurs du site web (telles que décrites dans l'Accord). Pour les données analytiques, nous agissons en tant que co-responsables du traitement avec vous. Nous avons conçu nos analyses afin de minimiser la collecte de données à caractère personnel — nous ne stockons pas les adresses IP brutes, et les identifiants des visiteurs se renouvellent quotidiennement. Les responsabilités respectives de chaque co-responsable du traitement sont les suivantes :

• Acira AI (Sous-traitant/Co-responsable du traitement) : Détermine les moyens techniques de collecte des analyses, notamment les points de données collectés, la manière dont les identifiants des visiteurs sont calculés (hachages à rotation quotidienne) et la manière dont les données sont agrégées. Nous sommes responsables de la sécurité et de l'intégrité de l'infrastructure analytique ainsi que de la réponse aux demandes générales concernant le fonctionnement des analyses sur la plateforme.
• Vous (Responsable du traitement/Co-responsable du traitement) : Déterminez si vous souhaitez utiliser les analyses sur votre site web (les analyses sont activées par défaut dans le cadre des Services). Vous êtes responsable de la divulgation de la collecte des données analytiques dans la politique de confidentialité de votre site web et de la réponse aux demandes des personnes concernées de vos visiteurs concernant leurs données analytiques.
• Point de contact pour les personnes concernées : Les personnes concernées peuvent vous contacter (le propriétaire du site web) concernant les données analytiques collectées sur votre site web. Si nous recevons une demande d'une personne concernée concernant des données analytiques, nous la dirigerons vers vous, sauf instruction contraire de votre part. Pour les demandes générales relatives à la plateforme, les personnes concernées peuvent nous contacter à legal@acira.ai.

2.4 Essence de l'arrangement de co-responsabilité du traitement

Conformément à l'article 26, paragraphe 2, du RGPD, l'essence de cet arrangement de co-responsabilité du traitement pour les données analytiques est la suivante : Nous (Acira AI) déterminons les moyens techniques et les points de données collectés ; vous (l'opérateur du site web) déterminez si les analyses sont utilisées sur votre site web. Nous sommes chacun responsables de nos obligations respectives au titre de la Loi applicable en matière de protection des données. Vous êtes le principal point de contact pour vos visiteurs concernant les données analytiques. Un résumé de cet arrangement est mis à la disposition des personnes concernées via le présent DPA et sur https://www.acira.ai/dpa.

2.5 Désignation de prestataire de services CCPA

Dans la mesure où nous traitons des données à caractère personnel soumises au California Consumer Privacy Act (« CCPA ») pour votre compte, nous sommes votre « prestataire de services » tel que défini à Cal. Civ. Code § 1798.140(ag). Nous ne devrons pas :

• Vendre ou partager (tels que ces termes sont définis dans le CCPA) des données à caractère personnel que vous nous fournissez ;
• Conserver, utiliser ou divulguer des données à caractère personnel à des fins autres que les finalités commerciales spécifiées dans le présent DPA et l'Accord, ou tel que permis par le CCPA ;
• Conserver, utiliser ou divulguer des données à caractère personnel en dehors de la relation commerciale directe entre vous et nous ;
• Combiner des données à caractère personnel reçues de vous avec des données à caractère personnel que nous recevons de ou pour le compte d'une autre personne ou que nous collectons lors de nos propres interactions avec les consommateurs, sauf tel que permis par le CCPA.

Nous pouvons dériver des caractéristiques commerciales générales et non identifiantes (telles que la classification sectorielle) du contenu de votre site web afin de fournir des recommandations de produits pertinentes, comme décrit à la Section 2.2. Cette utilisation limitée ne constitue pas une vente, un partage ou une combinaison d'informations personnelles au sens du CCPA.

Nous certifions que nous comprenons ces restrictions et les respecterons.

2.6 Évaluation du représentant suisse LPD

L'article 14 de la Loi fédérale suisse sur la protection des données (« LPD ») exige qu'un responsable du traitement privé non suisse désigne un représentant en Suisse uniquement lorsque les quatre conditions cumulatives suivantes sont réunies : (1) le traitement est lié à l'offre de biens ou de services à, ou à la surveillance du comportement de, personnes en Suisse ; (2) le traitement est à grande échelle ; (3) le traitement a lieu de manière régulière ; et (4) le traitement présente un risque élevé pour les droits de la personnalité ou les droits fondamentaux des personnes concernées.

Nous avons évalué nos activités de traitement par rapport à ces conditions et avons déterminé que, si les conditions (1) et (3) sont remplies, les conditions restantes ne le sont pas pour les raisons suivantes :

• Pas à grande échelle : Nous sommes une petite plateforme SaaS. Le volume de données à caractère personnel de résidents suisses traitées via nos Services est limité et ne constitue pas un traitement à grande échelle au sens de l'article 14 LPD.
• Pas à risque élevé : Les données à caractère personnel que nous traitons pour le compte des opérateurs de sites web consistent principalement en des identifiants analytiques pseudonymisés (hachages à rotation quotidienne), des métadonnées basiques des visiteurs (pays, type d'appareil, navigateur), le contenu des soumissions de formulaires et les messages des chatbots. Nous ne traitons pas de catégories particulières de données à caractère personnel (article 5, lettre c LPD) et ne procédons pas à du profilage présentant un risque élevé pour les personnes concernées. Le Préposé fédéral à la protection des données et à la transparence (« PFPDT ») a indiqué que cette obligation vise principalement les grandes plateformes Internet et réseaux sociaux opérant depuis l'étranger, ce qui ne décrit pas nos Services.

Sur la base de cette évaluation, nous avons conclu que nous ne sommes pas tenus de désigner un représentant en Suisse en vertu de l'article 14 LPD à ce stade. Nous réévaluerons cette détermination périodiquement, notamment en cas de changements importants dans l'ampleur ou la nature de nos activités de traitement affectant les résidents suisses.

3. DÉTAILS DU TRAITEMENT DES DONNÉES

3.1 Objet et durée

Le traitement des données à caractère personnel dans le cadre du présent DPA est effectué aux fins de la fourniture des Services décrits dans l'Accord et se poursuivra pendant la durée de l'Accord.

3.2 Nature et finalité du traitement

Nous traitons les données à caractère personnel pour :

• Héberger et diffuser le contenu de votre site web
• Stocker et gérer les données soumises via les formulaires et fonctionnalités interactives de votre site web
• Maintenir les comptes utilisateurs et les sessions pour les zones protégées de votre site web
• Envoyer des communications par e-mail en votre nom
• Transférer les e-mails reçus à vos adresses e-mail de domaine personnalisé
• Alimenter les conversations de chatbot IA avec vos visiteurs
• Générer des descriptions et métadonnées alimentées par l'IA pour les fichiers téléversés
• Convertir les fichiers téléversés en formats optimisés pour le web
• Fournir des analyses des visiteurs
• Dériver des caractéristiques générales du site web (telles que le secteur d'activité ou le type d'entreprise) pour fournir des recommandations pertinentes de la plateforme
• Détecter et prévenir le spam et les abus (y compris les défis anti-robots de preuve de travail)
• Effectuer la modération de contenu sur les fichiers téléversés
• Examiner le contenu du site web lors de la publication pour la conformité aux politiques de contenu de la plateforme
• Gérer les préférences de désinscription par e-mail pour les destinataires des e-mails de votre site web
• Faciliter les communications en temps réel sur votre site web via des connexions WebSocket (les messages sont éphémères et ne sont pas conservés)
• Maintenir des journaux d'erreurs et de diagnostic pour la fiabilité et le dépannage de la plateforme (peut inclure des adresses IP et des métadonnées de requêtes ; conservés pendant une durée maximale de trente (30) jours)

3.3 Types de données à caractère personnel

Les types de données à caractère personnel traitées dépendent de ce que vous collectez via votre site web, et peuvent inclure :

• Noms et coordonnées
• Adresses e-mail
• Messages et soumissions de formulaires
• Fichiers téléversés par les visiteurs du site web (tels que des images et des documents)
• Contenu des conversations de chatbot (messages des visiteurs et réponses de l'IA)
• Identifiants de compte utilisateur (stockés sous forme hachée)
• Données de session
• Adresses IP (non stockées dans les analyses — seul un hachage à rotation quotidienne est stocké ; stockées en tant que métadonnées avec les soumissions de formulaires et les conversations de chatbot ; utilisées temporairement et hachées pour la vérification des défis anti-robots ; stockées temporairement pour la limitation de débit pendant une durée maximale de sept (7) jours et automatiquement purgées)
• Informations sur le navigateur et l'appareil
• Données de localisation (niveau pays et région, dérivées de l'IP)
• Enregistrements de désinscription par e-mail (stockés sous forme de hachages cryptographiques des adresses e-mail des destinataires ; non stockés sous forme brute)
• Résultats de classification du spam (si une soumission a été déterminée comme étant du spam)
• Données de journaux d'erreurs et de diagnostic (adresses IP, chemins de requêtes et détails des erreurs ; conservés pendant une durée maximale de trente (30) jours et automatiquement purgés)

3.4 Catégories de personnes concernées

• Les visiteurs de votre site web
• Les utilisateurs qui créent des comptes sur votre site web
• Les utilisateurs qui soumettent des formulaires ou interagissent avec des chatbots sur votre site web
• Les utilisateurs qui soumettent des commentaires, des avis ou d'autres contributions sur votre site web

4. OBLIGATIONS DU SOUS-TRAITANT

Nous devrons :

1. Traiter les données à caractère personnel uniquement sur vos instructions documentées, sauf si la loi applicable l'exige (auquel cas nous vous informerons de cette obligation légale avant le traitement, sauf si la loi l'interdit) ;
2. Veiller à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
3. Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées telles que décrites à la section 9 ;
4. Respecter les conditions d'engagement des sous-traitants ultérieurs telles qu'énoncées à la section 6 ;
5. Vous assister, compte tenu de la nature du traitement, pour répondre aux demandes des personnes concernées exerçant leurs droits en vertu de la Loi applicable en matière de protection des données ;
6. Vous assister pour garantir le respect de vos obligations au titre des articles 32 à 36 du RGPD (sécurité, notification de violation, analyses d'impact sur la protection des données et consultation préalable), en tenant compte de la nature du traitement et des informations dont nous disposons. Lorsque votre utilisation des Services implique un traitement à risque élevé pouvant nécessiter une Analyse d'Impact relative à la Protection des Données (AIPD), nous vous fournirons des informations sur nos activités de traitement, nos mesures techniques et organisationnelles, et nos sous-traitants ultérieurs pour soutenir votre évaluation ;
7. Vous assister dans l'accomplissement de vos obligations au titre de l'article 22 du RGPD (prise de décision individuelle automatisée) en fournissant des informations sur tout traitement automatisé effectué en votre nom, notamment la modération de contenu, la détection du spam et la protection anti-robots, et en facilitant la révision humaine des décisions automatisées sur demande ;
8. Vous informer si, de notre avis, une instruction de votre part enfreint la Loi applicable en matière de protection des données ;
9. À votre choix, supprimer ou restituer toutes les données à caractère personnel à l'issue de la fourniture des Services, et supprimer les copies existantes, sauf si la conservation est requise par la loi applicable ;
10. Vous mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA et contribuer à la vérification de conformité telle que décrite à la section 11.

5. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

Vous devrez :

1. Veiller à ce que votre collecte et votre traitement de données à caractère personnel via votre site web soient conformes à toutes les Lois applicables en matière de protection des données ;
2. Fournir des avis de confidentialité appropriés à vos visiteurs décrivant vos pratiques de collecte de données, y compris la divulgation des analyses au niveau de la plateforme, des interactions de chatbot alimentées par l'IA, de la détection du spam et de la protection anti-robots ;
3. Obtenir tous les consentements nécessaires ou établir une autre base légale pour le traitement des données à caractère personnel via votre site web ;
4. Veiller à ce que vos instructions à notre égard concernant le traitement des données à caractère personnel soient conformes aux Lois applicables en matière de protection des données ;
5. Être responsable de l'exactitude, de la qualité et de la licéité des données à caractère personnel qui nous sont fournies via votre site web.

En utilisant les Services, vous nous donnez instruction d'effectuer les activités de traitement suivantes en votre nom dans le cadre des opérations standard de la plateforme : modération de contenu des fichiers téléversés, vérification de la politique de contenu du contenu du site web publié, détection du spam sur les soumissions de formulaires, protection anti-robots via des défis de preuve de travail, et interactions de chatbot IA avec les visiteurs de votre site web. Ces activités constituent des instructions documentées au sens de l'article 28, paragraphe 3, point a), du RGPD.

6. SOUS-TRAITANTS ULTÉRIEURS

6.1 Sous-traitants ultérieurs autorisés

Vous nous accordez une autorisation générale d'engager des sous-traitants ultérieurs pour nous aider à fournir les Services. Nos sous-traitants ultérieurs actuels sont répertoriés ci-dessous et sur https://www.acira.ai/dpa.

6.2 Liste actuelle des sous-traitants ultérieurs

6.3 Modifications des sous-traitants ultérieurs

Nous vous informerons de toute modification prévue de la liste des sous-traitants ultérieurs pour les Services que vous utilisez actuellement en mettant à jour la liste des sous-traitants ultérieurs sur https://www.acira.ai/dpa au moins quatorze (14) jours avant que le nouveau sous-traitant ultérieur ne commence à traiter des données à caractère personnel. Lorsque nous introduisons de nouvelles fonctionnalités ou de nouveaux services impliquant des sous-traitants ultérieurs supplémentaires, ces sous-traitants ultérieurs seront divulgués au moment où la fonctionnalité ou le service devient disponible ; votre utilisation de la nouvelle fonctionnalité ou du nouveau service constitue une acceptation de ses sous-traitants ultérieurs divulgués. Il vous appartient de consulter périodiquement la liste des sous-traitants ultérieurs pour prendre connaissance des modifications. Si vous avez une objection raisonnable à ce qu'un nouveau sous-traitant ultérieur traite des données pour les Services existants, vous pouvez nous en informer par écrit dans les quatorze (14) jours suivant la publication de la modification. Nous travaillerons avec vous de bonne foi pour répondre à vos préoccupations. Si nous ne pouvons pas résoudre l'objection à votre satisfaction raisonnable, vous pouvez résilier l'Accord en envoyant un préavis écrit.

6.4 Obligations des sous-traitants ultérieurs

Nous conclurons des accords écrits avec chaque sous-traitant ultérieur imposant des obligations de protection des données au moins aussi protectrices que celles énoncées dans le présent DPA. Nous demeurons responsables des actes et omissions de nos sous-traitants ultérieurs dans la même mesure que si nous fournissions les services directement.

7. TRANSFERTS INTERNATIONAUX DE DONNÉES

7.1 Mécanismes de transfert

Les Services sont hébergés principalement aux États-Unis. Les données à caractère personnel traitées via les Services peuvent être transférées et traitées aux États-Unis et dans d'autres pays où nos sous-traitants ultérieurs opèrent. Les fournisseurs d'inférence IA (Fireworks AI et xAI) traitent les données aux États-Unis. BrightData peut traiter les données en Israël et dans d'autres endroits dans le monde. Cloudflare traite les données dans des emplacements périphériques à travers le monde.

Résidence des données dans l'UE : Pour les opérateurs de sites Web identifiés comme résidents de l'UE, nous appliquons les mesures de résidence des données suivantes afin de minimiser les transferts de données personnelles des visiteurs en dehors de l'Union européenne :

• Stockage : Les données des visiteurs dans le stockage périphérique persistant — y compris les soumissions de formulaires, les conversations de chatbot, les données de session et les données des tables utilisateurs — sont limitées à l'Union européenne. Ces données sont stockées exclusivement dans des centres de données de l'UE.
• Traitement automatisé destiné aux visiteurs : Les opérations déclenchées automatiquement par l'activité des visiteurs — y compris les notifications de soumission de contenu et la livraison d'e-mails transactionnels — sont traitées au sein de l'Union européenne et ne transitent pas par l'infrastructure américaine.
• Accès à la gestion de la plateforme : Lorsque vous accédez aux données des visiteurs de votre site Web via le tableau de bord de la plateforme ou l'interface conversationnelle (par exemple, consulter les soumissions de formulaires ou gérer les enregistrements utilisateurs), ces données peuvent être traitées via notre infrastructure basée aux États-Unis pour répondre à votre demande. Ces transferts sont à la demande, initiés par vous (le Responsable du traitement), et protégés par les mécanismes de transfert et les mesures supplémentaires décrits ci-dessous.
• Autre traitement aux États-Unis : Les données analytiques et les données traitées par notre infrastructure cloud aux États-Unis pour la modération de contenu et l'inférence IA peuvent toujours être transférées aux États-Unis conformément aux mécanismes de transfert ci-dessous.

Pour les transferts de données à caractère personnel depuis l'EEE, le RU ou la Suisse vers des pays ne bénéficiant pas d'une reconnaissance d'un niveau adéquat de protection des données, nous nous appuyons sur :

1. Clauses Contractuelles Types (CCT) : Nous intégrons les Clauses Contractuelles Types de la Commission européenne dans le présent DPA par référence : Module Un (Responsable du traitement à responsable du traitement) pour les données analytiques où nous agissons en tant que co-responsables du traitement (voir section 2.3), et Module Deux (Responsable du traitement à sous-traitant) pour toutes les autres données à caractère personnel traitées en votre nom. Les CCT sont disponibles sur https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
2. Avenant de transfert international de données du Royaume-Uni : Pour les transferts depuis le RU, l'Avenant britannique aux CCT de l'UE s'applique.
3. Mécanismes de transfert de données suisses : Pour les transferts depuis la Suisse, les CCT s'appliquent avec les modifications requises par la LPD suisse.

7.2 Mesures supplémentaires

Nous mettons en œuvre les mesures supplémentaires suivantes pour protéger les données à caractère personnel transférées :

• Chiffrement des données en transit (TLS/SSL) et au repos
• Contrôles d'accès et mécanismes d'authentification
• Évaluations de sécurité régulières
• Pratiques de minimisation des données (par ex., hachages de visiteurs à rotation quotidienne au lieu du stockage d'adresses IP brutes)
• Résidence des données juridictionnelle pour les opérateurs de sites Web résidents de l'UE (stockage persistant et traitement automatisé destiné aux visiteurs restreints à l'UE)
• Infrastructure de calcul et d'e-mail basée dans l'UE pour les opérations automatisées destinées aux visiteurs (notifications de soumission de contenu et livraison d'e-mails transactionnels traités dans l'Union européenne pour les opérateurs de sites Web résidents de l'UE)

7.3 Évaluation de l'impact du transfert

Ces mesures supplémentaires sont éclairées par notre évaluation des lois et pratiques des pays de destination, en tenant compte de la nature des données transférées, du mécanisme de transfert utilisé, et des garanties techniques et organisationnelles en place. Nous avons évalué que les mesures supplémentaires décrites ci-dessus, combinées aux engagements des CCT, offrent un niveau adéquat de protection pour les données à caractère personnel transférées. Notre Évaluation de l'Impact du Transfert est disponible sur https://www.acira.ai/tia.

7.4 Transferts de données canadiennes

Pour les transferts de données à caractère personnel depuis le Canada, nous nous appuyons sur les garanties suivantes pour assurer que les données à caractère personnel transférées hors du Canada bénéficient d'un niveau de protection comparable tel que requis par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et la législation provinciale applicable en matière de protection de la vie privée (y compris la PIPA de l'Alberta, la PIPA de la Colombie-Britannique et la Loi québécoise sur la protection des renseignements personnels dans le secteur privé) :

1. Protections contractuelles : Accords de traitement des données écrits avec chaque sous-traitant ultérieur imposant des obligations de protection des données à caractère personnel à un niveau conforme à la loi canadienne sur la vie privée, incluant des exigences en matière de garanties de sécurité appropriées, de limitations d'utilisation, de notification de violation et d'accès aux données des personnes concernées.
2. Garanties techniques : Les mêmes mesures de chiffrement, de pseudonymisation, de contrôle d'accès et de minimisation des données décrites à la section 7.2 s'appliquent aux transferts de données canadiennes.
3. Garanties organisationnelles : Diligence raisonnable des sous-traitants ultérieurs, obligations de confidentialité pour le personnel et procédures documentées de réponse aux incidents telles que décrites dans le présent DPA.

Nous surveillons les développements de la loi canadienne sur la vie privée, y compris la Loi sur la protection de la vie privée des consommateurs (LPVC) proposée, et mettrons à jour nos mécanismes de transfert selon les besoins.

8. DROITS DES PERSONNES CONCERNÉES

8.1 Assistance aux demandes

Nous vous assisterons pour répondre aux demandes des personnes concernées exerçant leurs droits en vertu de la Loi applicable en matière de protection des données, notamment les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition.

8.2 Notification

Si nous recevons directement d'une personne concernée une demande relative aux données à caractère personnel traitées en votre nom, nous vous en informerons promptement et ne répondrons pas à la demande sans vos instructions, sauf si la loi applicable l'exige.

8.3 Outils de la plateforme

Nous fournissons des outils au sein des Services pour vous aider à répondre aux demandes des personnes concernées, notamment :

• L'accès aux données stockées dans les bases de données de votre site web et leur gestion
• La suppression d'enregistrements individuels des bases de données de votre site web
• Sur demande, nous pouvons fournir des exports de données au format ZIP pour faciliter le respect des obligations de portabilité des données

9. SÉCURITÉ DES DONNÉES

9.1 Mesures de sécurité

Nous mettons en œuvre et maintenons des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre un traitement non autorisé ou illicite ainsi que contre la perte, la destruction ou les dommages accidentels. Ces mesures comprennent :

• Chiffrement : Données chiffrées en transit via TLS/SSL et au repos à l'aide d'un chiffrement standard du secteur
• Contrôle d'accès : Contrôles d'accès basés sur les rôles, authentification multifacteur pour l'administration de la plateforme, politiques d'accès à moindre privilège
• Sécurité de l'infrastructure : Infrastructure cloud gérée avec correction automatique de sécurité, protection DDoS et Pare-feu d'application Web (WAF)
• Isolation des données : Isolation des données par site web via des instances de stockage dédiées
• Surveillance : Surveillance automatisée de la sécurité, détection des intrusions et journalisation structurée
• Sécurité des identifiants : Toutes les clés API et les secrets stockés dans des services de gestion des secrets dédiés ; mots de passe des utilisateurs hachés à l'aide d'algorithmes cryptographiques robustes avec des sels par utilisateur
• Protection anti-robots : Systèmes de défi de preuve de travail pour prévenir les abus automatisés

9.2 Confidentialité

Nous veillons à ce que tout le personnel autorisé à traiter des données à caractère personnel soit soumis à des obligations de confidentialité.

10. NOTIFICATION DE VIOLATION DE DONNÉES

10.1 Notification au responsable du traitement

Nous vous informerons sans délai injustifié après avoir confirmé une violation de données à caractère personnel affectant des données à caractère personnel traitées en votre nom. La notification sera envoyée aux coordonnées associées à votre compte.

10.2 Contenu de la notification

Notre notification de violation comprendra, dans la mesure du possible :

1. Une description de la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
2. Le nom et les coordonnées de notre responsable de la protection des données ;
3. Une description des conséquences probables de la violation ;
4. Une description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets.

10.3 Vos obligations

Vous êtes responsable de la notification à l'autorité de contrôle compétente et aux personnes concernées affectées d'une violation de données à caractère personnel conformément aux exigences de la Loi applicable en matière de protection des données. Nous coopérerons avec vous et fournirons une assistance raisonnable pour vous aider à respecter vos obligations en matière de notification de violation.

11. AUDITS ET VÉRIFICATION DE CONFORMITÉ

11.1 Documentation de conformité

Pour démontrer notre conformité au présent DPA, nous mettrons à votre disposition, sur demande écrite raisonnable (jusqu'à une fois par an), les éléments suivants :

1. Les rapports d'audit tiers pertinents, certifications ou résumés d'évaluations de sécurité ;
2. Un résumé de nos mesures de sécurité techniques et organisationnelles actuelles ;
3. Des informations sur nos activités de traitement, sous-traitants et pratiques de protection des données.

Lorsque nous nous appuyons sur des fournisseurs d'infrastructure tiers (tels qu'AWS et Cloudflare), leurs certifications de sécurité et leur documentation de conformité sont disponibles via leurs programmes respectifs de confiance et de conformité.

11.2 Demandes complémentaires

Si la documentation fournie en vertu de la section 11.1 ne répond pas raisonnablement à vos préoccupations en matière de conformité, vous pouvez soumettre des questions écrites spécifiques concernant nos pratiques de protection des données, auxquelles nous répondrons dans un délai raisonnable.

12. CONSERVATION ET SUPPRESSION DES DONNÉES

12.1 Pendant l'Accord

Nous conserverons les données à caractère personnel traitées en votre nom pendant la durée de l'Accord et conformément à vos instructions via les Services. Les périodes de conservation spécifiques pour les données des visiteurs comprennent :

• Conversations de chatbot sur votre site web : Conservées pendant trente (30) jours à compter de la dernière interaction dans chaque conversation. Les conversations sont stockées dans les sessions des visiteurs sur l'infrastructure périphérique du site web et sont automatiquement supprimées à l'expiration de la session en raison d'inactivité.
• Soumissions de formulaires et contenu généré par les utilisateurs sur votre site web : Conservés pendant la durée du site web associé, sauf si vous les supprimez plus tôt via les outils de la plateforme.
• Données de session pour les visiteurs de votre site web : Automatiquement supprimées après 30 jours d'inactivité.
• Contenu des visiteurs supprimé (soumissions de formulaires, commentaires et autres contenus générés par les utilisateurs sur votre site web) : Lorsque vous supprimez le contenu des visiteurs via les outils de la plateforme, il passe à un état de suppression temporaire et est conservé pendant une durée maximale de trente (30) jours pour faciliter la récupération. Après cette période, le contenu temporairement supprimé est définitivement effacé. Vous pouvez supprimer définitivement le contenu immédiatement en le purgeant de la file d'attente de récupération.
• Enregistrements de désinscription par e-mail sur votre site web : Conservés pendant la durée du site web associé, sauf si le destinataire se réinscrit. Les enregistrements de désinscription sont supprimés lorsque le site web est détruit.
• Données analytiques : Conservées pendant la durée du site web associé (sous réserve des limites de conservation basées sur le plan ; les données analytiques du plan gratuit sont conservées pendant quatre-vingt-dix (90) jours).

12.2 À la résiliation

À la résiliation de l'Accord, ou à votre demande, nous supprimerons les données à caractère personnel traitées en votre nom conformément aux pratiques de conservation des données décrites dans l'Accord (y compris la période de grâce de sept (7) jours pour les suppressions de comptes et de sites web). Après la période de grâce, la suppression est permanente et irréversible.

12.3 Exceptions

Nous pouvons conserver des données à caractère personnel dans la mesure requise par la loi applicable, ou lorsque les données ont été anonymisées et ne peuvent plus être liées à une personne concernée.

13. DURÉE ET RÉSILIATION

Le présent DPA prend effet à la date à laquelle vous acceptez l'Accord et reste en vigueur aussi longtemps que nous traitons des données à caractère personnel en votre nom. Les obligations de confidentialité et de protection des données énoncées dans le présent DPA survivent à la résiliation de l'Accord.

14. LIMITATION DE RESPONSABILITÉ

La responsabilité de chaque partie dans le cadre du présent DPA est soumise aux limitations de responsabilité énoncées dans l'Accord.

15. CONTACTEZ-NOUS

Pour toute question relative au présent DPA ou pour exercer vos droits, contactez-nous à :

Acira AI LLC
Attn: Data Protection
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

Téléphone : 888-389-1189
E-mail : legal@acira.ai