Ce document est un brouillon généré à partir de modèles standards SaaS B2B français. Il doit être relu et adapté par un avocat avant publication, en particulier pour les spécificités Vokelia (enregistrement vocal des appels, sous-traitance Vapi/OpenAI, transferts de données hors UE, secret professionnel pour les utilisateurs santé).
1. Qui est responsable du traitement ?
[À COMPLÉTER — raison sociale Vokelia], ci-après « Vokelia », établi à [adresse], est responsable de traitement des données collectées via le site vokelia.com et lors de l'utilisation du Service par ses Clients.
Lorsque le Client (un kinésithérapeute, un restaurateur, un garagiste, etc.) utilise Vokelia pour répondre aux appels de ses propres clients (les Appelants), le Client est responsable de traitement des données des Appelants, et Vokelia agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
2. Quelles données collectons-nous ?
2.1 Données du Client (l'utilisateur de Vokelia)
- Identité et coordonnées : nom, prénom, email, téléphone, raison sociale
- Données de connexion : adresse IP, date/heure, type d'appareil, navigateur
- Données de configuration : prestations, horaires, règles métier, calendrier
- Données de facturation : montants, historique de paiement
2.2 Données des Appelants (clients du Client)
- Numéro de téléphone
- Nom et prénom (si fournis pendant l'appel)
- Email (si fourni pendant l'appel ou pour confirmation par email)
- Motif d'appel, prestations demandées, créneaux choisis
- Allergies ou contraintes médicales (uniquement si la spécificité métier le nécessite, ex : restaurant allergie alimentaire)
- Enregistrement audio de l'appel et sa transcription textuelle
- Métadonnées de l'appel : durée, date, intention détectée par l'IA
3. Pourquoi collectons-nous ces données ?
Vokelia traite les données personnelles aux finalités suivantes :
- Fourniture du Service : permettre à Léa de répondre aux appels, qualifier les demandes, planifier les rendez-vous, envoyer les confirmations par SMS
- Gestion de la relation Client : facturation, support technique, communication contractuelle
- Amélioration du Service : analyse anonymisée des appels pour améliorer la qualité de Léa (sans réutilisation des données identifiantes)
- Sécurité : prévention de la fraude, détection des anomalies, journalisation des accès
- Obligations légales : conservation des factures (10 ans), réponse aux réquisitions judiciaires
4. Sur quelle base légale traitons-nous vos données ?
| Finalité | Base légale (article 6 RGPD) |
|---|---|
| Fourniture du Service au Client | Exécution d'un contrat (b) |
| Traitement des appels des Appelants | Intérêt légitime du Client à gérer son activité (f) — l'Appelant est informé qu'il parle à un agent IA |
| Facturation, comptabilité | Obligation légale (c) |
| Marketing par email (newsletter) | Consentement (a) — désinscription possible à tout moment |
| Cookies analytiques (Vercel Web Analytics) | Sans cookie identifiant — pas de consentement requis |
5. À qui sont transmises vos données ?
Vokelia s'appuie sur les sous-traitants techniques suivants, sélectionnés pour leur conformité RGPD :
| Sous-traitant | Rôle | Localisation | Garanties RGPD |
|---|---|---|---|
| Vercel | Hébergement du site et du dashboard | États-Unis (région UE pour les fonctions edge) | DPF + clauses contractuelles types (CCT) |
| Supabase | Base de données + authentification | Irlande (région eu-west-1) | UE — RGPD natif |
| Vapi | Plateforme vocale (capture audio, transcription) | États-Unis | DPF + DPA |
| OpenAI / Anthropic / Deepgram | Modèles d'IA utilisés via Vapi (NLU, TTS, STT) | États-Unis | DPF + DPA via Vapi (pas de réutilisation pour entraînement) |
| Resend | Email transactionnel (magic links, confirmations) | États-Unis (région européenne) | DPF + DPA |
| OVHcloud | SMS transactionnel | France | UE — RGPD natif |
| Google Search Console / Bing Webmaster | Indexation moteurs de recherche (données agrégées) | États-Unis | DPF |
Vokelia ne vend ni ne loue les données personnelles à des tiers à des fins commerciales.
6. Transferts hors UE
Certains sous-traitants (Vercel, Vapi, Resend, OpenAI/Anthropic) sont établis aux États-Unis. Les transferts de données vers ces pays sont encadrés par :
- L'EU-US Data Privacy Framework (DPF) — décision d'adéquation de la Commission européenne du 10 juillet 2023
- Des clauses contractuelles types (CCT) approuvées par la Commission européenne
- Pour Vapi et les modèles IA tiers : un Data Processing Agreement (DPA) interdisant la réutilisation des données pour entraîner les modèles
7. Combien de temps conservons-nous vos données ?
| Type de données | Durée de conservation |
|---|---|
| Compte Client actif | Pendant toute la durée du contrat |
| Données après résiliation | 30 jours (suppression complète, sauf demande d'export du Client) |
| Enregistrements audio des appels | 90 jours par défaut, configurable par le Client (7 à 365 jours max) |
| Transcriptions textuelles des appels | Identique aux enregistrements audio |
| Rendez-vous et données client (Appelant) | 3 ans après le dernier rendez-vous, sauf demande d'effacement |
| Factures et obligations comptables | 10 ans (article L123-22 du Code de commerce) |
| Logs de connexion et de sécurité | 1 an |
8. Quels sont vos droits ?
Conformément au RGPD, toute personne dispose des droits suivants :
- Droit d'accès : obtenir une copie des données personnelles vous concernant
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales de conservation
- Droit à la limitation du traitement : suspendre temporairement le traitement
- Droit à la portabilité : recevoir vos données dans un format structuré (CSV, JSON)
- Droit d'opposition : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière
- Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement
- Droit de définir des directives post-mortem sur le sort de vos données après votre décès
- Droit d'introduire une réclamation auprès de la CNIL (cnil.fr)
9. Comment exercer vos droits ?
Toute demande peut être adressée par email à contact@vokelia.com en précisant :
- L'objet de votre demande (accès, rectification, effacement, etc.)
- Vos coordonnées (numéro de téléphone qui a été utilisé pour appeler, ou email du compte)
- Une copie d'une pièce d'identité en cas de doute sur votre identité
Vokelia répondra dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois en cas de demande complexe (article 12.3 RGPD).
Si la demande concerne des données collectées par un Client de Vokelia (par exemple, vous êtes un patient d'un cabinet de kinésithérapie utilisant Vokelia), Vokelia transmettra la demande au Client concerné, qui est le responsable de traitement de vos données.
10. Information aux Appelants
Lorsqu'un Appelant compose le numéro d'un Client utilisant Vokelia, l'agent vocal Léa s'identifie systématiquement comme une assistante virtuelle. L'Appelant peut à tout moment :
- Demander à parler à un humain (Léa transfère le message au Client)
- Refuser l'enregistrement de l'appel (l'appel est alors clos sans enregistrement)
- Demander la suppression de ses données auprès du Client ou de Vokelia
11. Sécurité des données
Vokelia met en œuvre des mesures techniques et organisationnelles adaptées :
- Chiffrement TLS 1.2+ pour toutes les communications
- Chiffrement des données au repos (AES-256) côté Supabase
- Authentification par lien magique (sans mot de passe stocké en clair)
- Cloisonnement multi-tenant strict (Row Level Security PostgreSQL)
- Journalisation des accès aux données sensibles
- Sauvegardes quotidiennes chiffrées avec rétention 7 jours
- Revues d'accès trimestrielles
12. Cookies et traceurs
Le site vokelia.com utilise Vercel Web Analytics et Vercel Speed Insights, qui collectent des données sans cookie identifiant (anonymes par conception, conformes RGPD sans consentement requis).
Le dashboard Vokelia (kine.vokelia.app et autres) utilise un cookie de session strictement nécessaire à l'authentification (Supabase Auth). Aucun cookie publicitaire ou de tracking tiers n'est déposé.
13. Données sensibles (santé)
Pour les Clients exerçant une profession de santé (kinésithérapeutes, podologues, etc.), Vokelia peut être amené à traiter des données concernant la santé au sens de l'article 9 RGPD (motif d'appel évoquant une douleur, une pathologie, etc.).
Le traitement de ces données est fondé sur le motif de l'article 9.2.h RGPD (médecine préventive, diagnostic médical, soins, gestion des systèmes de santé) lorsque Vokelia est utilisé pour la prise de rendez-vous médicaux. La certification HDS (Hébergeur de Données de Santé) est en cours de mise en conformité ; en attendant, Vokelia recommande à ses Clients santé de ne pas faire collecter par Léa de données médicales détaillées (le simple « prise de RDV pour le dos » étant un usage admis, mais pas de relevé clinique complet).
14. Modifications de la politique
Vokelia se réserve le droit de mettre à jour la présente politique à tout moment pour refléter des évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée par email aux Clients avec un préavis de 30 jours.
15. Contact
Pour toute question relative à la protection de vos données personnelles, contactez :
- Email : contact@vokelia.com
- Courrier : 13 rue de la ferme
- DPO (Délégué à la Protection des Données) : Non désigné, contact via contact@vokelia.com
Vous pouvez également introduire une réclamation auprès de la CNIL : cnil.fr/fr/plaintes.
Voir aussi : Mentions légales · Conditions générales de vente