Accord sur le Traitement des Données
conformément à l'Art. 28 du RGPD
Dernière mise à jour: Janvier 2026
Parties Contractantes
Le présent Accord sur le Traitement des Données (ATD) est conclu entre :
Responsable du traitement (Client) : Le client utilisant la plateforme QUALLEE et acceptant ainsi le présent ATD.
Sous-traitant : QUALLEE UG (haftungsbeschränkt) Kollwitzstr. 76 10435 Berlin Allemagne E-mail : info@quallee.de
§ 1 Objet et Durée du Traitement
1.1 Objet
Le présent accord couvre le traitement des données personnelles par QUALLEE dans le cadre de la fourniture de la plateforme QUALLEE, notamment :
- Réalisation d'entretiens qualitatifs assistés par IA
- Transcription d'enregistrements audio et vidéo
- Analyse et évaluation des données d'entretien par IA
- Stockage et gestion des données de recherche
- Mise à disposition de fonctions d'export et de reporting
1.2 Durée
Le traitement commence dès l'acceptation des Conditions Générales d'Utilisation et prend fin à la résiliation de la relation d'utilisation. La suppression des données s'effectue conformément au § 10 du présent accord.
§ 2 Nature et Finalité du Traitement
2.1 Nature du Traitement
Le traitement comprend : la collecte (par participation aux entretiens), le stockage (sur des serveurs en Allemagne), la transmission (aux sous-traitants IA pour analyse), l'évaluation et l'analyse (au moyen de technologies IA), la suppression (à l'expiration des délais de conservation).
2.2 Finalité
Le traitement sert exclusivement à fournir les services contractuellement convenus dans le domaine de la recherche qualitative assistée par IA.
§ 3 Types de Données Personnelles
Les catégories suivantes de données personnelles sont traitées :
Données des utilisateurs de la plateforme (Responsable du traitement) :
- Données de contact (nom, adresse e-mail, numéro de téléphone)
- Données d'accès (mots de passe cryptés)
- Données d'utilisation (journaux d'activité, données de projet)
Données des participants aux entretiens :
- Contenu des entretiens (transcriptions, enregistrements audio/vidéo)
- Données techniques (adresse IP, informations du navigateur)
- Données de consentement (horodatages, versions de consentement)
Note : Le traitement de catégories particulières de données personnelles (Art. 9 RGPD) n'est pas prévu. Si de telles données sont mentionnées lors des entretiens, le Responsable du traitement est responsable de la licéité du traitement.
§ 4 Catégories de Personnes Concernées
- Employés et mandataires du Responsable du traitement
- Participants aux entretiens (répondants, participants à l'étude)
- Autres personnes mentionnées dans les données de recherche
§ 5 Obligations du Sous-traitant
5.1 Instructions
Le traitement s'effectue exclusivement sur instructions documentées du Responsable du traitement. L'utilisation des fonctions de la plateforme constitue une instruction. QUALLEE informe immédiatement le Responsable du traitement si une instruction enfreint le droit de la protection des données.
5.2 Confidentialité
Toutes les personnes impliquées dans le traitement sont soumises à des obligations de confidentialité. Cela s'applique même après la fin de leurs activités.
5.3 Mesures Techniques et Organisationnelles
QUALLEE met en œuvre et maintient des mesures techniques et organisationnelles appropriées conformément à l'Art. 32 RGPD (voir Annexe 1).
5.4 Obligations d'Assistance
QUALLEE assiste le Responsable du traitement dans l'accomplissement de ses obligations, notamment concernant : la réponse aux demandes des personnes concernées, la notification des violations de données, la réalisation d'analyses d'impact sur la protection des données.
§ 6 Sous-traitants Ultérieurs
6.1 Autorisation
Le Responsable du traitement accorde par la présente une autorisation générale pour le recours à des sous-traitants ultérieurs. QUALLEE informera le Responsable du traitement des modifications au moins 14 jours avant leur entrée en vigueur par e-mail. Le Responsable du traitement peut s'y opposer dans un délai de 14 jours.
6.2 Sous-traitants Ultérieurs Actuels
| Fournisseur | Fonction | Localisation | Base Juridique |
|---|---|---|---|
| Anthropic, PBC | Entretiens IA (Claude API) | États-Unis | DPF, CCT, ATD |
| OpenAI, Inc. | Transcription, Analyse | États-Unis / Irlande | DPF, CCT, ATD |
| Hetzner Online GmbH | Hébergement, Stockage | Allemagne | ATD |
| Stripe, Inc. | Traitement des paiements | États-Unis / Irlande | DPF, CCT, ATD |
6.3 Pas d'Utilisation pour l'Entraînement de l'IA
Important : Tous les sous-traitants IA se sont engagés contractuellement à ne pas utiliser les données API pour l'entraînement de leurs modèles. Ceci est explicitement exclu dans les ATD respectifs.
§ 7 Transferts vers des Pays Tiers
Lorsque des données personnelles sont transférées vers les États-Unis, cela s'effectue sur la base de :
- Cadre de Protection des Données UE-États-Unis (DPF) conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023
- Clauses Contractuelles Types (CCT) conformément à la Décision d'exécution (UE) 2021/914
- Accords de Traitement des Données avec les fournisseurs respectifs
Les données brutes (transcriptions, audio) sont stockées exclusivement sur des serveurs en Allemagne. Seul le contenu textuel nécessaire au traitement respectif est transmis aux API IA.
§ 8 Droits des Personnes Concernées
QUALLEE assiste le Responsable du traitement dans l'accomplissement des droits des personnes concernées (Art. 12-22 RGPD). La plateforme fournit des fonctions en libre-service à cet effet :
- Accès : Export des données en format lisible par machine (JSON)
- Rectification : Via les paramètres du compte
- Effacement : Suppression du compte avec anonymisation
- Retrait : Gestion du consentement dans les paramètres de confidentialité
§ 9 Notification des Violations de Données
QUALLEE signalera les violations de données au Responsable du traitement sans délai injustifié, au plus tard dans les 24 heures suivant leur découverte. Le rapport comprendra : la nature de la violation et les catégories de données concernées, le nombre approximatif de personnes/enregistrements concernés, les conséquences probables, les mesures prises et les mesures correctives proposées.
§ 10 Suppression et Restitution
10.1 Délais de Conservation
| Type de Données | Délai de Conservation |
|---|---|
| Données de projet (actives) | Pendant la durée du contrat |
| Sessions archivées | 12 mois après archivage |
| Tickets de support | 24 mois |
| Registres de consentement | 36 mois après retrait/suppression |
10.2 Après Résiliation du Contrat
À la résiliation de la relation d'utilisation : période de transition de 30 jours pour l'export des données, suppression ultérieure de toutes les données personnelles, exception : obligations légales de conservation.
§ 11 Droits d'Audit
QUALLEE permet au Responsable du traitement de vérifier la conformité au présent accord par : la fourniture de documentation (MTO, certificats), la réponse aux demandes écrites, sur accord : audits sur site (aux frais du Responsable du traitement).
§ 12 Dispositions Finales
12.1 Ordre de Priorité
En cas de conflit entre le présent accord et les Conditions Générales d'Utilisation, le présent accord prévaut.
12.2 Modifications
Les modifications du présent accord seront communiquées avec un préavis de 30 jours par e-mail. L'utilisation continue de la plateforme après expiration de ce délai vaut acceptation.
12.3 Droit Applicable
Le droit de la République fédérale d'Allemagne s'applique. Le tribunal compétent est celui de Berlin.
12.4 Formation du Contrat
Le présent ATD entre en vigueur dès l'acceptation des Conditions Générales d'Utilisation de QUALLEE. Aucune signature séparée n'est requise.
Annexe 1 : Mesures Techniques et Organisationnelles
1. Confidentialité (Art. 32(1)(b) RGPD)
Contrôle d'Accès Physique
- Hébergement dans des centres de données certifiés ISO 27001 (Hetzner, Allemagne)
- Mesures de sécurité physique par le fournisseur d'hébergement
Contrôle d'Accès au Système
- Politiques de mots de passe (longueur minimale, complexité)
- Stockage crypté des mots de passe (bcrypt)
- Gestion des sessions avec délai d'expiration automatique
Contrôle d'Accès aux Données
- Concept d'autorisation basé sur les rôles
- Isolation des données par projet
- Journalisation des accès
Contrôle de Séparation
- Séparation logique des locataires au niveau de la base de données
- Stockage séparé des données de production et de test
2. Intégrité (Art. 32(1)(b) RGPD)
Contrôle de Transfert
- Cryptage TLS 1.3 pour toutes les transmissions de données
- Cryptage des données au repos (AES-256)
Contrôle de Saisie
- Journaux d'audit complets pour les modifications de données
- Documentation de consentement infalsifiable
3. Disponibilité et Résilience (Art. 32(1)(b), (c) RGPD)
- Sauvegardes automatisées quotidiennes
- Stockage redondant (RAID)
- Surveillance et alertes
- Disponibilité cible : 99,5% annuellement
4. Procédures de Révision Régulière (Art. 32(1)(d) RGPD)
- Révision régulière des mesures de sécurité
- Routines de suppression automatisées selon les délais de conservation
- Procédure documentée de réponse aux incidents
Pour toute question concernant cet ATD, veuillez contacter : info@quallee.de