Data Processing Agreement (DPA)
Version 1.1 · Dernière mise à jour : 19 mai 2026 · Article 28 RGPD
Template initial. Faire valider par un avocat avant signature avec un Client (à exiger pour les Clients pros traitant des données personnelles via MyAutonomous).
Préambule
Le présent accord de traitement des données complète les CGV et formalise le rôle de Myziggi SASU (éditeur du service MyAutonomous, SIRET 913 721 239 00022, siège : 34 route du lac, 65350 Laslades, France) comme sous-traitant au sens de l'article 28 du RGPD, pour les traitements effectués pour le compte du Client (responsable du traitement) dans le cadre du service.
1. Nature et finalités du traitement
- Stockage et traitement des données prospects (emails B2B, noms d'entreprise, SIREN, secteur).
- Génération automatique de contenu (mails de prospection, réponses, rapports B2B) via IA Mistral.
- Envoi d'emails via le compte Brevo du Client.
- Stockage des journaux d'appels LLM (prompts complets + réponses, table
llm_traces) à des fins d'observabilité et amélioration continue. Consultable par le Client super-admin via/admin/llm-runs. TTL 90 jours. - Lecture du Google Calendar du Client (Service Account dédié, optionnel) pour la fonctionnalité Scheduler pré-RDV : déclenche automatiquement un rapport B2B avant chaque rendez-vous prospect détecté.
- Reporting d'activité (statistiques, coûts).
2. Données traitées
Données nominatives B2B exclusivement : nom et prénom du contact, fonction, email professionnel, entreprise, téléphone éventuel, contenu des conversations email envoyées et reçues.
3. Personnes concernées
Personnes physiques contactées par le Client dans le cadre de sa prospection commerciale B2B (dirigeants, commerciaux, décideurs des entreprises ciblées).
4. Durée
Durée de l'abonnement du Client + 30 jours de conservation post-résiliation pour permettre un export ou une réactivation. Après ce délai, suppression définitive (les backups les contiendront encore selon la rotation 7j/4w/6m/2y).
5. Sous-traitants ultérieurs autorisés
Le Client autorise MyAutonomous à recourir aux sous-traitants suivants :
- Mistral AI (France, UE) — génération IA
- Brevo (France, UE) — envoi/réception email + gestion blocklist transactionnelle
- Pappers (France, UE, optionnel) — enrichissement données entreprise
- Brave Search (USA, optionnel) — recherche web pour mode autoresearch
- Stripe (Irlande, UE) — facturation
- Telegram (UK / AE, optionnel) — notifications
- Google (USA, optionnel) — intégration Calendar via Service Account
- Cloudflare (USA) — tunnel TLS + DDoS protection
Tout nouveau sous-traitant fait l'objet d'une notification préalable au Client avec droit d'opposition de 30 jours.
6. Mesures de sécurité
Voir politique de confidentialité section 7. En synthèse : HTTPS, scrypt password, AES-256-GCM credentials, hébergement FR, multi-tenant strict, backups chiffrés.
7. Notification de violation
En cas de violation de données impactant le Client, MyAutonomous notifie le Client sous 72h après en avoir pris connaissance, avec description des données concernées, mesures prises et conséquences probables.
8. Droits des personnes
MyAutonomous assiste le Client dans la réponse aux demandes des personnes concernées (accès, effacement, rectification, opposition). Export JSON complet disponible 24/7 dans /settings. Lien unsubscribe automatique dans tous les emails envoyés.
9. Audit
Le Client peut demander une fois par an la documentation des mesures de sécurité et un rapport d'audit interne. Audit physique non autorisé (hébergement privé) — fourniture de SOC2 si le Client est prêt à co-financer (montant à convenir, hors plan Agency).
Auto-audit disponible 24/7 par le Client super-admin via les pages :
/admin/llm-runs: tous les appels LLM avec prompts complets, réponses, coût./admin/reports: tous les rapports B2B générés, leur statut, qui les a déclenchés./agents: audit log filtrable de toutes les actions (humaines et agents)./admin/features: état des feature flags et leur historique de modification.
10. Fin du contrat
À la résiliation, le Client peut exporter ses données via /settings pendant 30 jours. Passé ce délai, toutes les données du Client sont supprimées (à l'exception des factures Stripe, conservées 10 ans pour obligation comptable).