Légal

Accord de traitement des données

Dernière mise à jour : 20 mai 2026 CallMama Limited · Hong Kong · CR n° 77766807

Cet accord de traitement des données (« DPA ») fait partie des conditions de service entre CallMama Limited (« CallMama », « Processeur ») et le client professionnel qui l'accepte (« Client », « Contrôleur »). Cela s'applique lorsque CallMama traite des données personnelles pour le compte du client — en pratique, lorsqu'un client professionnel utilise le portail Web CallMama pour acheminer, stocker ou enregistrer les communications avec ses propres appelants et contacts.

Pour une utilisation par les consommateurs ordinaires du CallMama, le CallMama est le contrôleur et ce DPA ne s'applique pas — voir le politique de confidentialité. Ce DPA s'applique uniquement aux clients professionnels traitant les données de leurs propres utilisateurs finaux via CallMama.

1. Rôles

Pour les données personnelles que le Client traite via le Service concernant ses propres appelants et contacts (« Données personnelles du Client »), le Client est le responsable du traitement et CallMama est le sous-traitant. CallMama traite les données personnelles du client uniquement selon les instructions documentées du client, qui incluent les conditions d'utilisation, le présent DPA et l'utilisation par le client des fonctionnalités du service.

2. Objet et détails du traitement

ArticleDétail
SujetFourniture du service d'appel, de messagerie, de numéro, de routage et d'enregistrement (portail Web) CallMama
DuréeLa durée des Conditions de Service
Nature et finalitéFournir les Services au Client et à ses utilisateurs finaux, y compris l'hébergement, la transmission, le routage, le stockage et (lorsque le Client le permet) l'enregistrement des communications du Client ; et pour maintenir la sécurité et l'intégrité du Service
Types de données personnellesNuméros de contact, noms, métadonnées et contenu des appels et des messages, messagerie vocale, enregistrements d'appels et autres données que le client choisit de traiter.
Catégories de personnes concernéesLes appelants, les contacts, les clients et le personnel du Client

Périodes de conservation : Les enregistrements détaillés des appels sont conservés pendant les périodes requises par les lois applicables en matière de télécommunications et fiscales (généralement de 90 jours à 12 mois selon la juridiction). Toutes les autres données personnelles du client sont conservées jusqu'à ce que le client demande la suppression, que le DPA prenne fin ou que la période de conservation applicable expire, selon la première éventualité.

3. Obligations de CallMama

  • Traitez les données personnelles du client uniquement selon les instructions documentées du client, sauf disposition contraire de la loi (auquel cas CallMama en informera le client, sauf si la loi l'interdit).
  • Assurez-vous que les personnes autorisées à traiter les données sont liées par la confidentialité.
  • Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (Annexe ci-dessous).
  • Assister le client, en tenant compte de la nature du traitement, avec les demandes des personnes concernées, la sécurité, la notification des violations et les évaluations d'impact sur la protection des données.
  • Dans les 30 jours suivant la résiliation des Conditions de service ou une demande écrite, supprimez ou restituez toutes les données personnelles du client et confirmez la suppression par écrit, sauf dans la mesure où la loi applicable exige une conservation continue, auquel cas CallMama informera le client de la base juridique et de la date de suppression prévue.
  • Rendre disponible les informations nécessaires pour démontrer la conformité au présent DPA et permettre les audits et les inspections par le Client ou son auditeur agréé, sous réserve de : (i) un préavis écrit de 60 jours ouvrables ; (ii) se comporter pendant les heures de bureau sans interruption injustifiée ; (iii) auditeur tenu à la confidentialité ; (iv) Le client supporte les coûts à moins que l'audit ne révèle une violation substantielle. CallMama peut fournir un rapport ISO 27001 ou SOC 2 au lieu d'un audit direct.
  • Registres de traitement : CallMama conserve des enregistrements de toutes les catégories de traitement effectués pour le compte du client en vertu de l'article 30, paragraphe 2 du RGPD, disponibles sur demande écrite.
  • Aide DPIA : Lorsque l'enregistrement des appels ou tout autre traitement nécessite une DPIA en vertu de l'article 35 du RGPD, CallMama fournira une assistance raisonnable, y compris des informations sur les mesures de sécurité, les sous-traitants secondaires et les activités de traitement.

4. Obligations du client

  • Le Client est responsable de la base licite du traitement et de la licéité de ses instructions.
  • Si le Client utilise la fonction d'enregistrement des appels du portail Web, le Client doit donner à ses appelants les notifications et obtenir les consentements requis par la loi - voir le Avis d'enregistrement d'appel.
  • Le Client ne doit pas envoyer de données de catégorie spéciale CallMama ou de données sensibles au-delà de ce que le Service est conçu pour gérer.

5. Sous-traitants

Le Client accorde une autorisation écrite générale à CallMama pour engager des sous-traitants ultérieurs, y compris ceux répertoriés dans le Liste des sous-traitants publié sur CallMama.com. CallMama impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles imposées à CallMama par le présent DPA, y compris des obligations de confidentialité. CallMama reste responsable des performances de ses sous-traitants. CallMama informera le Client au moins 14 jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur. Le Client peut s'opposer à un nouveau sous-traitant ou à un sous-traitant de remplacement pour des motifs raisonnables et documentés en matière de protection des données en le notifiant à CallMama par écrit dans les 14 jours suivant la réception de la notification. Si les parties ne parviennent pas à résoudre l'objection, le Client peut mettre fin à la partie concernée du Service moyennant un préavis écrit. L'utilisation continue du Service après la période d'objection de 14 jours constitue l'acceptation du nouveau sous-traitant ultérieur.

6. Virements internationaux

Lorsque les données personnelles du client sont transférées de l'EEE ou du Royaume-Uni vers un pays sans décision d'adéquation, le transfert est régi par les SCC de l'UE (décision d'exécution de la Commission 2021/914), module 2 (du contrôleur au processeur) pour les transferts dans l'EEE, et par l'IDTA 2022 du Royaume-Uni pour les transferts au Royaume-Uni. Les deux sont incorporés par référence et complétés par les détails de la section 2. CallMama a réalisé des évaluations de l'impact des transferts pour tous les sous-traitants ultérieurs de pays tiers.

7. Violation de données personnelles

CallMama informera le Client sans retard injustifié et, si possible, au plus tard 24 heures après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles du Client. Ce délai est destiné à permettre au Client d'évaluer la violation et, le cas échéant, d'en informer l'autorité de contrôle compétente dans le délai de 72 heures requis par l'article 33 du RGPD et l'article 33 du RGPD britannique. La notification comprendra, dans la mesure où elle est connue à ce moment-là : (a) une description de la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ; (b) les conséquences probables de la violation ; et (c) les mesures prises ou proposées pour remédier à la violation. Lorsque les informations ne sont pas immédiatement disponibles, CallMama les fournira par étapes sans plus de retard injustifié.

8. Responsabilité et durée

Ce DPA complète et est soumis aux Conditions de Service. En cas de conflit entre le présent DPA et les Conditions d'utilisation sur toute question relative au traitement des données personnelles, le présent DPA prévaut. Ce DPA est régi par les lois de la région administrative spéciale de Hong Kong. Toutefois, pour les litiges découlant des CCS de l'UE, la loi et les tribunaux applicables sont ceux spécifiés dans les CCS applicables (article 17 et article 18 de la décision d'exécution 2021/914 de la Commission). Ce DPA prend effet lorsque le Client accepte les Conditions de Service (ou, pour les clients nécessitant un DPA contresigné, à la date de la dernière signature par les deux parties) et se poursuit aussi longtemps que CallMama traite les Données Personnelles du Client.

Annexe — Mesures de sécurité

CallMama met en œuvre les mesures techniques et organisationnelles suivantes, comme l'exige l'article 32 du RGPD et comme détaillé dans l'annexe II des CCT de l'UE :

A. Chiffrement et données en transit

  • Chiffrement en transit : toutes les données personnelles transmises entre le Service et les appareils des utilisateurs finaux sont cryptées à l'aide de TLS 1.2 ou supérieur. La transmission non cryptée de données personnelles est interdite.
  • Chiffrement au repos : les données personnelles sensibles (y compris les enregistrements d'appels et les messages vocaux) sont cryptées au repos à l'aide d'AES-256 ou équivalent. Tous les supports de sauvegarde sont cryptés.

B. Contrôles d'accès et authentification

  • Authentification multifacteur : requis pour tout le personnel accédant aux systèmes contenant des données personnelles des clients, y compris l’accès à distance.
  • Contrôle d'accès basé sur les rôles : l’accès aux Données Personnelles du Client est limité au personnel dont le rôle l’exige. Les droits d'accès sont examinés tous les trimestres et révoqués immédiatement en cas de résiliation ou de changement de rôle.
  • Comptes utilisateurs uniques : chaque membre du personnel possède un identifiant unique. Les comptes partagés sont interdits. Exigences de complexité des mots de passe appliquées.
  • Gestion des séances : les sessions inactives expirent automatiquement. Le nombre maximal de tentatives de connexion échouées déclenche le verrouillage du compte.

C. Surveillance, journalisation et réponse aux incidents

  • Surveillance de la sécurité : les systèmes sont surveillés en permanence pour détecter les événements de sécurité. Des systèmes de détection et de prévention des intrusions sont déployés.
  • Journalisation d'audit : tous les accès et modifications des données personnelles du client sont enregistrés. Les journaux sont conservés pendant au moins 12 mois et sont inviolables.
  • Réponse aux incidents : un plan documenté de réponse aux incidents est maintenu et testé au moins une fois par an. Les incidents sont classés, contenus et signalés conformément au présent DPA.

D. Sécurité physique et infrastructurelle

  • Sécurité du centre de données : Les données personnelles des clients sont hébergées dans des centres de données certifiés ISO 27001 (Hetzner) avec contrôles d'accès physiques, vidéosurveillance, contrôles environnementaux et alimentation électrique sans interruption.
  • Sauvegarde et restauration : des sauvegardes régulières sont effectuées et stockées en toute sécurité. Les procédures de reprise après sinistre sont documentées et testées. Les objectifs de temps de récupération sont définis et revus.

E. Contrôles du personnel et des fournisseurs

  • Confidentialité du personnel : tout le personnel et les sous-traitants ayant accès aux données personnelles du client sont liés par des obligations contractuelles de confidentialité. Des vérifications des antécédents sont effectuées lorsque la loi applicable le permet.
  • Formation sécurité : tout le personnel ayant accès aux données personnelles reçoit une formation de sensibilisation à la protection des données et à la sécurité lors de l'engagement et chaque année.
  • Due diligence du fournisseur : tous les sous-traitants sont évalués en termes de protection des données et de conformité en matière de sécurité avant leur engagement et sont surveillés de manière continue.

F. Développement et gestion du changement

  • Développement sécurisé : la sécurité est intégrée au cycle de vie du développement logiciel. Les révisions de code incluent une évaluation de sécurité. Des procédures de gestion des vulnérabilités et de gestion des correctifs sont en place.
  • Tests d'intrusion : des tests d’intrusion indépendants sont effectués au moins une fois par an. Les vulnérabilités critiques sont corrigées dans un délai de 30 jours.
  • Minimisation des données : les systèmes sont conçus pour minimiser les données personnelles traitées. La pseudonymisation est utilisée le cas échéant.

Comment exécuter ce DPA

Un client professionnel qui a besoin d'un DPA signé doit contacter légal@CallMama.com. L'acceptation des Conditions d'utilisation par un Client professionnel qui traite les données de ses propres utilisateurs finaux via le Service constitue également l'acceptation du présent DPA.

9. Dispositions supplémentaires pour des juridictions spécifiques

États-Unis — CCPA / CPRA

Lorsque les données personnelles du client incluent les informations personnelles des résidents de Californie, CallMama est un « fournisseur de services » en vertu du CCPA/CPRA, et non un « tiers ». CallMama ne vendra ni ne partagera les données personnelles du client, ne les conservera, n'utilisera ou ne les divulguera en dehors de la relation commerciale directe et certifie le respect des restrictions CCPA/CPRA. Les sous-traitants qui traitent les informations personnelles californiennes sont soumis à des restrictions équivalentes en matière de prestataires de services.

Canada — LPRPDE et loi québécoise 25

Lorsque les données personnelles du client incluent des informations personnelles sur des résidents canadiens :

  • LPRPDE : La Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que CallMama mette en œuvre des mesures de sécurité conformes au principe 7 (Garanties). Le Client reste responsable d’obtenir un consentement significatif et de répondre aux demandes d’accès et de rectification.
  • Loi québécoise 25 : Pour les résidents du Québec, la loi 25 (en vigueur en septembre 2023) impose une obligation de notification de toute violation dans un délai de 72 heures à la Commission d'accès à l'information (CAI). CallMama avisera le Client dans les 24 heures suivant la connaissance d'une violation affectant les données des résidents du Québec.

Cette page fait partie de la documentation de conformité du CallMama. Voir aussi notre politique de confidentialité, Conditions d'utilisation, et options de contact.

Ramassez là où vous
laissé tomber.

Un clic pour installer. Encore un à appeler. C'est vraiment aussi simple que cela.

Ajustements