Service Omybox édité par Vazygo Ltd. Liability Co. — Innovative IT Solutions & Consultancy, 175 SW 7th Street Suite 1517-1047, Miami, FL 33130, USA. Contact société : hello@omybox.ai — Tél. +1 (307) 735-9174.
Ce DPA s'applique automatiquement à tout client B2B utilisant Omybox dans le cadre d'un traitement de données personnelles soumis au RGPD. Il complète les conditions générales et la politique de confidentialité.
1. Définitions (Art. 4 RGPD)
- Responsable de traitement : le client (« vous »), entreprise utilisant Omybox
- Sous-traitant : Vazygo Ltd. Liability Co. (marque Omybox)
- Sous-traitants ultérieurs : voir liste section 5
2. Objet et nature du traitement
Omybox traite les données personnelles fournies par le client à des fins exclusives de fourniture du Service : indexation des contenus du site, génération de réponses IA, gestion des conversations entre les visiteurs et le chatbot.
3. Catégories de personnes concernées
- Représentants du client (admins du compte Omybox)
- Visiteurs du site web du client qui interagissent avec le chatbot
4. Catégories de données traitées
- Identifiants de compte (email, nom, mot de passe haché)
- URLs et contenus publics du site indexé
- Identifiants techniques (UUID de session, IP, user-agent)
- Contenu des conversations chatbot
- Adresses email de visiteurs si volontairement fournies dans le chat
5. Sous-traitants ultérieurs autorisés
| Catégorie | Rôle | Localisation | Garanties |
|---|---|---|---|
| Infrastructure IA | Génération de réponses + indexation sémantique | UE / USA | Standard Contractual Clauses (SCC) UE |
| Hébergement | Serveurs, base de données, sauvegardes chiffrées | UE | RGPD natif |
| Paiements | Traitement carte bancaire (PCI-DSS) | UE / USA | SCC UE + DPA partenaire |
| Emails transactionnels | Envoi des notifications | UE | RGPD natif |
| Monitoring d'erreurs | Détection des incidents techniques | UE / USA | SCC UE |
Liste nominative : la liste détaillée des prestataires (raison sociale, adresse, points de contact RGPD) est fournie sur demande à hello@omybox.ai dans le cadre de votre conformité.
Tout ajout de sous-traitant ultérieur sera notifié au client par email avec un préavis de 30 jours. Vous pouvez vous y opposer dans ce délai.
6. Obligations Omybox (Art. 28 RGPD)
- Traiter les données uniquement sur instruction documentée du client (le contrat / les CGU)
- Garantir la confidentialité par tout le personnel ayant accès
- Mettre en œuvre des mesures techniques et organisationnelles adaptées (chiffrement TLS, hash bcrypt, accès restreint, backups chiffrés)
- Aider le client à répondre aux demandes d'exercice de droits (accès, effacement, portabilité)
- Notifier toute violation de données dans les 72h
- Supprimer ou retourner les données à la fin du contrat (au choix du client)
- Permettre les audits annuels sur demande raisonnable
7. Mesures de sécurité
- Chiffrement en transit (TLS 1.2+)
- Chiffrement au repos sur l'ensemble du stockage (base de données et fichiers)
- Hashing bcrypt des mots de passe
- Tokens API stockés chiffrés en base
- Authentification 2FA disponible (post-MVP)
- Logs d'accès avec rétention 30 jours
- Sauvegardes quotidiennes chiffrées sur 30 jours
- Tests de pénétration annuels
8. Transferts hors UE
Certains sous-traitants sont localisés aux USA. Les transferts sont encadrés par les Standard Contractual Clauses (SCC) UE adoptées par la Commission européenne le 4 juin 2021, complétées par des mesures supplémentaires (chiffrement, anonymisation).
9. Durée et fin du contrat
Ce DPA est valide tant que vous utilisez Omybox. À la résiliation :
- Vous pouvez exporter vos données depuis le dashboard pendant 30 jours
- Au-delà, toutes les données sont supprimées définitivement (sauf factures, conservées 10 ans pour obligation légale)
10. Acceptation
Ce DPA est automatiquement accepté lors de la création de votre compte. Pour une signature formelle ou des amendements spécifiques, contactez hello@omybox.ai.