Le present Accord de Traitement des Donnees (ci-apres "DPA") est conclu entre le client utilisant les services Sens-AI, agissant en qualite de Responsable du traitement, et Sens-AI, agissant en qualite de Sous-traitant, conformement a l'article 28 du Reglement (UE) 2016/679 (RGPD).
En cas de contradiction entre le present DPA et toute autre clause des Conditions Generales d'Utilisation relative au traitement de donnees personnelles, le DPA prevaudra dans la mesure de cette contradiction.
1. Objet et duree du traitement
Le present DPA a pour objet de definir les conditions dans lesquelles Sens-AI traite des donnees a caractere personnel pour le compte du client, dans le cadre de la fourniture du service SaaS de chatbot IA.
Le DPA entre en vigueur a la date de souscription au service et demeure applicable pendant toute la duree du contrat, ainsi que pendant la periode au cours de laquelle Sens-AI conserve des donnees personnelles pour le compte du client.
A l'expiration ou a la resiliation du contrat, les obligations relatives a la suppression ou a la restitution des donnees personnelles s'appliquent conformement a l'article 12 ci-apres.
2. Nature et finalite du traitement
Sens-AI fournit un service SaaS de chatbot IA permettant notamment :
- La gestion des conversations entre les utilisateurs finaux et le chatbot
- L'hebergement, le stockage, la recherche et l'analyse des contenus de conversation
- L'indexation et la recherche semantique dans la base de connaissances du client
- L'administration des comptes utilisateurs et des droits d'acces
- Les fonctionnalites de support, d'amelioration et de supervision du service
Les operations realisees peuvent inclure : collecte, enregistrement, organisation, structuration, stockage, consultation, utilisation, transmission, effacement et destruction de donnees personnelles.
3. Types de donnees personnelles traitees
Selon les configurations retenues par le client, les donnees traitees peuvent inclure :
- Donnees d'identification : nom, prenom, adresse email professionnelle, identifiant utilisateur
- Donnees de connexion : logs, adresse IP, identifiants de session, horodatages
- Contenus de conversation : messages textuels saisis dans le chatbot
- Donnees de la base de connaissances : contenus des fichiers uploades (PDF, DOCX, CSV) et des pages web scrapees
- Donnees d'usage : statistiques d'utilisation, parametres, preferences
- Donnees de facturation : identifiant client, plan d'abonnement, historique de paiements
Durees de conservation :
| Type de donnees | Duree de conservation |
|---|---|
| Conversations et messages | Duree du contrat + 30 jours |
| Donnees de cache (Redis) | TTL maximal de 24 heures |
| Embeddings vectoriels | Supprimes lors de la suppression de la source |
| Fichiers uploades (R2) | Supprimes lors de la suppression de la source |
| Logs techniques | 30 a 90 jours |
| Donnees de facturation | Conformement aux obligations legales |
4. Categories de personnes concernees
Les personnes dont les donnees sont traitees peuvent inclure :
- Utilisateurs finaux du chatbot : clients, prospects et utilisateurs internes du responsable de traitement
- Membres des equipes du client : administrateurs et operateurs utilisant le tableau de bord
- Contacts de facturation : personnes responsables du paiement et de la gestion de l'abonnement
- Toute autre categorie definie par le client dans sa documentation d'instructions
5. Obligations du sous-traitant (Sens-AI)
Sens-AI s'engage a :
- Instructions documentees : ne traiter les donnees personnelles que sur instructions documentees du client, sauf obligation legale contraire
- Confidentialite : veiller a ce que les personnes autorisees a traiter les donnees soient tenues a une obligation de confidentialite
- Securite : mettre en oeuvre des mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque (article 32 du RGPD)
- Registre des traitements : tenir un registre des categories d'activites de traitement effectuees pour le compte du client
- Notification de violation : informer sans delai injustifie le client de toute violation de donnees personnelles
- Assistance aux droits : assister le client pour permettre l'exercice des droits des personnes concernees (acces, rectification, effacement, opposition, limitation, portabilite)
- Limitation d'usage : ne pas utiliser les donnees personnelles a d'autres fins que la fourniture du service, ni les vendre, louer ou exploiter pour son propre compte
6. Obligations du responsable de traitement (client)
Le client s'engage a :
- S'assurer que les traitements confies a Sens-AI sont realises dans le respect des lois applicables, y compris l'obtention des bases legales et des informations aux personnes concernees
- Fournir a Sens-AI des instructions documentees, licites et proportionnees
- Informer sans delai Sens-AI de toute modification affectant ces instructions
- Tenir compte de la documentation et des informations fournies par Sens-AI, notamment en matiere de mesures de securite
7. Sous-traitants ulterieurs
Le client autorise Sens-AI a recourir aux sous-traitants ulterieurs suivants pour la fourniture du service. Sens-AI impose contractuellement a ces sous-traitants des obligations de protection des donnees au moins equivalentes a celles du present DPA.
| Sous-traitant | Service | Donnees traitees | Localisation |
|---|---|---|---|
| Turso | Base de donnees relationnelle (LibSQL/SQLite) | Comptes, conversations, messages, FAQ, facturation | UE (Irlande) |
| Upstash Redis | Cache, rate limiting, sessions | Reponses en cache, compteurs IP, sessions | UE (Francfort) |
| Upstash Vector | Base vectorielle, recherche semantique (RAG) | Embeddings de la base de connaissances, cache semantique | UE (Francfort) |
| Upstash QStash | Orchestration asynchrone du pipeline d'ingestion | URLs, contenus en transit, identifiants techniques | UE (Francfort) |
| Mistral AI | Modele de langage IA (LLM) | Prompts, contextes de conversation | UE (France) |
| Cloudflare R2 | Stockage objet (fichiers uploades) | PDF, DOCX, CSV uploades par le client | UE |
| Creem | Plateforme de paiement (Merchant of Record) | Donnees de paiement, facturation, abonnements | UE (PCI-DSS) |
| Loops.so | Emailing transactionnel et marketing | Emails, noms, preferences de communication | Etats-Unis (CCT) |
Sens-AI informera le client de tout ajout ou remplacement significatif d'un sous-traitant ulterieur, dans un delai raisonnable avant la mise en oeuvre de la modification, afin de permettre au client de formuler d'eventuelles objections motivees.
Sens-AI demeure pleinement responsable envers le client de l'execution des obligations des sous-traitants ulterieurs (article 28 §4 du RGPD).
8. Mesures de securite
Conformement a l'article 32 du RGPD, Sens-AI met en oeuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit : toutes les communications sont chiffrees via TLS/HTTPS
- Chiffrement au repos : les donnees stockees dans les bases de donnees et le stockage objet sont chiffrees au repos
- Controle d'acces : authentification par mot de passe hashe (bcrypt), gestion des droits par tenant
- Isolation des donnees : cloisonnement logique par tenant (base de donnees, namespaces vectoriels, buckets de fichiers)
- Rate limiting : protection contre les abus et les attaques par deni de service
- Journalisation : logs d'acces et d'operations pour la tracabilite et la detection d'incidents
- Sauvegardes : sauvegardes regulieres des donnees relationnelles
- Verification des webhooks : signature HMAC-SHA256 pour l'authentification des callbacks
9. Transferts hors EEE
L'infrastructure principale de Sens-AI est hebergee dans l'Union europeenne. Toutefois, certains sous-traitants peuvent impliquer des transferts de donnees en dehors de l'Espace Economique Europeen (EEE) :
| Sous-traitant | Donnees dans l'EEE | Transfert hors EEE | Mecanisme |
|---|---|---|---|
| Turso | Oui (aws-eu-west-1) | Acces support potentiel US | CCT Turso |
| Upstash (Redis, Vector, QStash) | Oui (eu-central-1) | Acces support potentiel US | CCT Upstash |
| Mistral AI | Oui (UE) | Non | N/A |
| Creem | Oui (UE) | Reseaux de paiement internationaux | CCT / PCI-DSS |
| Cloudflare R2 | Oui (UE) | Non | N/A |
| Loops.so | Non (US) | Oui | CCT obligatoires |
Lorsque des transferts hors EEE sont necessaires, ils sont encadres par des Clauses Contractuelles Types (CCT) adoptees par la Commission europeenne, conformement a l'article 46 du RGPD.
10. Notification de violation
En cas de violation de donnees personnelles, Sens-AI s'engage a :
- Informer le client sans delai injustifie apres avoir pris connaissance de la violation
- Fournir les informations disponibles utiles a l'evaluation de la violation, notamment :
- La nature de la violation
- Les categories et le nombre approximatif de personnes concernees
- Les consequences probables de la violation
- Les mesures prises ou proposees pour y remedier
- Assister le client dans la notification a l'autorite de controle (CNIL) et, le cas echeant, aux personnes concernees
11. Audit et controle
Le client a le droit de verifier la conformite de Sens-AI au present DPA et au RGPD :
- Par des demandes d'informations et de documentation de securite
- Par des audits sur site ou a distance, sous reserve d'un preavis raisonnable
- Par un auditeur independant mandate par le client
Les parties conviennent de limiter la frequence et la portee des audits a ce qui est strictement necessaire a la verification de la conformite, sans perturber excessivement l'activite de Sens-AI.
Sens-AI assiste egalement le client, dans la mesure du possible, pour la realisation d'analyses d'impact relatives a la protection des donnees (DPIA) lorsque celles-ci sont requises.
12. Sort des donnees en fin de contrat
A l'issue du contrat, le client choisit entre :
- Restitution : export des donnees personnelles (via l'API ou le tableau de bord) suivi de leur suppression par Sens-AI
- Suppression : suppression definitive des donnees personnelles, sous reserve des donnees que Sens-AI doit conserver pour respecter une obligation legale
Le client dispose d'un delai de 30 jours suivant la fin du contrat pour demander l'export de ses donnees. Passe ce delai, Sens-AI procedera a la suppression definitive des donnees.
Sens-AI atteste, sur demande du client, de la bonne execution des operations de suppression ou d'anonymisation.
13. Contact DPO
Pour toute question relative au present DPA ou au traitement de vos donnees personnelles, vous pouvez contacter notre delegue a la protection des donnees :
Le present DPA est regi par le droit francais. Tout differend relatif a son interpretation ou a son execution releve de la competence exclusive des tribunaux de Paris, sauf disposition imperative contraire.
This Data Processing Agreement (hereinafter "DPA") is entered into between the customer using Sens-AI services, acting as the Data Controller, and Sens-AI, acting as the Data Processor, in accordance with Article 28 of Regulation (EU) 2016/679 (GDPR).
In the event of a conflict between this DPA and any other provision of the Terms of Service relating to personal data processing, this DPA shall prevail to the extent of the conflict.
1. Subject and Duration of Processing
This DPA defines the conditions under which Sens-AI processes personal data on behalf of the customer, in the context of providing the AI chatbot SaaS service.
The DPA takes effect on the date of service subscription and remains applicable throughout the contract duration, as well as during the period in which Sens-AI retains personal data on behalf of the customer.
Upon expiration or termination of the contract, the obligations regarding the deletion or return of personal data apply in accordance with Section 12 below.
2. Nature and Purpose of Processing
Sens-AI provides an AI chatbot SaaS service enabling, among other things:
- Management of conversations between end users and the chatbot
- Hosting, storage, search, and analysis of conversation content
- Indexing and semantic search in the customer's knowledge base
- Administration of user accounts and access rights
- Support, improvement, and monitoring features
Operations performed may include: collection, recording, organization, structuring, storage, consultation, use, transmission, erasure, and destruction of personal data.
3. Types of Personal Data Processed
Depending on the customer's configuration, the processed data may include:
- Identification data: name, professional email address, user ID
- Connection data: logs, IP address, session identifiers, timestamps
- Conversation content: text messages entered in the chatbot
- Knowledge base data: content of uploaded files (PDF, DOCX, CSV) and scraped web pages
- Usage data: usage statistics, settings, preferences
- Billing data: customer ID, subscription plan, payment history
Retention periods:
| Data Type | Retention Period |
|---|---|
| Conversations and messages | Contract duration + 30 days |
| Cache data (Redis) | Maximum TTL of 24 hours |
| Vector embeddings | Deleted when source is removed |
| Uploaded files (R2) | Deleted when source is removed |
| Technical logs | 30 to 90 days |
| Billing data | As required by applicable law |
4. Categories of Data Subjects
Persons whose data is processed may include:
- End users of the chatbot: customers, prospects, and internal users of the data controller
- Customer team members: administrators and operators using the dashboard
- Billing contacts: persons responsible for payment and subscription management
- Any other category defined by the customer in their documentation of instructions
5. Obligations of the Processor (Sens-AI)
Sens-AI undertakes to:
- Documented instructions: process personal data only on documented instructions from the customer, unless required by law
- Confidentiality: ensure that authorized persons processing data are bound by a confidentiality obligation
- Security: implement appropriate technical and organizational measures to ensure a level of security appropriate to the risk (Article 32 GDPR)
- Processing records: maintain a record of processing activities carried out on behalf of the customer
- Breach notification: notify the customer without undue delay of any personal data breach
- Rights assistance: assist the customer in enabling the exercise of data subject rights (access, rectification, erasure, objection, restriction, portability)
- Use limitation: not use personal data for purposes other than providing the service, nor sell, rent, or exploit them for its own benefit
6. Obligations of the Data Controller (Customer)
The customer undertakes to:
- Ensure that processing entrusted to Sens-AI complies with applicable data protection laws, including obtaining legal bases and informing data subjects
- Provide Sens-AI with documented, lawful, and proportionate instructions
- Promptly inform Sens-AI of any changes affecting these instructions
- Take into account the documentation and information provided by Sens-AI, particularly regarding security measures
7. Sub-processors
The customer authorizes Sens-AI to engage the following sub-processors to provide the service. Sens-AI contractually imposes data protection obligations on these sub-processors at least equivalent to those of this DPA.
| Sub-processor | Service | Data Processed | Location |
|---|---|---|---|
| Turso | Relational database (LibSQL/SQLite) | Accounts, conversations, messages, FAQ, billing | EU (Ireland) |
| Upstash Redis | Cache, rate limiting, sessions | Cached responses, IP counters, sessions | EU (Frankfurt) |
| Upstash Vector | Vector database, semantic search (RAG) | Knowledge base embeddings, semantic cache | EU (Frankfurt) |
| Upstash QStash | Async pipeline orchestration | URLs, in-transit content, technical IDs | EU (Frankfurt) |
| Mistral AI | AI language model (LLM) | Prompts, conversation contexts | EU (France) |
| Cloudflare R2 | Object storage (uploaded files) | PDF, DOCX, CSV uploaded by customer | EU |
| Creem | Payment platform (Merchant of Record) | Payment data, billing, subscriptions | EU (PCI-DSS) |
| Loops.so | Transactional and marketing email | Emails, names, communication preferences | United States (SCCs) |
Sens-AI will notify the customer of any significant addition or replacement of a sub-processor, within a reasonable period before implementation, to allow the customer to raise any reasoned objections.
Sens-AI remains fully liable to the customer for the performance of sub-processor obligations (Article 28(4) GDPR).
8. Security Measures
In accordance with Article 32 of the GDPR, Sens-AI implements the following technical and organizational measures:
- Encryption in transit: all communications are encrypted via TLS/HTTPS
- Encryption at rest: data stored in databases and object storage is encrypted at rest
- Access control: authentication with hashed passwords (bcrypt), tenant-based access management
- Data isolation: logical separation per tenant (database, vector namespaces, file buckets)
- Rate limiting: protection against abuse and denial-of-service attacks
- Logging: access and operation logs for traceability and incident detection
- Backups: regular backups of relational data
- Webhook verification: HMAC-SHA256 signature for callback authentication
9. Transfers Outside the EEA
Sens-AI's core infrastructure is hosted in the European Union. However, certain sub-processors may involve data transfers outside the European Economic Area (EEA).
Where transfers outside the EEA are necessary, they are governed by Standard Contractual Clauses (SCCs) adopted by the European Commission, in accordance with Article 46 of the GDPR.
Please refer to Section 7 above for the detailed transfer table per sub-processor.
10. Breach Notification
In the event of a personal data breach, Sens-AI undertakes to:
- Notify the customer without undue delay after becoming aware of the breach
- Provide available information useful for assessing the breach, including:
- The nature of the breach
- The categories and approximate number of data subjects affected
- The likely consequences of the breach
- The measures taken or proposed to address it
- Assist the customer in notifying the supervisory authority (CNIL) and, where applicable, the data subjects concerned
11. Audit and Review
The customer has the right to verify Sens-AI's compliance with this DPA and the GDPR:
- Through requests for information and security documentation
- Through on-site or remote audits, subject to reasonable prior notice
- Through an independent auditor appointed by the customer
The parties agree to limit the frequency and scope of audits to what is strictly necessary for compliance verification, without excessively disrupting Sens-AI's operations.
Sens-AI also assists the customer, where possible, in carrying out Data Protection Impact Assessments (DPIAs) when required.
12. Data Handling on Contract Termination
Upon termination of the contract, the customer chooses between:
- Return: export of personal data (via API or dashboard) followed by deletion by Sens-AI
- Deletion: permanent deletion of personal data, subject to data that Sens-AI must retain to comply with legal obligations
The customer has 30 days following contract termination to request data export. After this period, Sens-AI will proceed with permanent data deletion.
Sens-AI certifies, upon request from the customer, the proper execution of deletion or anonymization operations.
13. DPO Contact
For any questions regarding this DPA or the processing of your personal data, you can contact our Data Protection Officer:
This DPA is governed by French law. Any dispute relating to its interpretation or execution shall be subject to the exclusive jurisdiction of the courts of Paris, unless otherwise required by mandatory provisions.