Accord de traitement
des données.

01Parties et rôles

Le présent accord est conclu entre :

• Le Sous-traitant : Société Dubai, ayant son siège social à Adresse Dubai, UAE, représentée par Nicolas Moussa, ci-après « MyKonci ».
• Le Responsable du traitement: toute personne physique ou morale ayant souscrit au Service MyKonci, ci-après « le Client », telle qu'identifiée dans son compte utilisateur et ses factures.

Représentant dans l'Union européenne (article 27 du RGPD) : Nicolas Moussa, privacy@mykonci.com.

02Objet et durée du traitement

MyKonci traite des données à caractère personnel pour le compte du Client dans le cadre de la fourniture du Service de conciergerie virtuelle (chatbot WhatsApp/SMS, agent vocal et, pour les offres professionnelles, Cortex), tel que décrit dans les CGV.

Durée :le présent accord s'applique pendant toute la durée du contrat de souscription, ainsi que pendant les périodes de conservation post-résiliation prévues à l'article 09.

03Nature, finalité et catégories

Nature du traitement : collecte, stockage, analyse, enrichissement (scoring et profilage pour les offres professionnelles), consultation, transmission aux sous-traitants ultérieurs autorisés, suppression.

Finalités :

• Fourniture du Service (réponse automatisée aux voyageurs par chatbot et agent vocal)
• Supervision et pilotage par le Client via le tableau de bord
• Offres professionnelles : analyse émotionnelle, prédictions, coaching, mémoire cross-séjour, alertes et recommandations
• Amélioration du Service dans le cadre du tenant du Client uniquement (apprentissage par tenant, pseudonymisation pour l'amélioration produit globale)
• Sécurité, journalisation et respect des obligations légales

Catégories de personnes concernées : voyageurs / locataires du Client, et le cas échéant équipes du Client (concierges, managers).

Catégories de données : identification (nom, prénom, téléphone, langue), dates de séjour, contenu des messages échangés, enregistrements audio et transcriptions des appels, données analytiques dérivées (scores, profils, prédictions, embeddings). MyKonci ne traite pas activement de données sensibles au sens de l'article 9 du RGPD. Si des données sensibles venaient à être transmises incidemment par les voyageurs, MyKonci applique un traitement minimisé et notifie le Client sans délai.

04Instructions documentées

MyKonci ne traite les données du Client que sur instruction documentée de celui-ci, y compris concernant les transferts hors UE, sauf obligation légale imposant un traitement différent (auquel cas MyKonci en informe le Client avant traitement, sauf interdiction légale).

Les instructions documentées comprennent notamment : le contrat de souscription et ses annexes, les présentes CGV, le présent DPA, la politique de confidentialité, et toute instruction complémentaire adressée par le Client par écrit.

05Obligations de MyKonci

• Traiter les données uniquement dans le cadre des finalités convenues et des instructions du Client.
• Garantir la confidentialité des données : toute personne autorisée à traiter les données est soumise à une obligation de confidentialité contractuelle ou légale.
• Mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'article 08.
• Assister le Client dans la gestion des demandes des personnes concernées (accès, rectification, effacement, portabilité, opposition).
• Assister le Client dans la réalisation des analyses d'impact (AIPD) et des consultations préalables auprès de la CNIL le cas échéant.
• Notifier le Client de toute violation de données personnelles dans les 48 heures suivant la détection, avec un rapport préliminaire (nature, volumes, mesures prises) puis un rapport complet sous 7 jours.
• Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD.
• Contribuer aux audits (voir article 11).

06Sous-traitants ultérieurs

Le Client autorise MyKonci à recourir à des sous-traitants ultérieurs pour l'exécution du Service. La liste à jour figure dans la politique de confidentialité (section Sous-traitants) et est maintenue à jour. À la date du présent accord :

• Hetzner Online GmbH (Allemagne) — Hébergement infrastructure et données, UE (sites de Gunzenhausen et Falkenstein).
• OpenAI Ireland Ltd / OpenAI, L.L.C. (Irlande / États-Unis) — Traitement du langage naturel. DPA signé, engagement no-training, SCC + DPF. Possibilité de bascule vers Azure OpenAI Europe (France Central / Sweden Central) sur demande du Client.
• Modèles d'embeddings open-source (sentence-transformers) — exécutés localement sur l'infrastructure MyKonci en UE. Non considérés comme sous-traitants ultérieurs au sens strict (aucun transfert externe) mais mentionnés pour transparence.
• Stripe Payments Europe, Ltd. (Irlande) — Traitement des paiements.
• Twilio Ireland Limited (Irlande / États-Unis) — SMS, WhatsApp, téléphonie.
• Retell AI ou équivalent — Voix conversationnelle pour l'agent vocal (si activé).
• Migadu Mail Services (SA) (Suisse) — Emails transactionnels. Décision d'adéquation UE↔Suisse (pas de SCC nécessaires).

MyKonci informe le Client par écrit (email ou notification plateforme) de tout ajout ou changement de sous-traitant ultérieur au moins 30 jours avant sa mise en œuvre effective. Le Client dispose d'un droit d'opposition motivée dans ce délai. En cas d'opposition ne pouvant être levée, le Client peut résilier sans pénalité.

MyKonci impose à chaque sous-traitant ultérieur, par contrat, des obligations équivalentes à celles prévues par le présent DPA et par l'article 28 du RGPD, et demeure pleinement responsable vis-à-vis du Client de l'exécution de leurs obligations.

07Transferts hors UE

Les transferts de données hors de l'Espace économique européen sont encadrés par :

• Les clauses contractuelles types (SCC) adoptées par la Commission européenne (Décision 2021/914) ;
• Le Data Privacy Framework (DPF) UE-USA pour les sous-traitants certifiés ;
• Des mesures supplémentaires techniques (chiffrement, pseudonymisation) lorsque nécessaire.

Le Client peut, pour les offres professionnelles, demander la bascule vers un traitement 100% UE (Azure OpenAI Europe).

08Sécurité — mesures techniques et organisationnelles

MyKonci met en œuvre les mesures de sécurité suivantes conformément à l'article 32 du RGPD :

• Chiffrement au repos : AES-256 sur les bases de données et le stockage.
• Chiffrement en transit : TLS 1.3 sur toutes les communications.
• Gestion des clés : stockage centralisé, rotation annuelle, accès loggé.
• Isolation tenant : identifiant client unique, filtrage applicatif et Row-Level Security PostgreSQL.
• Journalisation des accès : tout accès aux conversations d'un Client est loggé (identité, date, ressource, IP), conservation 12 mois, consultable par le Client.
• Gestion des identités et des accès : authentification forte pour les administrateurs MyKonci, principe du moindre privilège.
• Sauvegardes : chiffrées, réplication géographique UE.
• Tests et audits : tests de pénétration et audits de sécurité périodiques.
• Continuité et reprise : plan de reprise d'activité documenté.

09Fin de contrat — restitution ou suppression

À l'issue du contrat, le Client choisit par écrit (par défaut : suppression) :

• Export complet des données (format JSON et dump SQL) sous 30 jours à compter de la demande ;
• OU suppression définitive sous 30 jours.

Les sauvegardes contenant les données du Client sont purgées sous un délai maximum de 90 jours. Un certificat de suppression est fourni sur demande.

Les données nécessaires au respect d'obligations légales (comptables, fiscales) sont conservées conformément aux durées légales applicables, sous une forme restreinte.

10Assistance aux droits des personnes

MyKonci assiste le Client dans la gestion des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition, y compris opposition au profilage Cortex) :

• Les demandes peuvent être adressées directement à privacy@mykonci.com ou via le Client.
• MyKonci répond sous 30 jours (délai RGPD).
• Le Client dispose d'outils dans son dashboard pour répondre lui-même à une partie des demandes (export, suppression).
• Un voyageur peut demander à être exclu du profilage Cortex ; l'opt-out est appliqué sous 7 jours.

11Audits

Le Client peut auditer la conformité de MyKonci au présent DPA et au RGPD, dans les conditions suivantes :

• 1 fois par an maximum, hors cas d'incident ;
• Préavis de 30 jours ;
• Modalités au choix : questionnaire écrit standard, visite sur site, ou visioconférence ;
• Les frais d'un audit sur site sont à la charge du Client ;
• MyKonci pourra fournir à terme un rapport d'audit indépendant, acceptable en lieu et place d'un audit individuel.

12Responsabilité et indemnisation

Chaque partie est responsable de ses propres manquements au RGPD et au présent DPA. La responsabilité de MyKonci est plafonnée dans les conditions prévues aux CGV. Les limitations de responsabilité ne s'appliquent pas en cas de violation intentionnelle, de faute lourde ou de manquement aux obligations de confidentialité et de sécurité.

13Droit applicable

Le présent DPA est régi par le droit français pour les aspects relatifs au RGPD, sans préjudice du droit applicable au contrat principal prévu par les CGV.

14Acceptation et signature

Le présent DPA est accepté par le Client lors de la souscription au Service via acceptation électronique des CGV et de la politique de confidentialité. Il peut être signé sous forme physique ou électronique à la demande du Client pour les besoins de son propre registre des traitements. Toute demande de signature est à adresser à privacy@mykonci.com.

Une version PDF imprimable et signable du présent document est disponible sur demande à privacy@mykonci.com.