Accord de Traitement des Donnees

Conformement a la LPD suisse et au RGPD Art. 28

Version

1.0

En vigueur

February 2026

ID Document

DPA-2026-001

Responsable du traitement

[Votre organisation]

[Adresse]

Sous-traitant

Exatoshi AG (AIAgens)

Riva Paradiso 30, 6900 Paradiso, Switzerland

Article 1 - Definitions

Dans le present accord, les definitions suivantes s'appliquent:

"Donnees personnelles" designe toute information relative a une personne physique identifiee ou identifiable.
"Traitement" designe toute operation effectuee sur des donnees personnelles.
"Sous-traitant ulterieur" designe tout tiers engage par le Sous-traitant.

Article 2 - Objet et duree

2.1 Le present accord regit le traitement des donnees personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre des services d'assistant IA AIAgens.

2.2 Le present accord entre en vigueur a la date de la derniere signature et reste en vigueur pendant la duree du contrat principal.

Article 3 - Portee du traitement

Le Sous-traitant traite les categories suivantes de donnees personnelles:

Coordonnees (nom, telephone, email)
Details du rendez-vous (date, heure, type)
Metadonnees de communication (duree d'appel, horodatage)

Note importante: Par defaut, AIAgens ne conserve ni l'audio vocal ni le texte des conversations au-dela de la duree de l'interaction. AIAgens fonctionne avec zero retention — toutes les donnees vocales et conversationnelles sont traitees en temps reel et jamais conservees. L'enregistrement et la transcription des appels sont desactives par defaut. La conservation a long terme des resultats du triage dans le dossier patient releve de la seule responsabilite du responsable de traitement (prestataire de soins) conformement aux obligations professionnelles de conservation applicables.

Article 4 - Obligations du Sous-traitant

Le Sous-traitant s'engage a:

Traiter les donnees personnelles uniquement selon les instructions documentees du Responsable;
S'assurer que les personnes autorisees a traiter les donnees sont soumises a la confidentialite;
Mettre en oeuvre des mesures techniques et organisationnelles appropriees;
Respecter les conditions relatives aux sous-traitants ulterieurs conformement a l'article 5;
Assister le Responsable dans l'accomplissement de ses obligations.

Article 5 - Sous-traitance ulterieure

5.1 Le Responsable accorde une autorisation generale pour l'engagement de sous-traitants ulterieurs.

5.2 Le Sous-traitant informera le Responsable de tout changement concernant les sous-traitants ulterieurs et donnera au Responsable la possibilite de s'y opposer.

5.3 Les sous-traitants actuels sont listes sur /sub-processors.

Article 6 - Droits des personnes concernees

Le Sous-traitant assistera le Responsable pour repondre aux demandes des personnes concernees relatives a:

Droit d'acces
Droit de rectification
Droit a l'effacement
Droit a la portabilite

Le delai de reponse aux demandes est de 72 heures.

Article 7 - Mesures de securite

Le Sous-traitant met en oeuvre et maintient les mesures de securite suivantes:

Chiffrement TLS 1.3 pour toutes les transmissions de donnees
Chiffrement AES-256 pour les donnees au repos
Infrastructure hebergee chez des fournisseurs certifies SOC 2 Type II
Audits de securite reguliers et tests de penetration
Controles d'acces et journalisation

Article 8 - Notification des violations

8.1 Le Sous-traitant notifiera le Responsable sans delai indu apres avoir pris connaissance d'une violation de donnees confirmee conformement a l'art. 33 RGPD.

8.2 La notification comprendra toutes les informations pertinentes conformement a l'art. 33 RGPD / Art. 24 LPD.

Article 9 - Droits d'audit

9.1 Le Sous-traitant fournira sur demande les rapports SOC 2 Type II actuels.

9.2 Des audits sur site peuvent etre effectues avec un preavis raisonnable (30 jours) et aux frais du Responsable.

Article 10 - Resiliation

10.1 A la resiliation, le Sous-traitant supprimera toutes les donnees personnelles dans les 30 jours, sauf si une conservation plus longue est requise par la loi.

10.2 Sur demande, le Sous-traitant fournira un certificat de suppression.

Article 11 - Droit applicable

Le present accord est regi par le droit suisse. Le for est a Lugano, Suisse.

Pour le Responsable du traitement

Signature

Nom:

Titre:

Date:

Pour le Sous-traitant

Signature

Nom: Antonio Brundo, Exatoshi AG

Titre: Directeur

Date:

Annexe A: Mesures techniques et organisationnelles

Categorie	Mesure
Chiffrement	TLS 1.3 (transit), AES-256 (repos)
Controle d'acces	Controle d'acces base sur les roles, authentification multi-facteurs
Journalisation	Journaux d'audit complets, piste d'audit immuable
Securite reseau	Pare-feu, protection DDoS, detection d'intrusion
Sauvegarde	Sauvegardes quotidiennes chiffrees, geo-distribuees
Certifications	SOC 2 Type II, ISO 27001 (fournisseur d'infrastructure)

Annexe B: Sous-traitants ulterieurs approuves

Sous-traitant	Finalite	Localisation
Proton AG	Stockage de sauvegardes chiffrees (Proton Drive)	CH (Geneve)
Health Info Net AG (HIN)	Email sante securise (HIN SMTP) et authentification d'identite	CH (Wallisellen)
Hetzner Online GmbH	Infrastructure d'hebergement (serveurs dedies, bases de donnees)	UE (Falkenstein, Allemagne)
Third-Party Voice AI Provider (EU)	Traitement vocal IA (STT/TTS, temps reel)	UE (Francfort)
Anthropic PBC	Modele de langage IA (Claude) pour l'intelligence conversationnelle	UE (Francfort)
Stripe Inc.	Traitement des paiements et gestion des abonnements	UE (Dublin, Irlande)
Google LLC	Integration calendrier, authentification OAuth	UE (Belgique / Pays-Bas)
Amazon Web Services EMEA Sàrl	Envoi d'emails transactionnels	UE (Francfort)
Zadarma (IP Telecom Bulgaria LTD)	Telephonie / SIP trunk pour appels vocaux	UE (Bulgarie)

Pour la liste actuelle des sous-traitants, voir: https://aiagens.ch/sub-processors