1. Parties
Responsable de traitement : L'établissement CHR participant à la bêta MEYIA™ (ci-après « le Client »).
Sous-traitant : MEYIA™, micro-entreprise, SIRET 102 099 603 00015, 60 rue François 1er, 75008 Paris (ci-après « MEYIA »).
2. Objet et finalité
MEYIA™ traite les données personnelles suivantes pour le compte du Client, dans le cadre de la fourniture du service de génération de réponses aux avis Google. Ce service utilise l'intelligence artificielle pour produire des propositions de réponses (voir notre page Transparence IA pour plus de détails) :
| Données traitées | Finalité | Durée de conservation |
|---|---|---|
| Texte des avis Google (peut contenir le prénom du rédacteur, son expérience) | Génération des réponses MEYIA (3 tons + multilingue) | Durée du contrat + 6 mois |
| Prénom, établissement, contact du représentant du Client | Gestion de la relation Client et onboarding | Durée de la bêta + 6 mois |
| Jetons d'accès Google OAuth (access token, refresh token), identifiant de fiche Google Business Profile | Accès délégué à la fiche Google du Client : lecture des avis et publication des réponses validées par le Client | Jusqu'à révocation par le Client ou fin du contrat. Supprimés sous 30 jours. |
Les prénoms des clients de l'établissement, lorsqu'ils figurent dans les avis Google, sont traités comme des données personnelles au sens du RGPD.
Les avis et réponses sont stockés dans une base de données hébergée en Union européenne (Supabase, région Paris). Les jetons OAuth sont chiffrés au repos (AES) avec une clé de chiffrement stockée séparément des données.
Les modalités d'accès et de traitement décrites dans le présent accord reflètent le fonctionnement du Service à la date indiquée. Toute modification substantielle sera notifiée au Client conformément à l'Accord Bêta.
3. Obligations de MEYIA (sous-traitant)
MEYIA™ s'engage à :
- Traiter les données uniquement sur instruction documentée du Client.
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article 4.
- Ne pas recruter de sous-traitant ultérieur sans information préalable du Client, conformément à l'article 5.
- Transmettre sans délai au Client toute demande d'exercice de droits RGPD (accès, rectification, effacement, portabilité) reçue directement par MEYIA™. Le Client reste seul responsable de la réponse à ces demandes.
- Notifier toute violation de données personnelles au Client sans délai indu et au plus tard 72 heures après en avoir pris connaissance, en fournissant les informations nécessaires (nature de la violation, données concernées, mesures prises).
- À l'issue du contrat, supprimer ou restituer au Client l'ensemble des données personnelles traitées, dans un délai de 30 jours calendaires à compter de la fin du contrat, sauf obligations légales de conservation imposant un délai différent.
- Ne jamais publier de réponse sur la fiche Google Business Profile du Client sans sa validation explicite préalable.
- Supprimer les jetons OAuth du Client sous 30 jours en cas de révocation de l'accès ou de résiliation du contrat.
4. Mesures de sécurité
MEYIA™ met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les données traitées :
- Chiffrement des données en transit (TLS/HTTPS).
- Chiffrement des jetons OAuth Google au repos (AES) avec clé de chiffrement stockée séparément des données.
- Accès restreint aux données, limité aux personnes strictement nécessaires.
- Contrôle d'accès par rôle (seul le fondateur a accès aux données en phase bêta).
- Gestion sécurisée des secrets et clés API (non stockés en clair, non transmis à des tiers).
- Journalisation des accès et des opérations de traitement.
- Stockage des avis et réponses dans une base de données hébergée en Union européenne (Supabase, région Paris).
- Logs techniques (sans données personnelles) conservés 30 jours maximum pour le débogage, puis supprimés automatiquement.
5. Sous-traitants ultérieurs
MEYIA™ fait appel aux sous-traitants ultérieurs suivants, autorisés par le Client à la date du présent accord :
| Sous-traitant | Rôle | Pays / Garanties |
|---|---|---|
| Anthropic, Inc. | Moteur IA (traitement du texte des avis) | États-Unis — CCT Commission Européenne |
| Formspree | Traitement des formulaires d'inscription | États-Unis — CCT Commission Européenne |
| Vercel Inc. | Hébergement du site et de l'application | États-Unis — CCT Commission Européenne |
| Resend, Inc. | Envoi d'emails transactionnels (livraison des réponses, MEYIA Pulse) | États-Unis — CCT Commission Européenne |
| Supabase, Inc. | Base de données, authentification, hébergement backend (région EU — Paris) | États-Unis (données hébergées en UE) — CCT Commission Européenne |
| Google Ireland Ltd. | API Google Business Profile (lecture des avis, publication des réponses validées par le Client) | Irlande (UE) |
| Stripe, Inc. | Gestion des paiements et abonnements | États-Unis — CCT Commission Européenne |
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, MEYIA™ en informe le Client par email avec un préavis de 15 jours. Le Client dispose de ce délai pour s'opposer pour motif légitime. En cas d'opposition et à défaut d'alternative raisonnable proposée par MEYIA™, le Client peut résilier sa participation conformément à l'Accord Bêta.
6. Transferts hors UE
Certains sous-traitants sont établis hors de l'Union européenne (voir tableau ci-dessus). Ces transferts reposent sur les clauses contractuelles types (CCT) adoptées par la Commission européenne en application de l'article 46, paragraphe 2, du RGPD.
7. Audits
Le Client peut demander à vérifier le respect du présent accord dans les conditions suivantes :
- Préavis écrit de 30 jours minimum.
- Un audit par an maximum, sauf en cas d'incident de sécurité avéré.
- L'audit est réalisé pendant les heures ouvrées, à distance et sur pièces par défaut.
- Les frais d'un éventuel audit sur site sont à la charge du Client.
- L'auditeur est soumis à une obligation de confidentialité.
MEYIA™ s'engage à coopérer et à fournir les informations nécessaires dans un délai raisonnable.
8. Durée
Le présent accord prend effet à la date d'acceptation par le Client et reste en vigueur pendant toute la durée de sa participation au service MEYIA™. Les obligations relatives à la confidentialité, à la sécurité et à la suppression des données survivent à la fin du contrat.
9. Droit applicable
Droit français. Règlement Général sur la Protection des Données (UE) 2016/679.
MEYIA™ — 60 rue François 1er, 75008 Paris — SIRET 102 099 603 00015