Juridique Bonmoniq
Accord de Traitement des Données
- Dernière mise à jour
- 2026-06-21
Cloudflare Web Analytics est utilisé pour la mesure d'audience sans cookie et les Core Web Vitals sur le site public. Il n'utilise pas de cookies, ne suit pas les utilisateurs individuellement et n'est pas utilisé pour traiter le contenu Client dans le Service.
Objet
Le présent Accord de Traitement des Données, ou DPA, s'applique lorsque Bonmoniq traite des données personnelles pour le compte d'un Client professionnel dans le cadre du Service.
Il complète les Conditions Générales de Vente Professionnelles et s'applique uniquement aux traitements pour lesquels le Client agit en qualité de responsable de traitement et Bonmoniq agit en qualité de sous-traitant au sens de l'article 4 du RGPD.
Parties
| Rôle | Partie | Coordonnées |
|---|---|---|
| Responsable de traitement | Client professionnel qui souscrit le Service | Coordonnées renseignées dans le Compte ou le contrat |
| Sous-traitant | Bonmoniq SASU, SIREN 104 435 557, SIRET 104 435 557 00012, RCS Paris | 47 rue Vivienne, 75002 Paris, France - privacy@bonmoniq.fr (données personnelles), legal@bonmoniq.fr (questions contractuelles) |
Bonmoniq est représentée par Dmitrii Poroshkov, Président.
Objet et durée du traitement
| Élément | Description |
|---|---|
| Objet | Traitement de données personnelles pour fournir le Service logiciel en ligne au Client |
| Durée | Durée de l'Abonnement, puis période nécessaire à la restitution, suppression, sauvegarde limitée et obligations légales |
| Fin du traitement | Suppression ou restitution selon les instructions documentées du Client, sauf conservation imposée par le droit de l'Union européenne ou le droit français |
Nature et finalité du traitement
| Nature du traitement | Finalité |
|---|---|
| Hébergement | Stocker les données du Client dans l'infrastructure du Service |
| Consultation | Afficher les données aux Utilisateurs autorisés du Client |
| Organisation | Permettre la configuration, la recherche, le tri et les actions dans le Service |
| Sauvegarde | Maintenir des sauvegardes de sécurité et de continuité |
| Support | Diagnostiquer et résoudre les incidents demandés par le Client |
| Sécurité | Journaliser les accès, prévenir les abus et protéger le Service |
Bonmoniq ne traite les données du Client que pour fournir le Service et selon les instructions documentées du Client.
Catégories de personnes concernées et de données
| Catégorie | Exemples de données | Personnes concernées |
|---|---|---|
| Utilisateurs du Client | Nom, e-mail, identifiant, rôle, logs d'activité | Salariés, prestataires, administrateurs du Client |
| Contacts importés par le Client | Nom, e-mail, société, informations fournies dans le Service | Clients, prospects, partenaires du Client |
| Données opérationnelles du Client | Contenus, notes, fichiers, champs libres, métadonnées | Personnes dont les données sont saisies par le Client |
| Données techniques | IP, user agent, horodatages, identifiants de session | Utilisateurs autorisés et administrateurs |
| Contenu des communications, lorsque activé | Audio d'appel, enregistrements, transcriptions, contenu des conversations IA, contenu de messagerie, métadonnées de routage | Participants aux appels et messages, y compris les tiers contactés par le Client |
Le Client s'engage à ne pas importer de catégories particulières de données au sens de l'article 9 du RGPD, de données d'infractions au sens de l'article 10 du RGPD ou de données de mineurs via les champs ordinaires du Service, sauf accord écrit préalable et mesures complémentaires documentées.
Les fonctionnalités de voix et de messagerie peuvent, par nature, capter incidemment des catégories particulières de données exprimées par les participants. Le cas échéant, le Client reste responsable de traitement et lui incombe d'identifier une condition de l'article 9(2) du RGPD ainsi que d'informer les participants et de recueillir tout consentement requis par les règles applicables au consentement à l'enregistrement. Bonmoniq ne traite ce contenu qu'en qualité de sous-traitant, sur sa propre infrastructure, pour fournir le Service.
Obligations de Bonmoniq en qualité de sous-traitant
Conformément à l'article 28(3) du RGPD, Bonmoniq s'engage à respecter les obligations suivantes.
Instructions documentées
Bonmoniq traite les données personnelles uniquement sur instructions documentées du Client, notamment les Conditions, le présent DPA, les paramétrages du Compte et les demandes écrites du Client.
Si Bonmoniq estime qu'une instruction viole le RGPD, la loi Informatique et Libertés ou une autre disposition applicable, Bonmoniq en informe le Client dans un délai de 5 jours ouvrés après identification de la difficulté.
Confidentialité du personnel
Bonmoniq limite l'accès aux données personnelles aux personnes qui en ont besoin pour fournir le Service ou le support. Ces personnes sont soumises à une obligation de confidentialité contractuelle ou légale.
Mesures de sécurité
Bonmoniq applique les mesures de sécurité de l'article 32 du RGPD décrites ci-dessous.
| Mesure | Description |
|---|---|
| Chiffrement en transit | TLS pour les communications entre navigateur, API et services exposés |
| Chiffrement au repos | Chiffrement des données de production et sauvegardes selon les mécanismes de la plateforme d'hébergement |
| Contrôle d'accès | Accès de production limité aux personnes habilitées |
| Authentification | Authentification forte obligatoire pour les comptes administratifs |
| Journalisation | Logs d'accès techniques et événements de sécurité |
| Sauvegardes | Sauvegardes techniques avec accès limité |
| Revue des accès | Vérification des accès au moins tous les 6 mois |
| Gestion des incidents | Analyse, confinement, correction et notification selon les articles 33 et 34 RGPD |
Sous-traitants ultérieurs
Le Client autorise Bonmoniq à recourir aux sous-traitants ultérieurs listés dans le présent DPA pour fournir le Service.
Bonmoniq informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins 30 jours à l'avance par e-mail, notification dans le Service ou mise à jour documentée accessible au Client. La liste à jour des sous-traitants est celle figurant dans la version en vigueur du présent DPA, publiée sur /fr/legal/dpa avec sa date de mise à jour.
Le Client peut s'opposer à un nouveau sous-traitant pour un motif documenté lié à la localisation du traitement, à l'absence de garantie de transfert au sens de l'article 46 du RGPD, à l'ajout de catégories de données ou à un risque de sécurité identifié. En cas d'opposition non résolue, le Client peut résilier la partie concernée du Service avant l'entrée en vigueur du changement.
Bonmoniq impose à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles prévues par le présent DPA, conformément à l'article 28(4) du RGPD.
Assistance aux droits des personnes
Bonmoniq assiste le Client, compte tenu de la nature du traitement, pour répondre aux demandes d'exercice des droits prévus aux articles 15 à 22 du RGPD.
Si une personne concernée adresse directement une demande à Bonmoniq au sujet de données traitées pour le compte du Client, Bonmoniq transmet la demande au Client lorsque celui-ci est identifiable, sauf obligation légale contraire.
Assistance en cas de violation de données
Bonmoniq informe le Client sans délai indu, et en tout état de cause dans les 48 heures, après avoir pris connaissance d'une violation de données personnelles affectant les données traitées pour le compte du Client.
La notification initiale inclut les informations connues par Bonmoniq au moment de l'envoi et est complétée par mises à jour successives lorsque l'enquête confirme de nouveaux éléments:
- la nature de la violation;
- les catégories et volumes approximatifs de données concernées;
- les conséquences probables;
- les mesures prises ou proposées pour remédier à la violation;
- le point de contact Bonmoniq.
Le Client reste responsable des notifications à l'autorité de contrôle et aux personnes concernées lorsqu'il agit en qualité de responsable de traitement, sauf accord écrit contraire.
Assistance DPIA
Bonmoniq fournit au Client la documentation détenue par Bonmoniq sur l'architecture du Service, les sous-traitants, les localisations de traitement, les mesures de sécurité et l'historique des incidents confirmés concernant le Service pour l'aider à réaliser une analyse d'impact relative à la protection des données lorsque l'article 35 du RGPD l'exige.
Suppression ou restitution
À la fin du contrat, Bonmoniq supprime ou restitue les données personnelles traitées pour le compte du Client selon les instructions documentées du Client.
Bonmoniq peut conserver certaines données lorsque le droit français ou le droit de l'Union européenne l'exige, notamment pour la preuve, la comptabilité, la sécurité ou la défense de droits en justice.
Audits
Bonmoniq met à disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 du RGPD.
Le Client peut demander un audit documentaire une fois par an, avec un préavis de 30 jours. Si l'audit documentaire ne permet pas de vérifier un point précis de l'article 28 du RGPD, un audit sur site peut être organisé sous accord de confidentialité, sans accès aux données d'autres clients, pendant les heures ouvrables et avec un périmètre limité au point non couvert.
Liste des sous-traitants ultérieurs
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| Cloudflare Inc. | Diffusion du site et de l'interface du Service, CDN, DNS, protection DDoS, sécurité réseau et cache edge | États-Unis, avec réseau edge mondial | Clauses contractuelles types, DPF lorsque certifié et garanties contractuelles applicables |
| Cloudflare Web Analytics | Mesure d'audience sans cookies et Core Web Vitals | États-Unis, avec réseau edge mondial | Analyses sans cookies remplissant les conditions d'exemption CNIL |
| Stripe Technology Europe Limited | Traitement des paiements lorsqu'activé | Irlande, UE (siège : 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2) | Sous-traitant UE, RGPD-natif |
| Qonto / Olinda SAS | Compte bancaire et services de paiement associés | France, UE | Établissement de paiement régulé par l'ACPR, RGPD-natif |
| Twilio Inc. | Provisionnement de numéros, routage voix et SMS pour les numéros américains et internationaux | États-Unis | Clauses contractuelles types et EU-US Data Privacy Framework |
| Sinch AB | Provisionnement de numéros, routage voix et SMS pour les numéros UE | Suède, UE | Sous-traitant UE, RGPD-natif |
| Telnyx LLC / Telnyx Ireland Limited | Provisionnement de numéros, routage voix et SMS | États-Unis et Irlande, UE | Clauses contractuelles types et EU-US Data Privacy Framework pour les traitements aux États-Unis |
L'agent vocal IA fonctionne sur l'infrastructure propre de Bonmoniq à l'aide des modèles de langage propres de Bonmoniq ; le contenu des conversations IA n'est communiqué à aucun sous-traitant d'IA tiers. Bonmoniq prévoit de proposer la messagerie WhatsApp Business ; cette fonctionnalité n'est pas encore active, et Meta Platforms Ireland Limited sera ajoutée à cette liste, avec transferts ultérieurs vers les États-Unis, avant son activation.
Transferts internationaux
Lorsque des données personnelles sont transférées hors Union européenne, Bonmoniq utilise les mécanismes prévus par les articles 44 à 49 du RGPD.
Les contenus de conversation IA client sont traités sur l'infrastructure propre de Bonmoniq au sein de l'Union européenne et ne sont transmis à aucun fournisseur d'IA tiers. La couche de téléphonie professionnelle (numéros, voix, SMS) repose sur un mélange d'opérateurs UE et américains selon le pays du numéro : la voix et les SMS des numéros UE sont routés via des opérateurs établis dans l'UE, tandis que les numéros américains et internationaux, ainsi que certaines métadonnées de routage, sont traités par des opérateurs américains sous les Clauses contractuelles types et, le cas échéant, l'EU-US Data Privacy Framework. Cloudflare reste utilisé pour la diffusion du site, le DNS et la protection edge. Bonmoniq est titulaire de l'identifiant de communications électroniques attribué par l'ARCEP (BNMQ).
| Destination | Mécanisme | Commentaire |
|---|---|---|
| États-Unis | Clauses contractuelles types, article 46 RGPD | Utilisées pour les prestataires non couverts par une décision d'adéquation applicable |
| États-Unis | EU-US Data Privacy Framework, article 45 RGPD | Utilisable lorsque le destinataire est certifié et figure sur la liste DPF |
| Autres pays tiers | SCC ou autre garantie valide | Évaluation avant activation du prestataire |
Bonmoniq ne présente pas cette architecture comme une indépendance totale vis-à-vis du droit américain. Les sous-traitants établis aux États-Unis, ou leurs sociétés mères américaines, peuvent être soumis à des législations américaines telles que le CLOUD Act, susceptibles d'imposer la communication de données qu'ils détiennent, quel que soit le lieu de stockage. Bonmoniq applique des mesures supplémentaires (minimisation des données, chiffrement en transit et au repos, routage UE pour les numéros UE et traitements d'IA auto-hébergés) en complément des mécanismes de transfert ci-dessus. Une analyse d'impact des transferts est tenue à jour et mise à disposition du Client sur demande.
Les Clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914) sont incorporées au présent DPA par référence : le module responsable de traitement vers sous-traitant entre le Client et Bonmoniq et, lorsque Bonmoniq recourt à un sous-traitant hors UE, le module pertinent de la chaîne de sous-traitance. Leurs Annexes sont complétées par les coordonnées des parties, la description des traitements du présent DPA, les mesures de sécurité du présent DPA et la liste des sous-traitants ci-dessus.
Responsabilité et indemnisation
Chaque partie est responsable des manquements qui lui sont imputables au regard du RGPD, de la loi Informatique et Libertés et du contrat.
Bonmoniq n'est pas responsable des traitements déterminés par le Client, des données importées par le Client, des instructions illicites du Client ou des traitements effectués par le Client en dehors du Service.
Toute limitation de responsabilité convenue dans les Conditions ou le contrat principal s'applique à la responsabilité contractuelle entre les parties au titre du présent DPA dans les limites autorisées par le droit français. Une telle limitation n'affecte pas la responsabilité de l'une ou l'autre partie envers les personnes concernées au titre de l'article 82 du RGPD, ni ne s'applique lorsqu'elle est interdite par la loi.
Durée et résiliation
Le présent DPA entre en vigueur à la date à laquelle le Client accepte les Conditions ou signe un contrat incluant le DPA. Il reste applicable pendant toute la durée des traitements effectués par Bonmoniq pour le compte du Client.
La résiliation du contrat principal entraîne la fin du DPA après suppression ou restitution des données, sauf obligations légales de conservation.
Contact
| Sujet | Contact |
|---|---|
| Questions contractuelles | legal@bonmoniq.fr |
| Données personnelles | privacy@bonmoniq.fr |
| Sécurité et incidents | security@bonmoniq.fr |
Droit applicable et juridiction compétente
Le présent DPA est régi par le droit français et le droit de l'Union européenne applicable à la protection des données personnelles.
Pour les litiges entre professionnels relatifs au présent DPA, compétence exclusive est attribuée au Tribunal de commerce de Paris, sous réserve des dispositions impératives contraires.
Date de mise à jour
Le présent DPA a été mis à jour le 21 juin 2026.
Dernière mise à jour: 21 juin 2026 Pour toute question concernant ce document, contactez-nous à legal@bonmoniq.fr.