1. Préambule
Le présent Data Processing Addendum (« DPA ») fait partie intégrante du contrat entre Luscia SAS (« le Sous-traitant ») et le Client (« le Responsable de traitement ») utilisant la plateforme Luscia (« le Service »).
Ce DPA encadre le traitement de données personnelles effectué par Luscia pour le compte du Client, conformément à l'article 28 du Règlement Général sur la Protection des Données (« RGPD »).
📥 Signer le DPA : rendez-vous dans votre dashboard → Paramètres → Légal → DPA. La signature est gratuite et en self-serve.
2. Nature et finalité du traitement
- Nature : hébergement, transmission, organisation, structuration, analyse automatisée (via IA), restitution
- Finalité : permettre au Client d'automatiser ses tâches métier via les agents IA Luscia
- Durée : pendant toute la durée du contrat + 30 jours (purge progressive ensuite)
3. Catégories de données traitées
Selon les agents activés par le Client :
- Tim, Sam : emails et coordonnées professionnelles
- Aria : enregistrements et transcriptions d'appels (consentement préalable des interlocuteurs requis)
- Léo : factures, RIB, données comptables
- Nova, Vivi : contenus textuels, posts, articles
- Milo, Tom : conversations clients, données de livraison
- Théo : KPI agrégés depuis vos outils
4. Personnes concernées
Clients du Responsable de traitement, prospects, employés, fournisseurs du Responsable de traitement.
5. Sous-traitants ultérieurs (sub-processors)
Luscia s'appuie sur les sous-traitants suivants pour fournir le Service. La liste est publique et mise à jour à chaque changement (notification email 30 jours à l'avance) :
- OVH SAS (France, Roubaix + Strasbourg) — hébergement
- Anthropic PBC (UE via Anthropic EU) — modèles IA Claude (politique zero-retention activée)
- OpenAI Ireland Ltd (UE) — embeddings (politique zero-retention activée)
- Stripe Payments Europe Ltd (Irlande) — paiements
- Resend Inc (USA, transferts encadrés par DPF) — envoi d'emails transactionnels
- Twilio Ireland Ltd (Irlande) — téléphonie (Aria)
6. Mesures de sécurité
- Chiffrement AES-256 au repos (toutes les bases de données)
- Chiffrement TLS 1.3 en transit (toutes les communications)
- Authentification 2FA TOTP disponible pour tous les comptes
- Cloisonnement multi-tenant strict (row-level security)
- Logs d'audit horodatés et conservés 1 an
- Sauvegardes chiffrées automatiques toutes les 6 heures
- Tests de pénétration annuels par tiers indépendant
- Audit SOC2 type II en cours
7. Droits des personnes concernées
Luscia assiste le Client dans l'exécution des droits RGPD (accès, rectification, effacement, portabilité, opposition). Demande à adresser à dpo@luscia.fr. Délai de traitement : 30 jours maximum.
8. Notification en cas de violation
Luscia s'engage à notifier le Client de toute violation de données personnelles sans délai injustifié et au plus tard 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.
9. Fin du contrat
À la fin du contrat, le Client dispose de 90 jours pour exporter ses données (CSV, JSON, PDF) depuis son dashboard. Au-delà, les données sont supprimées de tous nos systèmes (y compris backups) sous 30 jours, avec attestation écrite sur demande.
10. Audit
Le Client peut, à ses frais et sous préavis raisonnable de 30 jours, demander un audit de conformité une fois par an. Luscia peut substituer cet audit par la fourniture du rapport SOC2 type II le plus récent.
11. Contact DPO
Pour toute question relative au DPA ou au traitement de vos données : dpo@luscia.fr