Entre les soussignés
Mathieu Lamrani, entrepreneur individuel, immatriculé sous le SIREN 992617142, dont le siège est situé 60 rue François 1er, 75008 Paris, France, ci-après désigné le « Sous-Traitant » ou « Lizi »,
ET
L'entreprise cliente identifiée lors de la souscription au service Lizi, ci-après désignée le « Responsable de Traitement » ou « le Client ».
Préambule
Le Client a souscrit au service Lizi, assistant intelligent pour la gestion des emails, du calendrier et des réunions professionnels. Dans le cadre de cette prestation, le Sous-Traitant est amené à traiter, pour le compte et sous l'autorité du Client, des données à caractère personnel présentes dans la boîte de messagerie, le calendrier et les outils Google du Client.
Le présent DPA fait partie intégrante des CGU/CGV. En cas de contradiction, le DPA prévaut sur les questions de protection des données.
Article 1 — Définitions
Les termes employés ont le sens que leur donne le RGPD.
Article 2 — Objet, nature et finalité du traitement
2.1 Objet
Le Sous-Traitant traite les Données pour le compte du Client dans le cadre de l'exécution du service Lizi.
2.2 Nature du traitement
- Accès aux emails, événements de calendrier, tâches et notes via les API Google après autorisation OAuth 2.0
- Analyse par IA du contenu des emails (triage, classification, résumés, brouillons)
- Préparation et enrichissement de réunions
- Stockage temporaire de résumés générés par l'IA (durée maximale : 7 jours)
- Transmission de contenu d'emails à l'API Claude (Anthropic) à la demande du Client
2.3 Finalités
Les Données ne sont traitées que pour les finalités suivantes :
- Exécution du service souscrit
- Support utilisateur
- Sécurité et prévention de la fraude
- Respect des obligations légales
2.4 Engagement spécifique : pas d'envoi automatique
Le Sous-Traitant ne procède à aucune action sortante sans validation explicite du Client.
Article 3 — Catégories de données et de personnes concernées
3.1 Catégories de données traitées
- Identité et coordonnées : nom, prénom, adresse email, téléphone le cas échéant
- Données professionnelles : poste, employeur, signature email
- Contenu de communications : objet et corps des emails, événements de calendrier, notes, tâches
- Métadonnées : dates, expéditeurs, destinataires, fils de discussion
- Données de connexion et techniques : tokens OAuth chiffrés, logs d'usage
- Données de facturation (Client uniquement)
3.2 Catégories de personnes concernées
- Les utilisateurs professionnels du Client ayant un compte Lizi
- Les correspondants présents dans les emails et calendriers
- Les participants aux réunions traitées par le service
3.3 Absence de données sensibles
Le service Lizi n'est pas destiné au traitement de catégories particulières de données au sens de l'article 9 du RGPD.
Article 4 — Durée
Le DPA prend effet à la date d'acceptation lors de la souscription et demeure en vigueur tant que le Sous-Traitant traite des Données pour le compte du Client.
Article 5 — Obligations du Sous-Traitant
5.1 Traiter les Données uniquement sur instructions documentées du Client.
5.2 S'assurer que toute personne autorisée respecte la confidentialité. À ce jour, seul Mathieu Lamrani a accès aux Données.
5.3 Mettre en œuvre les mesures de sécurité décrites en Annexe 1.
5.4 Recourir à des Sous-Traitants Ultérieurs uniquement dans les conditions définies à l'article 6.
5.5 Aider le Client à donner suite aux demandes d'exercice des droits des personnes concernées.
5.6 Aider le Client à se conformer aux obligations des articles 32 à 36 du RGPD.
5.7 À la fin de la prestation, supprimer ou restituer toutes les Données.
5.8 Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations.
5.9 Tenir un registre des activités de traitement conformément à l'article 30(2) du RGPD.
Article 6 — Sous-Traitants Ultérieurs
6.1 Le Client autorise expressément le recours aux Sous-Traitants Ultérieurs listés en Annexe 2.
6.2 Le Sous-Traitant impose les mêmes obligations de protection des données à chaque Sous-Traitant Ultérieur.
6.3 En cas d'ajout ou remplacement d'un Sous-Traitant Ultérieur, le Client est informé avec un préavis de 30 jours et peut émettre une objection légitime.
Article 7 — Transferts hors Union Européenne
7.1 Les Données principales sont hébergées en France sur AWS Paris (eu-west-3) via Supabase.
7.2 Transferts encadrés par :
- Data Privacy Framework (DPF) pour Anthropic et Google
- Clauses Contractuelles Types (CCT) pour les autres transferts
Article 8 — Sécurité des données
Les mesures de sécurité sont décrites en Annexe 1.
Article 9 — Notification de violation de données
9.1 Notification au Client sans délai injustifié et au plus tard dans les 72 heures.
9.2 La notification comprend : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises.
Article 10 — Droits des personnes concernées
Le Sous-Traitant transmet sans délai au Client toute demande exercée directement par une personne concernée.
Article 11 — Suppression ou restitution des données
À la cessation des relations, et au choix du Client dans un délai de 30 jours :
- Restitution des Données sous forme structurée (JSON ou équivalent)
- Suppression définitive de l'ensemble des Données
À défaut d'instruction dans 30 jours → suppression automatique (sauf données de facturation conservées 10 ans et logs techniques conservés 1 an).
Article 12 — Audit
Droit d'audit raisonnable une fois par an maximum, avec préavis de 30 jours, pendant les heures ouvrées. Coûts à la charge du Client sauf manquement substantiel du Sous-Traitant.
Article 13 — Point de contact RGPD
Mathieu Lamrani — Référent RGPD
60 rue François 1er, 75008 Paris
Email : contact@lizi-ai.com
Article 14 — Responsabilité
Chaque Partie assume la responsabilité des manquements qui lui sont imputables. Responsabilité du Sous-Traitant plafonnée aux mêmes conditions que les CGU/CGV (12 mois de redevance), sauf faute lourde ou dol.
Article 15 — Modifications du DPA
Toute modification substantielle notifiée avec un préavis de 30 jours.
Article 16 — Droit applicable et juridiction
Droit français et RGPD. Tribunal de Commerce de Paris compétent exclusivement.
Annexe 1 — Mesures de sécurité techniques et organisationnelles
1. Confidentialité
- Authentification exclusivement via Google OAuth 2.0
- Chiffrement au repos des tokens : AES-256-GCM
- Chiffrement en transit : TLS 1.2+
- Contrôle d'accès : seul Mathieu Lamrani dispose d'un accès aux Données
- Politique de moindre privilège
2. Intégrité
- Hébergement base de données en France (AWS Paris, eu-west-3) via Supabase
- Sauvegardes chiffrées quotidiennes
- Journalisation des accès et modifications
3. Disponibilité
- Infrastructure cloud redondante (Vercel + Supabase)
- Objectif d'uptime : 99% par mois calendaire
4. Résilience
- Mises à jour de sécurité appliquées sans délai
- Suppression automatique des résumés IA après 7 jours
5. Mesures organisationnelles
- Procédure documentée de notification d'incident
- Registre des activités de traitement tenu à jour
6. Engagement spécifique
Aucune action sortante sans validation explicite de l'utilisateur.
Annexe 2 — Liste des Sous-Traitants Ultérieurs
| Sous-Traitant | Siège | Hébergement effectif | Rôle | Garanties transfert hors UE |
|---|---|---|---|---|
| Supabase Inc. | États-Unis | AWS Paris, France (eu-west-3) | Base de données, authentification | CCT |
| Anthropic, PBC | États-Unis | États-Unis | API Claude — analyse IA | DPF + CCT. Vos données restent les vôtres — jamais réutilisées. Conservation 30 jours max |
| Google LLC | États-Unis | Centres Google (UE et hors-UE) | API Gmail, Calendar, Tasks | DPF |
| Stripe Payments Europe Ltd. (à partir du 01/11/2026) | Irlande | Union Européenne | Paiement et facturation | CCT |
| Vercel Inc. | États-Unis | Régions Vercel (incl. UE) | Hébergement application web | CCT |
Annexe 3 — Détail du traitement
| Objet | Fourniture d'un assistant IA pour la gestion des emails, du calendrier et des réunions |
| Durée | Durée de l'abonnement + 30 jours |
| Nature | Lecture, analyse IA, génération de contenus, stockage temporaire |
| Finalités | Exécution du service souscrit exclusivement |
| Catégories de Données | Identité, données professionnelles, contenu emails, événements calendrier, notes, tâches, données techniques, facturation |
| Personnes concernées | Utilisateurs professionnels du Client, leurs correspondants, participants aux réunions |
| Données sensibles (art. 9) | Non |
| Décisions automatisées (art. 22) | Triage IA des emails (suggestion uniquement, sans effet juridique) |
| Transferts hors UE | Oui, encadrés par DPF et/ou CCT |
Annexe 4 — Procédures de gestion des demandes
Demande d'exercice de droit RGPD
- La personne concernée s'adresse en priorité au Client
- Si elle s'adresse directement au Sous-Traitant → transmission immédiate au Client via contact@lizi-ai.com
- Le Sous-Traitant fournit l'assistance technique dans un délai raisonnable
Notification de violation de données
- Détection → analyse de qualification RGPD
- Si violation qualifiée → notification au Client via contact@lizi-ai.com < 72h
- Contenu : nature, périmètre, conséquences, mesures
- Suivi jusqu'à clôture
Demande de suppression / portabilité à la résiliation
- Demande du Client via contact@lizi-ai.com
- Export ou suppression sous 30 jours maximum
- Confirmation écrite des opérations effectuées
Signature
L'acceptation des CGU/CGV lors de la souscription vaut acceptation expresse du présent DPA. Aucune signature manuscrite ou électronique additionnelle n'est requise.
Pour le Sous-Traitant : Mathieu Lamrani, Entrepreneur Individuel, SIREN 992617142
Pour le Responsable de Traitement : Le Client identifié dans son espace personnel Lizi, par acceptation des CGU/CGV.