Conformité RGPD

Mis à jour le 14 mai 2026

Le Règlement Général sur la Protection des Données (RGPD, règlement UE 2016/679) encadre le traitement des données personnelles en Europe. Cette page détaille les engagements concrets de Katalyz en matière de protection des données, en complément de notre politique de confidentialité.

1. Notre rôle : sous-traitant au sens de l'article 28 du RGPD

Dans le cadre du Service Katalyz, le Client est le responsable du traitement des données de ses Débiteurs. Katalyz agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Cette relation est encadrée par un accord de sous-traitance (DPA) intégré aux conditions générales ou signé séparément à la demande du Client.

2. Données traitées pour le compte du Client

Katalyz traite, pour le compte de ses Clients :

• Données d'identification des Débiteurs (raison sociale, contact, email, téléphone).
• Données relatives aux factures (montant, échéance, statut de paiement, références).
• Historique des interactions (emails envoyés, transcripts d'appels IA, accords de paiement, promesses, réponses du Débiteur).

Katalyz ne traite ces données qu'aux fins documentées par le Client : recouvrement de créances commerciales, gestion de la relation Débiteur, reporting au Client.

3. Sous-traitants ultérieurs

Katalyz fait appel à des sous-traitants ultérieurs pour fournir le Service. La liste à jour est tenue à disposition des Clients et inclut, à titre indicatif :

• Hébergement : Hetzner Online GmbH (Allemagne, UE).
• Modèles IA / LLM : [Anthropic — États-Unis ; OpenAI — États-Unis — à confirmer].
• Synthèse vocale et appels téléphoniques : [ElevenLabs, Vapi, Twilio — à confirmer].
• Envoi d'emails transactionnels : [Postmark / SendGrid — à confirmer].
• Envoi de SMS / WhatsApp : [Twilio — à confirmer].
• Outils internes : monitoring, logs, sauvegardes.

Toute modification de la liste des sous-traitants ultérieurs est notifiée au Client au moins 30 jours avant sa mise en œuvre, lui laissant la possibilité de s'y opposer.

4. Transferts internationaux

Certains sous-traitants (notamment fournisseurs d'IA) sont établis hors UE, principalement aux États-Unis. Ces transferts sont encadrés par les garanties prévues à l'article 46 du RGPD :

• Clauses contractuelles types (CCT) adoptées par la Commission européenne ;
• Adhésion au Data Privacy Framework (DPF) lorsque le sous-traitant y est éligible ;
• Mesures techniques supplémentaires (chiffrement, pseudonymisation lorsque possible).

5. Mesures de sécurité

Katalyz met en œuvre des mesures techniques et organisationnelles appropriées au regard du risque (article 32 RGPD) :

• Chiffrement TLS 1.2+ pour toutes les communications.
• Chiffrement des données au repos (AES-256).
• Contrôle d'accès basé sur le moindre privilège, authentification multifacteur pour les administrateurs.
• Sauvegardes chiffrées avec restauration testée régulièrement.
• Journaux d'audit, supervision de sécurité 24/7.
• Revue de code, dépendances surveillées, mises à jour de sécurité.
• Tests d'intrusion et revues de sécurité périodiques [fréquence à confirmer].
• Plan de continuité et de reprise d'activité (PCA/PRA).

6. Durée de conservation

Les données traitées pour le compte du Client sont conservées pendant la durée du contrat, puis pendant la durée nécessaire au respect des obligations légales (comptabilité, prescription civile et fiscale). Au-delà, elles sont supprimées ou anonymisées. Le Client peut demander la suppression anticipée à tout moment, sous réserve d'obligations légales contraires.

7. Droits des personnes concernées (Débiteurs)

Les Débiteurs disposent de l'ensemble des droits prévus par le RGPD (accès, rectification, effacement, opposition, limitation, portabilité). Ces demandes doivent en principe être adressées au Client, responsable du traitement. Katalyz, en sa qualité de sous-traitant, assiste le Client dans le traitement de ces demandes dans les délais légaux.

Lorsqu'un Débiteur s'adresse directement à Katalyz, sa demande est transmise au Client dans les meilleurs délais.

8. Notification de violation de données

En cas de violation de données personnelles (article 33 RGPD), Katalyz informe le Client sans délai injustifié et au plus tard dans les 72 heures suivant la détection, en communiquant toutes les informations utiles pour permettre au Client de notifier la CNIL et, le cas échéant, les personnes concernées.

9. Délégué à la protection des données (DPO)

Pour toute question relative à la protection des données, vous pouvez contacter notre référent data protection à l'adresse [dpo@katalyz.ai — à confirmer] ou, à défaut, contact@katalyz.ai.

10. Autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr

11. Pour aller plus loin

• Politique de confidentialité complète
• Mentions légales
• Conditions générales de service