1. Parties et roles
Pour les Customer Data captures par l’API de bot de reunion, le client est responsable du traitement et meetbot est sous-traitant. Pour les donnees de compte, facturation, prevention des abus et analytics produit, meetbot agit comme responsable independant selon la politique de confidentialite.
2. Instructions de traitement
meetbot traite les Customer Data uniquement pour rejoindre les reunions designees, capturer les medias et metadonnees demandes, envoyer les sorties vers le stockage configure, livrer les webhooks signes, fournir le support, securiser le service et respecter les obligations legales.
3. Mesures de securite
La production fonctionne par defaut chez Hetzner Falkenstein, les secrets restent hors du code source, les jetons API sont haches, les webhooks sont signes en HMAC-SHA256, l’acces admin est limite a des operateurs nommes et Sentry utilise la region UE avec nettoyage PII.
5. Transferts internationaux
Le bot et le plan de controle restent par defaut dans l’EEE. Lorsqu’un sous-traitant a une societe mere ou un chemin de traitement aux Etats-Unis, meetbot s’appuie sur les Clauses Contractuelles Types de la Commission europeenne et une analyse d’impact complementaire.
6. Incidents de securite
meetbot notifie les clients affectes sans delai indu apres confirmation d’une violation de donnees personnelles impliquant des Customer Data, avec le perimetre connu, les mesures correctives et les details de suivi.
7. Demandes des personnes concernees
Si une personne contacte meetbot au sujet de Customer Data, nous redirigeons la demande vers le client lorsque la loi le permet. Nous fournissons une aide raisonnable pour acces, export, correction, limitation, opposition et effacement.
8. Restitution et effacement
Les sorties de reunion sont ecrites dans le bucket controle par le client. Le stockage temporaire du bot est supprime par defaut apres upload. L’effacement de compte est disponible dans le dashboard et via DELETE /api/v1/consumers/me; les factures legalement requises sont conservees.
9. Support d’audit
Avant SOC 2, meetbot fournit documentation de securite, details des sous-traitants, notes d’architecture et reponses ecrites raisonnables aux questions d’audit sous NDA ou confidentialite equivalente.
10. Signature et contact
Pour signer ce DPA, demander des redlines ou l’attacher a une commande enterprise, ecrivez a legal@meetbot.dev depuis une adresse proprietaire du compte. Confidentialite: privacy@meetbot.dev.
4. Sous-traitants
La liste ci-dessous est l’annexe operationnelle des sous-traitants. Nous prevenons les titulaires de compte au moins 30 jours avant l’ajout d’un sous-traitant modifiant materiellement le traitement des Customer Data.
| sous-traitant | finalite | juridiction |
|---|---|---|
| Hetzner Online GmbH | Primary hosting (compute, Postgres, optional storage) | Germany |
| Stripe Payments Europe Ltd / Stripe Inc. | Payments, invoicing, customer-portal billing | Ireland (EU entity) + United States (parent) — SCCs in DPA |
| Cloudflare, Inc. | CDN, TLS termination, inbound email worker | United States — SCCs in DPA |
| Functional Software Inc. (Sentry) | Error tracking | Sentry EU region (Frankfurt, DE) selected; parent US — SCCs in DPA |
| PostHog Inc. (planned) | Product analytics on the marketing site (not live yet) | PostHog EU region (Frankfurt, DE); parent US — SCCs in DPA |
| Anthropic PBC | LLM inference for sample apps that use Claude (e.g. action-items-bot) | United States — SCCs in DPA; BAA path TBD; we do not route customer recordings to Anthropic for our own product |