RCC (FR)

CallOnAlarm — Engagement de Conformité Réglementaire

Version 1.0 — Février 2026

1. Introduction

CallOnAlarm est une plateforme de notification d'alertes qui permet à ses clients de recevoir des appels téléphoniques automatisés lorsqu'un événement est détecté. Ces événements peuvent provenir de dispositifs physiques (capteurs, équipements connectés, centrales de sécurité) ou être déclenchés via notre API par des applications tierces.

Notre service implique le traitement de données personnelles (numéros de téléphone, noms des contacts d'urgence) et l'émission d'appels téléphoniques automatisés. Ces activités sont soumises à des réglementations strictes que nous nous engageons à respecter scrupuleusement.

Ce document détaille les mesures que nous avons mises en place pour garantir la conformité de notre service avec les réglementations applicables en matière de protection des données personnelles et de communications électroniques.

Note concernant l'Amérique du Nord : À la date de publication de ce document, CallOnAlarm est disponible uniquement en Europe. Les sections relatives aux États-Unis et au Canada (TCPA, CCPA, LPRPDE, LCAP, etc.) décrivent les mesures que nous mettrons en œuvre dès l'ouverture du service dans ces régions. Nous avons fait le choix d'anticiper ces exigences réglementaires afin de garantir une conformité totale dès le premier jour de disponibilité sur ces marchés.

2. Notre engagement

CallOnAlarm s'engage à :

• Respecter la vie privée de tous les individus dont les données sont traitées par notre plateforme

• Obtenir et documenter le consentement de chaque personne avant tout appel téléphonique

• Protéger les données personnelles par des mesures techniques et organisationnelles appropriées

• Garantir la transparence sur nos pratiques de traitement des données

• Faciliter l'exercice des droits des personnes concernées

• Coopérer avec les autorités de contrôle compétentes

• Maintenir une relation de confiance avec nos partenaires technologiques

3. Conformité en Europe

3.1 Règlement Général sur la Protection des Données (RGPD)

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) constitue le cadre juridique principal applicable à notre activité au sein de l'Union européenne.

3.1.1 Base légale du traitement

Conformément à l'article 6 du RGPD, tout traitement de données personnelles doit reposer sur une base légale. CallOnAlarm fonde ses traitements sur :

a) Le consentement explicite (Article 6.1.a)

Pour les contacts d'urgence désignés par nos clients, nous obtenons un consentement explicite, libre, spécifique, éclairé et univoque par le biais de notre système de vérification téléphonique.

« Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. » — Considérant 32 du RGPD

b) L'exécution d'un contrat (Article 6.1.b)

Pour nos clients directs, le traitement est nécessaire à l'exécution du contrat de service qu'ils ont souscrit.

c) L'intérêt légitime (Article 6.1.f)

Dans certains cas limités (sécurité du système, prévention de la fraude), nous pouvons invoquer notre intérêt légitime, après avoir réalisé une analyse d'impact appropriée.

3.1.2 Principes fondamentaux respectés

3.1.3 Droits des personnes concernées

Nous garantissons l'exercice effectif des droits prévus aux articles 15 à 22 du RGPD :

• Droit d'accès (Art. 15)

• Droit de rectification (Art. 16)

• Droit à l'effacement (Art. 17)

• Droit à la limitation du traitement (Art. 18)

• Droit à la portabilité (Art. 20)

• Droit d'opposition (Art. 21)

Le détail de ces droits et les modalités d'exercice sont présentés à la section 8.

3.1.4 Transferts internationaux

Conformément au Chapitre V du RGPD, tout transfert de données vers un pays tiers est encadré par des garanties appropriées :

• Nos serveurs principaux sont hébergés au sein de l'Union européenne (Hetzner, Allemagne)

• Les transferts vers les États-Unis (Twilio) sont encadrés par le EU-US Data Privacy Framework et les Clauses Contractuelles Types de la Commission européenne

• Aucun transfert n'est effectué vers des pays ne présentant pas un niveau de protection adéquat sans garanties appropriées

3.2 Directive ePrivacy

La Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (Directive ePrivacy) encadre spécifiquement les communications électroniques.

3.2.1 Communications non sollicitées (Article 13)

L'article 13 de la Directive ePrivacy dispose que :

« L'utilisation de systèmes automatisés d'appel et de communication sans intervention humaine (automates d'appel), de télécopieurs ou de courrier électronique à des fins de prospection directe ne peut être autorisée que si elle vise des abonnés ou des utilisateurs ayant donné leur consentement préalable. »

Notre conformité :

CallOnAlarm n'effectue aucune prospection commerciale. Nos appels automatisés sont exclusivement destinés à :

• Vérifier le consentement des contacts d'urgence (appel unique de validation)

• Notifier des alertes de sécurité aux contacts ayant préalablement consenti

Ces finalités sont expressément autorisées car :

• Elles reposent sur un consentement explicite préalable

• Elles servent un intérêt légitime de sécurité des personnes et des biens

• Elles ne constituent pas de la prospection commerciale

3.3 Réglementations nationales

3.3.1 France

Loi Informatique et Libertés (Loi n° 78-17 du 6 janvier 1978 modifiée)

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité de contrôle compétente. Nous respectons les recommandations de la CNIL concernant :

• La durée de conservation des données

• Les modalités de recueil du consentement

• L'information des personnes concernées

Code des postes et des communications électroniques

L'article L. 34-5 encadre la prospection directe par automate d'appel. Nos appels de notification de sécurité ne relèvent pas de cette catégorie car ils ne poursuivent aucune finalité commerciale.

3.3.2 Allemagne

Bundesdatenschutzgesetz (BDSG)

La loi fédérale allemande sur la protection des données complète le RGPD. Nous respectons les exigences spécifiques du BDSG, notamment concernant :

• La désignation d'un délégué à la protection des données

• Les obligations renforcées de documentation

Gesetz gegen den unlauteren Wettbewerb (UWG)

La section 7 de l'UWG interdit le harcèlement par communications électroniques. Nos appels de sécurité, basés sur un consentement explicite et limités aux situations d'urgence, respectent ce cadre.

3.3.3 Autres États membres

Nous adaptons nos pratiques aux spécificités réglementaires de chaque État membre où nous opérons, en consultant les recommandations des autorités de contrôle locales (AEPD en Espagne, Garante en Italie, ICO au Royaume-Uni, etc.).

4. Conformité en Amérique du Nord

4.1 États-Unis — TCPA

Le Telephone Consumer Protection Act (TCPA) de 1991, codifié au 47 U.S.C. § 227, constitue la principale réglementation fédérale américaine encadrant les appels téléphoniques automatisés.

4.1.1 Exigences du TCPA

Le TCPA interdit, sauf exceptions, les appels effectués à l'aide d'un « automatic telephone dialing system » (ATDS) ou utilisant une voix préenregistrée, sans le consentement préalable exprès du destinataire.

« It shall be unlawful for any person within the United States [...] to make any call (other than a call made for emergency purposes or made with the prior express consent of the called party) using any automatic telephone dialing system or an artificial or prerecorded voice. » — 47 U.S.C. § 227(b)(1)(A)

4.1.2 Notre conformité TCPA

a) Consentement préalable exprès écrit (Prior Express Written Consent)

Pour tout appel vers un numéro américain, nous exigerons :

• Un consentement écrit ou électronique documenté

• Une divulgation claire que des appels automatisés seront effectués

• La possibilité de révoquer le consentement à tout moment

b) Registre Do Not Call

Nous respecterons le National Do Not Call Registry géré par la Federal Trade Commission (FTC) et maintiendrons notre propre liste interne d'exclusion.

c) Identification de l'appelant

Conformément aux règles de la FCC, tous nos appels afficheront un numéro de rappel valide permettant d'identifier CallOnAlarm.

d) Heures d'appel

Bien que nos appels d'alerte de sécurité puissent par nature survenir à toute heure (situation d'urgence), les appels de vérification de consentement seront effectués uniquement entre 8h00 et 21h00, heure locale du destinataire.

4.1.3 Exception pour les appels d'urgence

Le TCPA prévoit une exception pour les « emergency purposes ». Nos appels de notification d'alerte de sécurité peuvent relever de cette exception lorsqu'ils concernent une menace imminente pour la sécurité des personnes ou des biens. Néanmoins, nous maintenons notre exigence de consentement préalable pour garantir la meilleure protection juridique.

4.2 États-Unis — Réglementations des États

Plusieurs États américains ont adopté des réglementations complémentaires au TCPA :

4.2.1 California Consumer Privacy Act (CCPA)

Le CCPA (Cal. Civ. Code §§ 1798.100-1798.199) accorde aux résidents californiens des droits étendus sur leurs données personnelles :

• Droit de savoir quelles données sont collectées

• Droit de supprimer les données personnelles

• Droit de refuser la vente des données personnelles

• Droit à la non-discrimination

Notre engagement : CallOnAlarm ne vend aucune donnée personnelle et garantit l'exercice de tous les droits prévus par le CCPA.

4.2.2 Autres États

Nous surveillons l'évolution réglementaire dans les États ayant adopté ou envisageant des lois sur la protection des données :

• Virginia Consumer Data Protection Act (VCDPA)

• Colorado Privacy Act (CPA)

• Connecticut Data Privacy Act (CTDPA)

• Utah Consumer Privacy Act (UCPA)

4.3 Canada — LPRPDE et LCAP

4.3.1 Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

La LPRPDE (PIPEDA en anglais) établit les règles de collecte, d'utilisation et de communication des renseignements personnels dans le cadre d'activités commerciales au Canada.

Principes de la LPRPDE que nous respectons :

1. Responsabilité — Désignation d'un responsable de la conformité

2. Détermination des fins — Finalités clairement définies

3. Consentement — Consentement éclairé obtenu

4. Limitation de la collecte — Collecte limitée au nécessaire

5. Limitation de l'utilisation — Utilisation conforme aux fins déclarées

6. Exactitude — Données maintenues à jour

7. Mesures de sécurité — Protection appropriée des données

8. Transparence — Politiques accessibles au public

9. Accès aux renseignements — Droit d'accès garanti

10. Possibilité de porter plainte — Mécanisme de réclamation en place

4.3.2 Loi canadienne anti-pourriel (LCAP)

La LCAP (CASL en anglais) encadre l'envoi de messages électroniques commerciaux. Bien que nos communications ne soient pas de nature commerciale, nous appliquons par analogie les principes de consentement exprès de la LCAP.

4.3.3 Liste nationale de numéros de télécommunication exclus (LNNTE)

Le CRTC (Conseil de la radiodiffusion et des télécommunications canadiennes) gère la LNNTE. Nous respecterons cette liste pour tout appel vers le Canada.

5. Système de vérification du consentement

5.1 Principe fondamental

CallOnAlarm a développé un système innovant de vérification du consentement par appel téléphonique qui garantit que chaque contact d'urgence a expressément accepté de recevoir des appels de notre plateforme.

Ce système répond à une double exigence :

• Juridique : documenter un consentement explicite, libre, spécifique et éclairé

• Éthique : s'assurer que personne ne reçoit d'appels non désirés

5.2 Fonctionnement du système

5.3 Droit de retrait du consentement

Conformément à l'article 7.3 du RGPD :

« La personne concernée a le droit de retirer son consentement à tout moment. [...] Il est aussi simple de retirer que de donner son consentement. »

Nous garantissons ce droit de plusieurs manières :

a) Pendant un appel d'alerte

À chaque appel d'alerte, le contact peut appuyer sur la touche 9 pour se désabonner immédiatement. Un message confirme la prise en compte de sa demande et aucun appel ne lui sera plus passé.

b) Via notre client

Le contact peut demander au client (titulaire de la connexion) de le retirer de la liste des contacts d'urgence.

c) Contact direct

Le contact peut nous contacter directement à [email protected] pour demander son retrait.

5.4 Protection contre les abus

Mécanisme de blacklist

Si un même numéro de téléphone refuse la vérification (touche 9) sur deux connexions différentes, ce numéro est automatiquement ajouté à une liste noire globale pour ce client.

Ce mécanisme prévient :

• Le harcèlement d'une personne qui a clairement exprimé son refus

• Les tentatives répétées d'ajout non consenti

Limitation des tentatives

• Un délai minimum d'une heure est imposé entre deux tentatives de vérification pour un même contact

• Chaque tentative consomme des crédits, décourageant les abus

6. Mesures techniques et organisationnelles

6.1 Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.

6.1.1 Chiffrement

6.1.2 Contrôle d'accès

• Authentification forte pour tous les accès administratifs

• Principe du moindre privilège appliqué

• Journalisation de tous les accès aux données personnelles

• Revue périodique des droits d'accès

6.1.3 Infrastructure

• Hébergement au sein de l'Union européenne (Hetzner, Allemagne)

• Architecture haute disponibilité avec redondance

• Sauvegardes chiffrées quotidiennes

• Plan de reprise d'activité documenté et testé

6.1.4 Surveillance et détection

• Monitoring 24/7 de l'infrastructure

• Détection d'intrusion et alertes automatisées

• Analyse des logs de sécurité

• Tests de pénétration annuels

6.2 Protection contre la fraude

6.2.1 Validation des numéros de téléphone

• Vérification du format (numéros européens uniquement pour l'instant)

• Détection des numéros surtaxés (interdits)

• Validation par appel effectif

6.2.2 Limitation du débit

• Nombre maximum d'appels par connexion et par jour

• Détection des comportements anormaux

• Suspension automatique en cas d'abus détecté

6.2.3 Traçabilité

Chaque appel est tracé avec :

• Identifiant unique

• Horodatage précis

• Numéro appelé

• Résultat de l'appel

• Actions effectuées (DTMF)

Ces journaux sont conservés conformément à nos obligations légales et permettent de répondre à toute demande d'audit ou de vérification.

6.3 Confidentialité par conception (Privacy by Design)

Conformément à l'article 25 du RGPD, nous intégrons la protection des données dès la conception de nos systèmes :

• Minimisation : seules les données strictement nécessaires sont collectées

• Pseudonymisation : utilisation d'identifiants internes plutôt que de données directement identifiantes

• Paramètres par défaut protecteurs : les options les plus protectrices sont activées par défaut

• Séparation des données : isolation des données entre clients

7. Partenariat avec Twilio

7.1 Notre partenaire technologique

CallOnAlarm utilise les services de Twilio Inc. pour l'émission des appels téléphoniques. Twilio est un leader mondial des communications cloud, reconnu pour sa fiabilité et sa conformité réglementaire.

Nous attachons une importance capitale à notre relation avec Twilio et nous engageons à respecter scrupuleusement leurs conditions d'utilisation et leurs politiques d'usage acceptable.

7.2 Politique d'utilisation acceptable de Twilio

Twilio maintient une Acceptable Use Policy (AUP) stricte que nous respectons intégralement. Cette politique interdit notamment :

• Les appels non sollicités (spam vocal)

• Le harcèlement téléphonique

• L'usurpation d'identité de l'appelant (caller ID spoofing)

• Les appels vers des numéros ayant demandé à ne plus être contactés

• Toute utilisation illégale des services

7.3 Nos engagements envers Twilio

7.3.1 Consentement documenté

Nous ne passons jamais d'appel d'alerte via Twilio sans disposer d'un consentement explicite et documenté du destinataire.

Le seul appel effectué sans consentement préalable du destinataire est l'appel unique de vérification, dont la finalité est précisément d'obtenir ce consentement. Cet appel :

• Est initié uniquement après que notre client a attesté avoir personnellement informé le contact

• A pour seul objectif de recueillir l'accord ou le refus du destinataire

• Respecte le choix du destinataire : s'il refuse (touche 9) ou ne répond pas, aucun autre appel ne lui sera passé sans nouvelle démarche explicite

• Est conforme aux exceptions prévues par les réglementations pour les appels visant à obtenir un consentement

7.3.2 Respect des demandes d'exclusion

Lorsqu'un destinataire demande à ne plus être contacté (touche 9 ou demande directe), nous :

1. Cessons immédiatement tout appel vers ce numéro

2. Enregistrons cette demande dans notre système

3. Empêchons toute tentative future de contact

7.3.3 Identification de l'appelant

Tous nos appels affichent un numéro de téléphone valide et identifiable, permettant au destinataire de :

• Identifier l'origine de l'appel

• Nous recontacter si nécessaire

• Porter réclamation le cas échéant

7.3.4 Qualité du contenu

Le contenu des messages vocaux diffusés lors des appels relève de la responsabilité de nos clients. En effet, notre plateforme permet aux titulaires de connexion de personnaliser :

• Le préfixe d'appel (message d'introduction)

• Le message d'alerte diffusé lors des notifications

CallOnAlarm fournit des messages par défaut conformes à nos exigences de qualité. Toutefois, lorsque le client choisit de personnaliser ces éléments, il devient responsable de s'assurer que le contenu est :

• Clair et compréhensible

• Exempt de tout contenu trompeur, diffamatoire ou malveillant

• Conforme aux lois et réglementations applicables

• Respectueux des droits des tiers

Nos conditions générales d'utilisation rappellent cette responsabilité. Nous nous réservons le droit de suspendre tout compte utilisant des messages non conformes à notre politique d'utilisation acceptable.

7.3.5 Volume d'appels maîtrisé

Nous contrôlons strictement le volume d'appels pour éviter tout comportement pouvant s'apparenter à du spam :

• Appels de vérification : maximum 1 par contact et par heure

• Appels d'alerte : uniquement en cas d'événement de sécurité réel

• Aucun appel à des fins commerciales ou promotionnelles

7.4 Conformité Twilio — Trust Hub

Twilio a mis en place le programme Trust Hub pour vérifier l'identité et les cas d'usage de ses clients. CallOnAlarm participe pleinement à ce programme :

• Vérification d'identité : notre entreprise est dûment enregistrée et vérifiée

• Cas d'usage déclaré : notifications d'alerte de sécurité avec consentement

• Numéros enregistrés : tous nos numéros sont enregistrés conformément aux exigences

7.5 A2P 10DLC (États-Unis)

Pour les appels et SMS vers les États-Unis, nous nous conformerons au programme A2P 10DLC (Application-to-Person 10-Digit Long Code) qui exige :

• L'enregistrement de notre marque auprès de The Campaign Registry

• La déclaration de nos campagnes de messagerie

• Le respect des règles de débit imposées par les opérateurs

7.6 Engagement de transparence

En cas de demande de Twilio concernant nos pratiques, nous nous engageons à :

• Répondre dans les meilleurs délais

• Fournir toute documentation demandée

• Coopérer pleinement à toute enquête

• Prendre les mesures correctives nécessaires

8. Droits des personnes concernées

8.1 Droit d'accès

Toute personne dont nous traitons les données peut demander :

• La confirmation que des données la concernant sont traitées

• L'accès à ces données

• Les informations sur les finalités, catégories de données, destinataires, durée de conservation

Délai de réponse : 30 jours maximum

8.2 Droit de rectification

Toute personne peut demander la correction de données inexactes ou incomplètes la concernant.

Délai de réponse : 30 jours maximum

8.3 Droit à l'effacement

Toute personne peut demander l'effacement de ses données dans les cas prévus par l'article 17 du RGPD, notamment :

• Retrait du consentement

• Données plus nécessaires aux finalités

• Opposition au traitement

Exceptions : nous pouvons conserver certaines données pour respecter nos obligations légales ou pour la constatation, l'exercice ou la défense de droits en justice.

8.4 Droit à la limitation

Toute personne peut demander la limitation du traitement dans les cas prévus par l'article 18 du RGPD.

8.5 Droit à la portabilité

Toute personne peut demander à recevoir ses données dans un format structuré, couramment utilisé et lisible par machine.

8.6 Droit d'opposition

Toute personne peut s'opposer au traitement de ses données. Pour les contacts d'urgence, ce droit s'exerce simplement en appuyant sur la touche 9 lors d'un appel ou en nous contactant directement.

8.7 Exercice des droits

Pour exercer ces droits, contactez-nous :

Email : [email protected]

Nous pouvons demander des informations supplémentaires pour vérifier l'identité du demandeur.

9. Conservation des données

9.1 Durées de conservation

9.2 Suppression des données

À l'expiration des durées de conservation, les données sont :

• Supprimées de manière sécurisée, ou

• Anonymisées de manière irréversible pour des fins statistiques

10. Audit et transparence

10.1 Registre des activités de traitement

Conformément à l'article 30 du RGPD, nous tenons un registre des activités de traitement documentant :

• Les finalités du traitement

• Les catégories de personnes concernées et de données

• Les destinataires des données

• Les transferts vers des pays tiers

• Les durées de conservation

• Les mesures de sécurité

10.2 Analyse d'impact (AIPD)

Pour les traitements susceptibles d'engendrer un risque élevé, nous réalisons une analyse d'impact relative à la protection des données conformément à l'article 35 du RGPD.

10.3 Notification des violations

En cas de violation de données personnelles, nous :

1. Documentons la violation dans notre registre interne

2. Notifions l'autorité de contrôle dans les 72 heures si la violation présente un risque

3. Informons les personnes concernées si le risque est élevé

4. Prenons les mesures correctives nécessaires

10.4 Audits de conformité

Nous réalisons régulièrement :

• Audits internes de conformité RGPD

• Tests de sécurité (pentests)

• Revues des accès et des droits

11. Contact et réclamations

11.1 Contact pour la protection des données

Pour toute question relative à la protection de vos données ou pour exercer vos droits :

Email : [email protected]

11.2 Réclamations

Si vous estimez que le traitement de vos données constitue une violation de la réglementation applicable, vous pouvez :

1. Nous contacter à [email protected] pour résoudre le problème à l'amiable

2. Saisir l'autorité de contrôle compétente :

   • France : CNIL (www.cnil.fr)

   • Allemagne : BfDI ou autorité du Land concerné

   • Autres pays : autorité de contrôle locale

11.3 Mises à jour de cette politique

Cette politique de conformité peut être mise à jour pour refléter les évolutions réglementaires ou de nos pratiques. La date de dernière mise à jour est indiquée en en-tête du document.

Les modifications substantielles sont communiquées à nos clients par email.

Annexe : Textes de référence

Europe

• Règlement (UE) 2016/679 (RGPD)

• Directive 2002/58/CE (ePrivacy)

• Loi n° 78-17 du 6 janvier 1978 modifiée (France)

• Bundesdatenschutzgesetz — BDSG (Allemagne)

États-Unis

• Telephone Consumer Protection Act (47 U.S.C. § 227)

• Telemarketing Sales Rule (16 CFR Part 310)

• California Consumer Privacy Act (Cal. Civ. Code §§ 1798.100-199)

Canada

• Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE)

• Loi canadienne anti-pourriel (LCAP)

Document établi le 7 février 2026

Dernière mise à jour : 7 février 2026

CallOnAlarm — Tous droits réservés