Confiance & Conformité
Trust Center
Hub central de conformité de PayForLead.ai — certifications, politiques publiques, sous-traitants, DPO et documentation téléchargeable.
Mise à jour : 16 mai 2026
1. À propos de PIGNON SAS / PayForLead.ai
Identité légale
- Raison sociale : PIGNON SAS
- Nom commercial : PayForLead.ai
- Forme juridique : Société par Actions Simplifiée
- Capital social : En cours de finalisation
- RCS Paris : En cours d'immatriculation
- TVA intracommunautaire : FR XX XXXXXXXXX (à compléter)
Coordonnées
- Siège : 19 place du Marché Saint-Honoré, 75001 Paris, France
- DPO : dpo@payforlead.ai
- Legal : legal@payforlead.ai
- Sécurité : security@payforlead.ai
Service exclusivement B2B. PayForLead.ai est réservé aux professionnels (personnes morales et personnes physiques agissant dans le cadre de leur activité professionnelle). Le Service n'est pas destiné aux consommateurs au sens du Code de la consommation français.
2. Certifications & Conformité
| Certification / Conformité | Statut | Référence / Note |
|---|---|---|
| SOC 2 Type II | En cours | AICPA Trust Services Criteria · Cible 24 mois |
| ISO/IEC 27001:2022 | En cours | Sécurité de l'information · Cible 18 mois |
| RGPD (UE) 2016/679 | Actif | Règlement Général Protection Données · DPO désigné |
| AI Act (UE) 2024/1689 | Actif | Règlement IA · GPAI risque limité · Art 50 publié |
| Sapin II (L. 2016-1691) | Actif | Anticorruption · Cartographie risques · Code conduite |
| NIS 2 (Dir. 2022/2555) | Actif | Cybersécurité · Mesures Art 21 · ANSSI notification |
| PCI DSS | N/A | Carte bancaire via Stripe scope uniquement (délégué) |
Les rapports d'audit et attestations disponibles sont accessibles sur demande à security@payforlead.ai (vérification d'identité requise, délai de traitement 5 jours ouvrables).
3. Politiques publiques
4. DPA & RGPD Article 28
Conformément à l'Article 28 du RGPD, PayForLead agit en tant que sous-traitant pour le traitement des données personnelles des prospects et contacts de ses clients (Tenants, qui sont les Responsables de traitement).
Un Data Processing Addendum (DPA) standard est disponible et peut être signé par les Tenants qui en font la demande. Le DPA couvre :
- La liste des traitements réalisés pour le compte du Responsable de traitement (Art. 28 §3 a)
- Les mesures techniques et organisationnelles (MTO) de sécurité (Art. 32)
- Les modalités de sous-traitance ultérieure avec notification préalable 30 jours (Art. 28 §2)
- Les conditions de retour et suppression des données en fin de contrat (Art. 28 §3 g)
- Les procédures en cas de violation de données (Art. 33/34)
5. Sous-traitants ultérieurs (RGPD Art. 28.2 — Annexe H)
Conformément à l'Article 28.2 du RGPD, PayForLead notifie ses Tenants de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours. Les Tenants disposent d'un droit d'opposition.
Liste des sous-traitants ultérieurs au 16 mai 2026 (Annexe H du MSA) :
| Sous-traitant | Pays | Finalité | Mécanisme transfert | DPA |
|---|---|---|---|---|
| Anthropic PBC | États-Unis | Modèles IA (Claude claude-sonnet-4-6, claude-haiku-4-5) — fallback LLM | SCC (UE) 2021/914 | DPA ↗ |
| Mistral AI SAS | France | Modèle IA primaire (mistral-large-2) — génération texte, agents vocaux | Intra-UE (siège Paris) | DPA ↗ |
| ElevenLabs Inc. | États-Unis | Synthèse vocale TTS — agents vocaux (consentement Art 9 requis) | SCC (UE) 2021/914 | DPA ↗ |
| Deepgram Inc. | États-Unis | Transcription vocale ASR temps réel (Nova-3) | SCC (UE) 2021/914 | DPA ↗ |
| Twilio Inc. | États-Unis | Téléphonie voix (PSTN), SMS, WhatsApp Business API | SCC (UE) 2021/914 + BCR | DPA ↗ |
| Stripe Inc. | États-Unis | Paiement en ligne, facturation, abonnements (PCI DSS délégué) | SCC (UE) 2021/914 | DPA ↗ |
| Twilio SendGrid | États-Unis | Envoi emails transactionnels et marketing (MTA) | SCC (UE) 2021/914 | DPA ↗ |
| Clerk Inc. | États-Unis | Authentification, gestion des utilisateurs, JWT | SCC (UE) 2021/914 | DPA ↗ |
SCC = Clauses Contractuelles Types décision (UE) 2021/914. BCR = Binding Corporate Rules. La liste complète et sa mise à jour sont disponibles à docs/legal/subprocessor-list.md dans la documentation technique et sur demande à dpo@payforlead.ai.
6. Contact DPO
Délégué à la Protection des Données
- Email : dpo@payforlead.ai
- Adresse postale :
À l'attention du DPO — PIGNON SAS
19 place du Marché Saint-Honoré
75001 Paris, France - Délai de réponse : < 30 jours (RGPD Art. 12.3)
Exercice des droits RGPD (Art. 15–22)
- ✓ Droit d'accès (Art. 15)
- ✓ Droit de rectification (Art. 16)
- ✓ Droit à l'effacement (Art. 17)
- ✓ Droit à la portabilité (Art. 20)
- ✓ Droit d'opposition (Art. 21)
- ✓ Droit à la limitation (Art. 18)
Vérification d'identité requise pour toute demande d'exercice de droits. Un DSR (Data Subject Request) peut être soumis via l' interface in-app ou par email.
Autorité de contrôle : Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy TSA 80715 · 75334 PARIS CEDEX 07 · cnil.fr
7. Reporting incidents de sécurité
PayForLead s'engage à notifier ses Tenants de tout incident de sécurité susceptible d'affecter leurs données dans un délai de 48 heures ouvrables après détection (Article 40.3 DPA). Les violations de données personnelles sont notifiées à la CNIL dans les 72 heures (RGPD Art. 33).
Disclosure responsable (Responsible Disclosure)
Si vous découvrez une vulnérabilité dans nos systèmes, signalez-la à security@payforlead.ai avec le sujet « [VULN] ». Nous accusons réception sous 24h et nous engageons à ne pas poursuivre les chercheurs de bonne foi.
8. Documentation téléchargeable
Les documents suivants sont disponibles sur demande à legal@payforlead.ai ou via votre Customer Success Manager (clients Enterprise) :
MSA template (PIGNON SAS)
DOCX / PDF · Contrat-cadre B2B complet
DPA template signé
DOCX / PDF · RGPD Art 28 — pré-signé PayForLead
Attestation conformité annuelle
PDF · Modèle Annexe E — 1×/an gratuit
Lettre comfort externe annuelle
PDF · Modèle Annexe F — sur demande motivée
Registre des activités de traitement (ROPA)
XLSX · RGPD Art 30 — extrait sous-traitant
Politique de sécurité (IS) résumé
PDF · NIS 2 Art 21 — sur NDA
La documentation technique complète des systèmes IA est conservée 10 ans (AI Act Art. 18) et mise à disposition des autorités compétentes sur demande motivée.
Ce Trust Center est mis à jour à chaque évolution significative du périmètre de conformité. Dernière révision : 16 mai 2026.
PIGNON SAS · 19 place du Marché Saint-Honoré · 75001 Paris · France · Mentions légales · Droit applicable : droit français · Juridiction : Tribunal de Commerce de Paris