Accord juridique

Accord de traitement des données (DPA)

Conditions encadrant le traitement des données à caractère personnel par SetAIComply en qualité de sous-traitant au sens de l'article 28 du RGPD.

← Retour à l'accueil

Dernière mise à jour: Mars 2026

1. Objet et champ d'application

Le présent Accord de traitement des données (ci-après « DPA ») complète les Conditions Générales d'Utilisation (ci-après « CGU ») et définit les conditions dans lesquelles SetAIComply (ci-après « le Sous-traitant ») traite des données à caractère personnel pour le compte de l'Utilisateur (ci-après « le Responsable du traitement ») dans le cadre de la fourniture de la plateforme SaaS SetAIComply.

Le présent DPA est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD »). Il s'applique à tous les traitements de données à caractère personnel effectués par le Sous-traitant pour le compte du Responsable du traitement dans le cadre de l'utilisation de la plateforme.

En cas de conflit entre les dispositions du présent DPA et celles des CGU, les dispositions du présent DPA prévalent pour ce qui concerne le traitement des données à caractère personnel.

2. Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est attribuée par le RGPD, et notamment :

  • « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'article 4(1) du RGPD
  • « Traitement » : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, telles que définies à l'article 4(2) du RGPD
  • « Responsable du traitement » : l'Utilisateur de la plateforme SetAIComply qui détermine les finalités et les moyens du traitement des données à caractère personnel
  • « Sous-traitant » : SetAIComply, qui traite les données à caractère personnel pour le compte du Responsable du traitement
  • « Sous-traitant ultérieur » : tout sous-traitant engagé par le Sous-traitant pour effectuer des opérations de traitement spécifiques pour le compte du Responsable du traitement
  • « Violation de données » : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel

3. Description des traitements

3.1 Nature et finalité des traitements

Le Sous-traitant effectue les traitements suivants pour le compte du Responsable du traitement :

  • Hébergement et stockage des données saisies par le Responsable du traitement sur la plateforme
  • Traitement des données relatives aux systèmes d'IA pour la classification de risque et l'évaluation de conformité
  • Génération de documentation technique à l'aide de services d'intelligence artificielle
  • Gestion des comptes utilisateurs et de l'authentification
  • Journalisation des actions à des fins d'audit et de traçabilité
  • Sauvegarde et restauration des données

3.2 Catégories de données traitées

  • Données d'identification des utilisateurs : nom, prénom, adresse email professionnelle, fonction
  • Données relatives aux systèmes d'IA : descriptions techniques, cas d'usage, données d'entraînement utilisées, évaluations de performance
  • Données d'audit : journaux d'actions, horodatage, identifiants utilisateurs
  • Données de connexion : adresses IP, logs de session

3.3 Catégories de personnes concernées

  • Collaborateurs du Responsable du traitement utilisant la plateforme
  • Le cas échéant, personnes physiques dont les données sont mentionnées dans les descriptions de systèmes d'IA saisies par le Responsable du traitement

3.4 Durée du traitement

Le traitement est effectué pendant toute la durée de l'abonnement du Responsable du traitement à la plateforme SetAIComply. À l'expiration ou à la résiliation de l'abonnement, les dispositions de l'article 12 du présent DPA s'appliquent.

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts vers un pays tiers, sauf obligation légale à laquelle le Sous-traitant est soumis
  • Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD
  • Respecter les conditions visées à l'article 28, paragraphes 2 et 4, du RGPD pour recruter un autre sous-traitant
  • Aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées
  • Aider le Responsable du traitement à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violations, analyse d'impact)
  • Au choix du Responsable du traitement, supprimer ou renvoyer toutes les données à caractère personnel au terme de la prestation et détruire les copies existantes, sauf obligation légale de conservation
  • Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits

5. Obligations du Responsable du traitement

Le Responsable du traitement s'engage à :

  • Fournir au Sous-traitant des instructions documentées concernant le traitement des données
  • Veiller, préalablement et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD
  • S'assurer de la licéité du traitement des données qu'il confie au Sous-traitant
  • Informer le Sous-traitant de toute obligation particulière relative au traitement des données
  • Superviser le traitement effectué par le Sous-traitant, y compris en réalisant des audits et des inspections

6. Mesures de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données à caractère personnel :

6.1 Mesures techniques

  • Chiffrement des données en transit via TLS 1.3 et au repos via AES-256
  • Hébergement sur infrastructure cloud UE (Railway, certifié SOC 2 Type II) avec des centres de données situés à Amsterdam, Pays-Bas
  • Authentification sécurisée avec hachage des mots de passe (algorithme bcrypt)
  • Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
  • Pare-feu applicatif (WAF) et protection contre les attaques DDoS
  • Sauvegardes automatisées et chiffrées avec plan de reprise d'activité
  • Surveillance continue de l'infrastructure et alertes en temps réel
  • Segmentation réseau et isolation des environnements

6.2 Mesures organisationnelles

  • Politique de sécurité de l'information documentée et régulièrement mise à jour
  • Sensibilisation et formation des employés à la protection des données et à la sécurité
  • Procédures de gestion des incidents de sécurité
  • Revues de sécurité et tests de pénétration réguliers
  • Gestion des habilitations et revue périodique des droits d'accès
  • Engagements de confidentialité signés par l'ensemble des collaborateurs

7. Sous-traitants ultérieurs

7.1 Autorisation générale

Le Responsable du traitement autorise de manière générale le Sous-traitant à recourir à d'autres sous-traitants ultérieurs pour le traitement des données à caractère personnel dans le cadre du présent DPA. Le Sous-traitant informe le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs au moins 30 jours avant le changement.

7.2 Droit d'opposition

Le Responsable du traitement dispose d'un délai de 15 jours à compter de la notification pour émettre des objections motivées concernant un nouveau sous-traitant ultérieur. En cas d'objection, les parties s'engagent à discuter de bonne foi afin de trouver une solution mutuellement acceptable. À défaut d'accord, le Responsable du traitement peut résilier le contrat conformément aux CGU.

7.3 Liste des sous-traitants ultérieurs

À la date du présent DPA, les sous-traitants ultérieurs autorisés sont les suivants :

Sous-traitantFinalitéLocalisationDonnées concernées
Railway CorporationHébergement de l'application, bases de données, cache, sauvegardesUnion européenne (Amsterdam, Pays-Bas)Toutes les données de la plateforme
Stripe, Inc.Traitement des paiementsUnion européenneDonnées de facturation, coordonnées bancaires
Anthropic, PBCGénération de documentation par IA (API Claude)États-UnisDonnées descriptives des systèmes d'IA (pas de données directement identifiantes)
Cloudflare, Inc.Acheminement des e-mails transactionnels, DNSUnion européenne / périphérie mondiale (société de droit américain)Adresse e-mail et contenu des messages transactionnels

7.4 Obligations applicables aux sous-traitants ultérieurs

Le Sous-traitant s'assure que chaque sous-traitant ultérieur est lié par des obligations de protection des données au moins équivalentes à celles prévues dans le présent DPA. Le Sous-traitant demeure pleinement responsable devant le Responsable du traitement de l'exécution des obligations de ses sous-traitants ultérieurs.

8. Transferts de données hors UE/EEE

Les données à caractère personnel sont hébergées et traitées au sein de l'Union européenne (Amsterdam, Pays-Bas), sur l'infrastructure Railway.

Les transferts de données vers des sous-traitants ultérieurs constitués en sociétés de droit américain concernent (i) les données descriptives des systèmes d'IA transmises à Anthropic, PBC (États-Unis) pour la génération de documentation par IA, et (ii) l'adresse e-mail et le contenu des messages transactionnels traités par Cloudflare, Inc. (États-Unis) pour l'acheminement des e-mails. Ces transferts sont encadrés par :

  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021)
  • Des mesures supplémentaires appropriées, incluant le chiffrement des données en transit et la minimisation des données transmises
  • Un accord de traitement de données spécifique avec Anthropic, PBC, garantissant que les données ne sont pas utilisées pour l'entraînement des modèles d'intelligence artificielle

Aucune donnée directement identifiante (nom, prénom, adresse email) n'est transférée à Anthropic dans le cadre normal d'utilisation de la plateforme.

9. Droits des personnes concernées

Le Sous-traitant assiste le Responsable du traitement dans le respect de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition).

Lorsque le Sous-traitant reçoit directement une demande d'une personne concernée, il en informe le Responsable du traitement dans les meilleurs délais et ne donne pas suite à la demande sans instructions du Responsable du traitement, sauf obligation légale.

Le Sous-traitant met à disposition du Responsable du traitement, via la plateforme, les outils techniques nécessaires pour faciliter l'exercice des droits des personnes concernées, notamment l'export et la suppression de données.

10. Notification des violations de données

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation. Cette notification comprend au minimum :

  • La nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés
  • Le nom et les coordonnées du point de contact auprès duquel des informations supplémentaires peuvent être obtenues
  • Les conséquences probables de la violation
  • Les mesures prises ou proposées pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives

Le Sous-traitant coopère avec le Responsable du traitement et prend toutes les mesures raisonnables pour aider le Responsable du traitement à se conformer à ses obligations de notification à l'autorité de contrôle (article 33 du RGPD) et aux personnes concernées (article 34 du RGPD).

11. Audit et inspections

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un auditeur qu'il a mandaté.

Les audits sont soumis aux conditions suivantes :

  • Le Responsable du traitement adresse une demande écrite au moins 30 jours avant la date prévue de l'audit
  • L'audit est effectué pendant les heures ouvrables normales et ne doit pas perturber de manière disproportionnée les activités du Sous-traitant
  • Le Responsable du traitement prend en charge les frais liés à l'audit, sauf si l'audit révèle un manquement du Sous-traitant à ses obligations
  • Un audit par an est inclus dans le cadre du contrat. Tout audit supplémentaire est soumis à l'accord préalable du Sous-traitant et fait l'objet d'une facturation séparée
  • L'auditeur mandaté est soumis à des obligations de confidentialité appropriées

Le Sous-traitant peut également fournir des rapports d'audit ou des certifications existantes (ISO 27001, rapports SOC 2) comme moyen de démontrer le respect de ses obligations.

12. Sort des données en fin de contrat

À l'expiration ou à la résiliation de l'abonnement, le Responsable du traitement dispose d'un délai de 30 jours pour télécharger l'ensemble de ses données via les fonctionnalités d'export de la plateforme. Les données sont exportables dans des formats structurés et couramment utilisés (JSON, CSV).

À l'issue de ce délai de 30 jours, et sauf instruction contraire du Responsable du traitement, le Sous-traitant procède à la suppression définitive de l'ensemble des données à caractère personnel traitées pour le compte du Responsable du traitement dans un délai de 60 jours supplémentaires.

Le Sous-traitant peut conserver des données au-delà de ces délais uniquement lorsque le droit de l'Union ou le droit français l'exige (notamment les données de facturation conservées 10 ans conformément au Code de commerce et les données de connexion conservées 12 mois conformément au décret n° 2011-219). Le Sous-traitant informe le Responsable du traitement de toute obligation légale de conservation applicable.

Un certificat de suppression est délivré au Responsable du traitement sur demande à l'issue de la procédure de suppression.

13. Analyse d'impact relative à la protection des données

Lorsque le Responsable du traitement est tenu de réaliser une analyse d'impact relative à la protection des données (AIPD) au sens de l'article 35 du RGPD, le Sous-traitant fournit au Responsable du traitement l'assistance raisonnable nécessaire à la réalisation de cette analyse, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant.

14. Registre des activités de traitement

Conformément à l'article 30, paragraphe 2, du RGPD, le Sous-traitant tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable du traitement. Ce registre est tenu à la disposition de la CNIL sur demande.

15. Responsabilité

Chaque partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations du RGPD qui lui incombent, conformément aux articles 82 et 83 du RGPD.

Le Sous-traitant n'est tenu responsable des dommages causés par un traitement que s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants ou s'il a agi en dehors des instructions licites du Responsable du traitement ou contrairement à celles-ci.

16. Durée et résiliation

Le présent DPA prend effet à la date d'inscription du Responsable du traitement sur la plateforme et reste en vigueur aussi longtemps que le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement.

Les obligations relatives à la confidentialité, à la sécurité et au sort des données en fin de contrat survivent à la cessation du présent DPA.

17. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation, son exécution ou sa résiliation sera soumis à la compétence exclusive des tribunaux compétents de Paris.

18. Contact

Pour toute question relative au présent DPA ou au traitement de données à caractère personnel, vous pouvez nous contacter :

  • Email : support@setaicomply.com