Accord de Traitement des Données (DPA) - Mise à Jour
Vue d'ensemble
Le présent Accord de Traitement des Données ("DPA") fait partie des conditions d’utilisation entre vous (le "Client" ou "Responsable du Traitement") et ISMS Copilot (le "Sous-traitant" ou "Processeur") pour l'utilisation de la plateforme de conformité AI ISMS Copilot. Ce DPA est conforme à l’Article 28 du Règlement Général sur la Protection des Données (RGPD) et régit le traitement des données personnelles pour le compte du Client.
Date d'entrée en vigueur : novembre 2025. Ce DPA s'applique automatiquement à tous les clients ISMS Copilot traitant des données personnelles via la plateforme. Aucune signature séparée n'est nécessaire - votre utilisation du service constitue une acceptation.
Public visé
Ce DPA s’adresse à :
Organisations utilisant ISMS Copilot pour traiter des données personnelles
Consultants en conformité manipulant des données clients via la plateforme
Délégués à la Protection des Données réalisant des évaluations de fournisseurs
Équipes juridiques et achats évaluant les arrangements de traitement des données
Auditeurs vérifiant la conformité à l’Article 28 RGPD
Définitions
Termes Clés
"Client" ou "Responsable du Traitement" : L’organisation ou la personne souscrivant aux services ISMS Copilot et déterminant les finalités et moyens du traitement des données personnelles.
"Sous-traitant" ou "Processeur" : ISMS Copilot, traitant les données personnelles pour le compte du Client.
"Données Personnelles du Client" : Toutes les données personnelles traitées par ISMS Copilot pour le compte du Client, y compris le contenu des conversations, documents téléchargés, et métadonnées associées.
"Sous-traitant secondaire" : Tout tiers sous-traitant engagé par ISMS Copilot pour traiter les Données Personnelles du Client.
"Personne Concernée" : La personne physique identifiée ou identifiable à laquelle se réfèrent les Données Personnelles du Client.
"Traitement" : Toute opération effectuée sur des données personnelles, incluant la collecte, le stockage, l’utilisation, la divulgation ou la suppression.
"Violation de Données Personnelles" : Une violation de sécurité conduisant à une destruction, perte, altération, divulgation non autorisée ou accès aux Données Personnelles du Client de manière accidentelle ou illégale.
1. Portée et Applicabilité
1.1 Application du DPA
Ce DPA s’applique à tout traitement des Données Personnelles du Client par ISMS Copilot dans le cadre de la fourniture des services de la plateforme décrits dans les Conditions d’Utilisation.
1.2 Objet du Traitement
ISMS Copilot traite les Données Personnelles du Client pour fournir une assistance conformité assistée par IA, incluant :
Traitement des requêtes utilisateurs et génération de réponses IA
Stockage de l’historique et du contexte des conversations
Analyse des documents de conformité téléchargés
Maintenance des configurations d’espace de travail et instructions personnalisées
1.3 Durée du Traitement
Le traitement se poursuit pendant la durée de l’abonnement actif du Client et selon la période de conservation configurée par le Client (de 1 jour à 7 ans, ou « conserver indéfiniment »). À la fin, toutes les Données Personnelles du Client sont supprimées sous 30 jours sauf obligation légale de conservation plus longue.
1.4 Nature et Finalité du Traitement
Nature : Traitement automatisé utilisant des modèles IA, stockage en base de données, et traitement de fichiers
Finalité : Fournir des conseils en conformité, analyse documentaire, génération de politiques, et gestion des connaissances selon les instructions du Client
1.5 Catégories de Personnes Concernées
Employés et utilisateurs autorisés du Client
Clients et utilisateurs finaux du Client (lorsqu’ils sont mentionnés dans des documents ou requêtes téléchargés)
Individus mentionnés dans la documentation de conformité
Personnes concernées par des incidents de sécurité
1.6 Catégories de Données Personnelles
Informations de compte utilisateur (adresses email, identifiants d’authentification)
Contenu des conversations et interactions IA
Contenu des documents téléchargés (politiques, procédures, rapports d’audit)
Configurations des espaces de travail et instructions personnalisées
Métadonnées d’utilisation et horodatages
Éventuellement, données sensibles (Catégorie spéciale, Article 9 RGPD) si téléchargées par le Client
Le Client est responsable de s'assurer qu'une base légale appropriée et des garanties existent avant de télécharger des données sensibles (Article 9 RGPD) telles que des rapports d’incidents de sécurité contenant des données de santé, informations sur les employés ou autres catégories sensibles.
2. Obligations du Sous-traitant (Article 28(3) RGPD)
2.1 Instructions de Traitement
ISMS Copilot ne traitera les Données Personnelles du Client que sur instructions documentées du Client, incluant :
Instructions fournies via l’interface de la plateforme (requêtes, téléchargements, configurations d’espaces de travail)
Paramètres de conservation des données configurés par le Client
Sélection du Mode de Protection Avancée des Données (UE uniquement vs traitement IA par défaut)
Demandes de suppression soumises via la plateforme ou le support
Traitement Interdit : ISMS Copilot et ses sous-traitants IA (xAI, OpenAI, Mistral AI) sont contractuellement interdits d’utiliser les Données Personnelles du Client pour entraîner, améliorer ou développer les modèles IA. Cette interdiction est intégrée dans tous les contrats des sous-traitants IA.
Si ISMS Copilot estime qu’une instruction viole le RGPD ou d’autres lois sur la protection des données, le Client sera immédiatement informé et ISMS Copilot pourra suspendre le traitement jusqu’à confirmation ou modification de l’instruction. En cas de confirmation par le Client d’une instruction que ISMS Copilot juge contraire à la loi, ISMS Copilot peut refuser de l’exécuter et, en cas de désaccord persistant, interrompre les activités de traitement concernées avec un préavis de 30 jours.
2.2 Confidentialité du Traitement
ISMS Copilot garantit que toutes les personnes autorisées à traiter les Données Personnelles du Client :
Sont soumises à des obligations de confidentialité (contractuelles ou légales)
Ont reçu une formation appropriée en protection des données
Accèdent aux données uniquement en fonction du besoin de savoir
Suivent des procédures documentées de gestion des données
2.3 Mesures Techniques et Organisationnelles (Article 32 RGPD)
ISMS Copilot met en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, incluant :
Mesures de Contrôle d’Accès :
Sécurité au niveau des lignes en base de données empêchant l’accès croisé aux données
Authentification utilisateur requise pour toutes ressources protégées
Isolation des espaces de travail empêchant la contamination croisée des données clients
Support de l’authentification multi-facteurs (MFA)
Contrôles automatiques de temporisation des sessions
Mesures de Chiffrement :
Chiffrement TLS 1.3 pour les données en transit
Chiffrement des bases de données au repos
Hachage des mots de passe avec algorithmes standards (irréversibles)
Stockage chiffré des fichiers dans Supabase
Mesures de Minimisation des Données :
Collecte uniquement des données essentielles (email, messages, fichiers)
Aucune collecte inutile d’informations démographiques ou de contact
Analytics configuré avec sendDefaultPii : false
Périodes de conservation contrôlées par le Client avec suppression automatisée
Disponibilité et Résilience :
Sauvegardes automatisées des bases de données
Procédures de reprise après sinistre
Surveillance et alertes 24/7 via Sentry
Surveillance du temps de disponibilité via BetterStack avec alertes instantanées Slack
Page de statut publique pour transparence (status.ismscopilot.com)
Escalade progressive des incidents par email et SMS
Tests et Évaluations :
Évaluations régulières de sécurité
Surveillance continue des erreurs et journalisation
Test automatisé de suppression de données
Procédures de vérification du contrôle accès
Pour des mesures techniques et organisationnelles détaillées, consultez notre Registre des Activités de Traitement (RopA) ou visitez notre Collection Sécurité.
2.4 Engagement des Sous-traitants Secondaires
Autorisation Générale : Le Client autorise ISMS Copilot à engager des sous-traitants pour le traitement des Données Personnelles du Client, sous réserve des conditions décrites ici.
Sous-traitants Actuels : La liste complète est tenue à jour dans notre Registre des Activités de Traitement et comprend :
Sous-traitant | Finalité | Localisation | Statut DPA |
|---|---|---|---|
Supabase (PostgreSQL + Stockage) | Base de données et stockage des fichiers | UE (Francfort) | ✓ Conforme RGPD |
xAI (Grok) + OpenAI * | Traitement IA (Mode par défaut) | États-Unis | ✓ Pas d’entraînement sur données |
Mistral AI * | Traitement IA (Protection Avancée des Données) | Union Européenne | ✓ Conforme RGPD |
Stripe | Traitement des paiements | Global (DPA UE) | ✓ Conforme RGPD |
ConvertAPI | Conversion de documents | Point de terminaison UE | ✓ Conforme RGPD ✓ Certifié ISO 27001:2022 ✓ DPA signée avec Better ISMS |
PostHog | Analytique produit | UE (Francfort) | ✓ Conforme RGPD |
Sentry | Surveillance des erreurs | Allemagne | ✓ Conforme RGPD |
Vercel | Hébergement frontend | CDN mondial | ✓ Conforme RGPD |
Fly.io | Hébergement API backend | Déploiement UE | ✓ Conforme RGPD |
SendGrid (Twilio) | Communications email | US (SCC) | ✓ RGPD + SCC |
Kit (ConvertKit) | Communications email | US (SCC) | ✓ RGPD + SCC |
* Configurable par l’utilisateur : Un SEUL processeur IA est actif à la fois, selon le réglage Mode de Protection Avancée des Données du Client.
Exigences pour les Sous-traitants : ISMS Copilot veille à ce que tous les sous-traitants :
Fournissent des garanties suffisantes de conformité RGPD
Acquiescent à des clauses de traitement similaires à ce DPA
Mettent en œuvre des mesures techniques et organisationnelles appropriées
Restent soumis à la supervision et aux droits d’audit d’ISMS Copilot
Modifications des Sous-traitants :
ISMS Copilot informera les Clients au moins 30 jours avant toute addition ou remplacement de sous-traitants
Les notifications seront envoyées par email et annonce dans l’application
Les Clients peuvent s’opposer dans les 30 jours
En cas d’opposition, ISMS Copilot n’utilisera pas le nouveau sous-traitant ou permettra la résiliation sans pénalité
Abonnez-vous aux notifications de changements pour les sous-traitants via vos préférences email dans Paramètres. La liste à jour est toujours disponible dans le Registre des Activités de Traitement.
2.5 Assistance pour les Droits des Personnes Concernées
ISMS Copilot assistera le Client dans l’exécution des demandes des droits des personnes, notamment :
ISMS Copilot répondra aux demandes du Client selon les délais ci-dessous. Le Client reste responsable de respecter le délai d’un mois du RGPD pour répondre aux personnes concernées (Article 12(3)).
Droit d’accès (Article 15) :
Accès en libre-service à toutes les conversations et fichiers via la plateforme
Export complet des données au format JSON disponible sur demande au support (72h)
Droit de rectification (Article 16) :
Mises à jour en libre-service des paramètres de compte
Changement d’adresse email assisté par support (30 jours)
Droit à l’effacement (Article 17) :
Demandes de suppression de compte via support
Suppression complète des données sous 30 jours
Confirmation envoyée au Client à l’achèvement
Droit à la portabilité des données (Article 20) :
Export JSON lisible par machine de toutes les Données Personnelles du Client
Livré sous 72 heures (jusqu’à 5 jours pour gros comptes)
Droit de restriction du traitement (Article 18) et droit d’opposition (Article 21) :
Traitement au cas par cas via support
Réponse sous 30 jours
Le Client doit vérifier l’identité des personnes avant de demander données ou export. ISMS Copilot fournit les outils mais la responsabilité principale appartient au Client pour répondre aux demandes.
2.6 Notification des Violations de Données
En cas de violation de données personnelles affectant les Données Personnelles du Client, ISMS Copilot :
Détection et Évaluation :
Surveillance continue des incidents via Sentry et alertes automatisées
Révision de l’incident de sécurité dans les 24h suivant la détection
Évaluation du risque et impact potentiel sur les Données Personnelles du Client
Notification au Client :
Notification sous 48h après confirmation d’une violation affectant les Données Personnelles du Client
Notification préliminaire sous 24h pour violations suspectées, avec mises à jour
Description de la violation, catégories et nombre approximatif de personnes concernées
Conséquences probables de la violation
Mesures prises ou proposées pour remédier et atténuer
Contact pour informations complémentaires
Coopération :
Coopération avec l’enquête et actions de remédiation du Client
Fourniture d’une assistance raisonnable pour notification aux autorités compétentes et personnes concernées
Documentation de toutes violations et actions correctives
Le Client reste responsable de décider s’il faut notifier autorités (72h selon Article 33) et personnes concernées (Article 34). ISMS Copilot fournit les informations pour soutenir la décision et les obligations du Client.
2.7 Support pour l’Évaluation d’Impact sur la Protection des Données (DPIA)
ISMS Copilot fournira une assistance raisonnable lors de l’évaluation d’impact ou consultation préalable avec une autorité de contrôle, notamment :
Fourniture du Registre des Activités de Traitement à titre de référence
Description des mesures techniques et organisationnelles mises en place
Clarification des flux de données et des accords avec sous-traitants
Réponse aux questions spécifiques sur les opérations de traitement
2.8 Suppression et Retour des Données
À la fin des services ou sur demande du Client, ISMS Copilot :
Suppression standard (par défaut) :
Supprime toutes les Données Personnelles du Client sous 30 jours après la fin
Écrase les données de sauvegarde sous 90 jours
Fournit confirmation écrite de suppression si demandé
Exportation des données avant suppression :
Le Client peut demander un export complet avant la clôture
Export fourni au format JSON sous 72 heures
Suppression effectuée après confirmation de livraison d’export
Exceptions légales de conservation :
Registres de facturation anonymisés conservés 7 ans (conformité fiscale et comptable)
Données analytiques anonymisées peuvent être conservées
Contenu signalé par systèmes automatiques de modération conservé jusqu’à 1 an pour conformité légale et sécurité de la plateforme (voir Politique de Confidentialité, section Modération)
Données légalement obligatoires sont isolées et protégées jusqu’à expiration de la période légale
2.9 Droits d’Audit
Le Client a le droit d’auditer la conformité d’ISMS Copilot à ce DPA, sous réserve de limites raisonnables :
Examen documentaire :
Le Client peut consulter la documentation publique dans notre Collection Sécurité
Demander des documents supplémentaires via support (ex. contrats sous-traitants, politiques de sécurité)
Consulter le Registre des Activités de Traitement à tout moment
Audits sur site :
Audit possible avec préavis écrit de 60 jours
Maximum un audit par an sauf violation de données
Audits durant les heures ouvrables sans gêner les opérations
Le Client supporte les coûts sauf en cas de non-conformité révélée causant : (a) une violation de données, (b) défaillance systématique de mesures de sécurité documentées, ou (c) action réglementaire. Alors, ISMS Copilot prend en charge les coûts raisonnables survenus après identification de la non-conformité.
Résultats confidentiels sauf obligation légale
Certifications tierces :
ISMS Copilot obtiendra et maintiendra les certifications sécuritaires pertinentes (ISO 27001 en cours)
Rapports de certification disponibles sur demande sous NDA
Les clients peuvent s’appuyer sur ces certifications au lieu d’audits propres
3. Transferts Internationaux de Données
3.1 Mécanismes de Transfert
ISMS Copilot traite les Données Personnelles du Client conformément au Chapitre V du RGPD :
Stockage principal (toujours UE) :
Tout le stockage en base a lieu à Francfort, Allemagne (AWS EU-Central-1)
Historique des conversations, fichiers téléchargés et données de compte restent dans l’UE
Aucune décision d’adéquation nécessaire pour le stockage principal
Traitement IA (configurable par le Client) :
Si Mode de Protection Avancée activé : traitement IA au sein de l’UE via Mistral AI sans conservation des données. Aucun transfert international pour le traitement IA.
Si Mode désactivé (par défaut) : contenu des conversations transféré aux États-Unis pour IA via xAI/OpenAI avec conservation 30 jours. Clauses Contractuelles Types (SCC) applicables.
Communications Email (base US) :
Adresses email transférées à SendGrid et Kit (USA)
Protégé par les Clauses Contractuelles Types approuvées par la Commission Européenne
Le Client peut réduire les transferts en se désabonnant des emails non essentiels
3.2 Clauses Contractuelles Types (SCC)
Pour les transferts vers les USA, ISMS Copilot s’appuie sur les SCC (Décision d’exécution (UE) 2021/914) :
Client vers ISMS Copilot : Module Deux (Contrôleur à Processeur) s’applique lorsque le Client est responsable du traitement
ISMS Copilot vers sous-traitants US : Module Trois (Processeur à Processeur) s’applique
Droit applicable aux SCC : droit français (Clause 17, Option 1)
Autorité de contrôle compétente : CNIL, France (Clause 13)
Copies des SCC exécutées avec sous-traitants disponibles sur demande via support
3.3 Mesures Supplémentaires
ISMS Copilot met en place des mesures additionnelles pour protéger les données transférées hors UE :
Chiffrement de bout en bout (TLS 1.3) pour toutes données en transit
Interdiction contractuelle d’entraînement IA sur données Client
Durée de conservation limitée chez les fournisseurs IA (30 jours pour xAI/OpenAI, zéro pour Mistral AI)
Possibilité pour le Client de contrôler la destination via Mode de Protection Avancée
Surveillance continue des évolutions légales sur les transferts internationaux
3.4 Évaluation d’Impact des Transferts
ISMS Copilot a réalisé une Évaluation d’Impact des Transferts (TIA) pour ses sous-traitants US et conclu que :
Les Clauses Contractuelles Types offrent des garanties adaptées au RGPD Chapitre V
Les mesures techniques complémentaires (chiffrement, durée limitée, contrôles utilisateurs) renforcent la protection
Les Clients ont l’option d’éviter complètement les transferts IA US en activant le Mode de Protection Avancée (traitement UE uniquement sans conservation)
Les transferts d’emails vers les fournisseurs US (SendGrid, Kit) subsistent mais sont protégés par SCC et chiffrement
Aucune preuve de demandes gouvernementales d’accès aux données par les sous-traitants
L’évaluation complète, avec méthodologie d’analyse et examen du droit de surveillance US, est disponible à Transfer Impact Assessment.
Les organisations avec exigences strictes de résidence des données en UE devraient activer le Mode de Protection Avancée pour éliminer les transferts IA et simplifier leurs obligations d’évaluation. Les transferts email restent minimisés via désabonnement. Voir notre Transfer Impact Assessment pour détails.
4. Obligations du Client en tant que Responsable du Traitement
4.1 Licéité des Instructions de Traitement
Le Client garantit que :
Toutes les instructions de traitement respectent le RGPD et lois applicables
Le Client dispose d’une base légale pour le traitement de toutes les données personnelles téléchargées
Le Client a informé les personnes concernées sur le traitement et leurs droits
Le Client tient des registres adéquats des activités de traitement (Article 30 RGPD)
4.2 Données Sensibles
Si le Client télécharge des données sensibles (Article 9 RGPD), il confirme que :
Les conditions de l’Article 9 sont remplies (ex. consentement explicite, obligations légales, intérêt public substantiel)
Des garanties supplémentaires sont en place selon la loi
Une Évaluation d’Impact a été menée si nécessaire
4.3 Gestion des Droits des Personnes Concernées
Le Client est responsable de :
Recevoir et répondre aux demandes des personnes concernées
Vérifier l’identité avant de demander accès ou export à ISMS Copilot
Décider de notifier autorités et personnes concernées en cas de violation
Informer les personnes concernées sur le rôle d’ISMS Copilot comme processeur
4.4 Configuration de la Conservation des Données
Le Client doit :
Configurer des périodes de conservation appropriées selon ses politiques
Réviser périodiquement ces réglages pour conformité
Demander suppression lorsque les données ne sont plus nécessaires
4.5 Isolation des Espaces de Travail
Le Client doit :
Créer des espaces de travail séparés pour différents clients ou catégories de données
Éviter le mélange de données personnelles de sujets différents dans un même espace
Supprimer les espaces au terme des projets et en cas d’inutilité des données
5. Responsabilité et Indemnisation
5.1 Répartition de la Responsabilité
Selon l’Article 82 RGPD :
Le Client et ISMS Copilot sont responsables des dommages causés par leurs propres violations
ISMS Copilot est exonéré s’il prouve ne pas être à l’origine du dommage
ISMS Copilot n’est pas responsable des instructions illégales du Client
5.2 Indemnisation
Le Client indemnisera ISMS Copilot contre toutes réclamations, amendes ou dommages liés à :
Violation du RGPD ou autres lois par le Client
Instructions illégales du Client
Défaut d’obtenir les consentements ou bases légales nécessaires
Téléchargement de données sensibles sans garanties appropriées
6. Durée et Résiliation
6.1 Durée
Ce DPA prend effet à la première utilisation des services ISMS Copilot par le Client et reste en vigueur tant que des Données Personnelles du Client sont traitées.
6.2 Résiliation
Le DPA prend fin automatiquement à :
La résiliation des Conditions d’Utilisation
La fin de toutes les activités de traitement et suppression des Données Personnelles du Client
6.3 Effets de la Résiliation
À la résiliation :
ISMS Copilot supprimera ou restituera toutes les Données Personnelles comme décrit en Section 2.8
Les obligations de confidentialité, sécurité et conservation légale subsistent
Le droit d’audit du Client reste valable 12 mois après résiliation
7. Modifications et Mises à Jour
7.1 Mises à jour du DPA
ISMS Copilot peut modifier ce DPA pour :
Adapter aux changements légaux ou réglementaires
Modifier opérations de traitement ou sous-traitants
Améliorer la sécurité ou les pratiques de protection des données
7.2 Notification des Changements
Les modifications importantes sont notifiées au moins 30 jours à l’avance par email et notification dans l’application
Le DPA mis à jour sera publié à cette URL avec une nouvelle « Date d’Effet »
Continuer à utiliser les services après la date signifie acceptation du nouveau DPA
7.3 Droits d’Opposition
Le Client peut s’opposer aux modifications importantes dans les 30 jours suivant notification
En cas d’opposition, le Client peut résilier le service sans pénalité
8. Droit Applicable et Juridiction
8.1 Droit Applicable
Ce DPA est régi par :
Le Règlement Général sur la Protection des Données (UE) 2016/679
La loi française sur la protection des données (Loi 78-17 du 6 janvier 1978)
Les lois françaises pour l’interprétation contractuelle
8.2 Juridiction
Tout litige relatif au DPA relève de la compétence des tribunaux français, l’autorité de contrôle étant la Commission Nationale de l'Informatique et des Libertés (CNIL).
9. Coordonnées
9.1 Contacts Protection des Données
Pour toute question ou demande relative au DPA :
Contacter le support via le Centre d’Aide (accessible via le menu utilisateur)
Envoyer un email depuis l’adresse enregistrée
Mentionner "Demande DPA" ou "Accord de Traitement des Données" dans l’objet
9.2 Contact Protection des Données
ISMS Copilot n’a pas désigné de Délégué à la Protection des Données car ne remplissant pas les critères obligatoires de l’Article 37 RGPD. Pour toute question relative à la protection des données liées au DPA, contactez [email protected] ou via le Centre d’Aide.
9.3 Autorité de Contrôle
Commission Nationale de l'Informatique et des Libertés (CNIL)
Site web : https://www.cnil.fr/en
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
Téléphone : +33 1 53 73 22 22
10. Ressources Supplémentaires
Documents de Référence
Registre des Activités de Traitement (RopA) - Détails des opérations de traitement et sous-traitants
Évaluation d’Impact des Transferts (TIA) - Évaluation des risques liée aux transferts internationaux
Politique de Confidentialité - Notice de confidentialité publique
Protection des Données & Conformité RGPD - Guide des droits utilisateurs et mise en œuvre RGPD
Collection Sécurité - Documentation complète sur la sécurité et conformité
Page de Statut - Disponibilité système et notifications d’incidents en temps réel
Guides de Configuration
Mode de Protection Avancée des Données - Activation du traitement IA uniquement UE
Guide de Configuration des Espaces de Travail - Isolation appropriée des données clients
Guide de Sécurité du Compte - Mise en œuvre d’une authentification forte
Annexe A : Résumé du Traitement
Objet
Fourniture d’une plateforme d’assistance conformité propulsée par IA incluant traitement de conversations, analyse documentaire et gestion des connaissances.
Durée
Pendant la durée de l’abonnement actif du Client plus période de conservation choisie (1 jour à 7 ans), suivi par une période de suppression de 30 jours.
Nature et Finalité
Nature : Traitement automatisé IA, stockage base de données, conversion et analyse de fichiers
Finalité : Permettre aux professionnels conformité de recevoir un accompagnement IA, analyser des documents, générer des politiques, et gérer les connaissances de conformité
Catégories de Personnes Concernées
Employés du Client et utilisateurs autorisés
Clients du Client (mentionnés dans documents ou requêtes)
Personnes citées dans la documentation conformité
Personnes liées à un incident de sécurité
Catégories de Données Personnelles
Informations de contact (adresses email)
Identifiants d’authentification (mots de passe hachés)
Contenu des conversations et interactions IA
Documents de conformité téléchargés
Métadonnées d’utilisation et horodatages
Éventuellement données sensibles (Article 9) si téléchargées par le Client
Annexe B : Journal des Changements de Sous-traitants
Cette annexe retrace toutes les additions, suppressions et modifications des sous-traitants depuis la date d’entrée en vigueur du DPA. Les clients sont notifiés 30 jours avant la prise d’effet des changements.
À jour en novembre 2025
Première liste de sous-traitants établie. Voir Section 2.4 et le Registre des Activités de Traitement pour la liste complète actuelle.
Modifications futures
Toutes les modifications seront documentées ici avec :
Date d’effet
Nom et localisation du sous-traitant
Nature du changement (ajout, suppression, remplacement)
Objet du traitement
Date de notification au Client
Obtenir de l’Aide
Pour des questions sur ce DPA :
Consultez le Registre des Activités de Traitement pour les détails techniques du traitement
Contactez le support via le Centre d’Aide pour des clarifications
Demandez des documents supplémentaires (ex. SCC, politiques de sécurité) via support
Consultez notre Collection Sécurité pour des ressources complètes
Mentionnez "Demande DPA" dans l’objet pour un traitement prioritaire