ISMS Copilot
Aspects juridiques

Accord de traitement des données (DPA) - Mis à jour

Aperçu

Le présent Accord de traitement des données (« DPA ») fait partie intégrante des conditions de service entre vous (le « Client » ou le « Responsable du traitement ») et ISMS Copilot (le « Sous-traitant » ou le « Transformateur de données ») pour l'utilisation de la plateforme de conformité IA ISMS Copilot. Ce DPA est conforme à l'article 28 du Règlement général sur la protection des données (RGPD) et régit le traitement des données à caractère personnel pour le compte du Client.

Date d'entrée en vigueur : novembre 2025. Ce DPA s'applique automatiquement à tous les clients d'ISMS Copilot traitant des données personnelles via la plateforme. Aucune signature séparée n'est requise - votre utilisation du service constitue une acceptation.

À qui cela s'adresse

Cet Accord de traitement des données est destiné aux :

  • Organisations utilisant ISMS Copilot pour traiter des données personnelles

  • Consultants en conformité gérant les données clients via la plateforme

  • Délégués à la protection des données (DPO) effectuant des évaluations de fournisseurs

  • Équipes juridiques et d'achats évaluant les modalités de traitement des données

  • Auditeurs examinant la conformité à l'article 28 du RGPD

Définitions

Termes clés

  • « Client » ou « Responsable du traitement » : L'organisation ou l'individu s'abonnant aux services d'ISMS Copilot et déterminant les finalités et les moyens du traitement des données personnelles.

  • « Sous-traitant » ou « Transformateur de données » : ISMS Copilot, traitant les données personnelles pour le compte du Client.

  • « Données personnelles du Client » : Toute donnée personnelle traitée par ISMS Copilot pour le compte du Client, y compris le contenu des conversations, les documents téléchargés et les métadonnées associées.

  • « Sous-traitant ultérieur » : Tout processeur tiers engagé par ISMS Copilot pour traiter les Données personnelles du Client.

  • « Personne concernée » : La personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles du Client.

  • « Traitement » : Toute opération effectuée sur des données personnelles, notamment la collecte, le stockage, l'utilisation, la divulgation ou la suppression.

  • « Violation de données à caractère personnel » : Une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de Données personnelles du Client, ou l'accès à celles-ci.

1. Portée et applicabilité

1.1 Application du DPA

Ce DPA s'applique à tout traitement de Données personnelles du Client par ISMS Copilot dans le cadre de la fourniture des services de la plateforme décrits dans les Conditions de service.

1.2 Objet du traitement

ISMS Copilot traite les Données personnelles du Client pour fournir une assistance à la conformité optimisée par l'IA, notamment :

  • Le traitement des requêtes des utilisateurs et la génération de réponses par l'IA

  • Le stockage de l'historique et du contexte des conversations

  • L'analyse des documents de conformité téléchargés

  • La maintenance des configurations d'espace de travail et des instructions personnalisées

1.3 Durée du traitement

Le traitement se poursuit pendant la durée de l'abonnement actif du Client et selon la période de rétention des données configurée par le Client (de 1 jour à 7 ans, ou « conserver indéfiniment »). En cas de résiliation, toutes les Données personnelles du Client sont supprimées dans les 30 jours, sauf si une conservation plus longue est requise par la loi.

1.4 Nature et finalité du traitement

  • Nature : Traitement automatisé utilisant des modèles d'IA, stockage en base de données et traitement de fichiers

  • Purpos : Fournir des conseils de conformité, l'analyse de documents, la génération de politiques et la gestion des connaissances selon les instructions du Client

1.5 Catégories de personnes concernées

  • Employés et utilisateurs autorisés du Client

  • Clients et utilisateurs finaux du Client (lorsqu'ils sont mentionnés dans les documents téléchargés ou les requêtes)

  • Individus référencés dans la documentation de conformité

  • Sujets liés à des incidents de sécurité

1.6 Catégories de données à caractère personnel

  • Informations sur le compte utilisateur (adresses e-mail, identifiants d'authentification)

  • Contenu des conversations et interactions avec l'IA

  • Contenu des documents téléchargés (politiques, procédures, rapports d'audit)

  • Configurations d'espace de travail et instructions personnalisées

  • Métadonnées d'utilisation et horodatages

  • Potentiellement des catégories particulières de données (Article 9 RGPD) si elles sont téléchargées par le Client

Le Client est responsable de s'assurer qu'une base juridique appropriée et des garanties existent avant de télécharger des catégories particulières de données (Article 9 RGPD) telles que des rapports d'incident de sécurité contenant des données de santé, des informations sur les employés ou d'autres catégories sensibles.

2. Obligations du sous-traitant (Article 28(3) du RGPD)

2.1 Instructions de traitement

ISMS Copilot ne traitera les Données personnelles du Client que sur instructions documentées de ce dernier, y compris :

  • Les instructions fournies via l'interface de la plateforme (requêtes, transferts de documents, configurations d'espace de travail)

  • Les paramètres de rétention des données configurés par le Client

  • La sélection du mode de protection avancée des données (UE uniquement vs traitement IA par défaut)

  • Les demandes de suppression soumises via la plateforme ou le support

Traitement interdit : Il est contractuellement interdit à ISMS Copilot et à ses sous-traitants IA (xAI, OpenAI, Mistral AI) d'utiliser les Données personnelles du Client pour entraîner, améliorer ou développer des modèles d'IA. Cette interdiction est intégrée dans tous les accords avec les sous-traitants IA.

Si ISMS Copilot estime qu'une instruction viole le RGPD ou d'autres lois sur la protection des données, nous en informerons immédiatement le Client et avons le droit de suspendre le traitement jusqu'à ce que l'instruction soit confirmée ou modifiée. Si le Client confirme une instruction qu'ISMS Copilot estime raisonnablement être en violation de la loi applicable, ISMS Copilot peut refuser d'exécuter l'instruction et, si le désaccord ne peut être résolu, mettre fin aux activités de traitement concernées avec un préavis de 30 jours.

2.2 Confidentialité du traitement

ISMS Copilot s'assure que toutes les personnes autorisées à traiter les Données personnelles du Client :

  • Sont soumises à des obligations de confidentialité (contractuelles ou légales)

  • Reçoivent une formation appropriée sur la protection des données

  • Accèdent aux données uniquement selon le principe du besoin d'en connaître

  • Suivent les procédures documentées de manipulation des données

2.3 Mesures techniques et organisationnelles (Article 32 du RGPD)

ISMS Copilot met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

Mesures de contrôle d'accès :

  • Sécurité au niveau des lignes dans la base de données empêchant l'accès aux données entre utilisateurs

  • Authentification de l'utilisateur requise pour toutes les ressources protégées

  • Isolation des espaces de travail empêchant la contamination croisée des données clients

  • Prise en charge de l'authentification multi-facteurs (MFA)

  • Contrôles automatiques du délai d'expiration de session

Mesures de chiffrement :

  • Chiffrement TLS 1.3 pour les données en transit

  • Chiffrement de la base de données au repos

  • Hachage des mots de passe à l'aide d'algorithmes standard de l'industrie (irréversibles)

  • Stockage de fichiers chiffrés dans Supabase

Mesures de minimisation des données :

  • Seules les données essentielles sont collectées (e-mail, messages, fichiers)

  • Aucune information démographique ou de contact inutile n'est collectée

  • Analyses configurées avec sendDefaultPii: false

  • Périodes de rétention contrôlées par le client avec suppression automatisée

Disponibilité et résilience :

  • Sauvegardes automatisées de la base de données

  • Procédures de reprise après sinistre

  • Surveillance et alertes 24h/24 et 7j/7 via Sentry

  • Surveillance de la disponibilité en temps réel via BetterStack avec alertes instantanées sur Slack

  • Page de statut publique pour la transparence (status.ismscopilot.com)

  • Escalade progressive des incidents par e-mail et SMS

Tests et évaluation :

  • Évaluations régulières de la sécurité

  • Surveillance continue des erreurs et journalisation

  • Tests automatisés de suppression des données

  • Procédures de vérification du contrôle d'accès

Pour des mesures techniques et organisationnelles détaillées, reportez-vous à notre Registre des activités de traitement (RoPA) ou visitez notre Collection Sécurité.

2.4 Engagement de sous-traitants ultérieurs

Autorisation générale : Le Client accorde une autorisation générale à ISMS Copilot pour engager des sous-traitants ultérieurs pour le traitement des Données personnelles du Client, sous réserve des conditions de cette section.

Sous-traitants actuels : La liste complète des sous-traitants est maintenue dans notre Registre des activités de traitement et comprend :

Sous-traitant

Finalité

Emplacement

Statut DPA

Supabase (PostgreSQL + Stockage)

Base de données et stockage de fichiers

UE (Francfort)

✓ Conforme au RGPD

Anthropic (Claude), xAI (Grok-3), OpenAI (GPT) *

Traitement IA (Mode par défaut)

États-Unis

✓ Pas d'entraînement sur les données

Mistral AI *

Traitement IA (Protection avancée)

Union européenne

✓ Conforme au RGPD

Stripe

Traitement des paiements

Global (DPA UE)

✓ Conforme au RGPD

ConvertAPI

Conversion de documents

Point de terminaison UE

✓ Conforme au RGPD

✓ Certifié ISO 27001:2022

✓ DPA signé avec Better ISMS

PostHog

Analyses produit

UE (Francfort)

✓ Conforme au RGPD

Sentry

Surveillance des erreurs

Allemagne

✓ Conforme au RGPD

Vercel

Hébergement Frontend

CDN Global

✓ Conforme au RGPD

Fly.io

Hébergement de l'API Backend

Déploiement UE

✓ Conforme au RGPD

SendGrid (Twilio)

Communications par e-mail

US (SCC)

✓ RGPD + SCC

Kit (ConvertKit)

Communications par e-mail

US (SCC)

✓ RGPD + SCC

* Configurable par l'utilisateur : Un SEUL processeur d'IA est actif à la fois, selon le réglage du Mode de protection avancée des données du Client.

Exigences pour les sous-traitants : ISMS Copilot s'assure que tous les sous-traitants :

  • Fournissent des garanties suffisantes de conformité au RGPD

  • Acceptent des conditions de traitement des données substantiellement équivalentes à ce DPA

  • Mettent en œuvre les mesures techniques et organisationnelles appropriées

  • Restent soumis à la supervision et aux droits d'audit d'ISMS Copilot

Changements de sous-traitants :

  • ISMS Copilot informera les Clients au moins 30 jours avant d'ajouter ou de remplacer des sous-traitants

  • Les notifications seront envoyées par e-mail et via une annonce dans l'application

  • Les Clients peuvent s'opposer aux nouveaux sous-traitants dans un délai de 30 jours

  • Si le Client s'y oppose, ISMS Copilot n'utilisera pas le nouveau sous-traitant ou permettra au Client de résilier le service sans pénalité

Inscrivez-vous aux notifications de changement de sous-traitant en consultant vos préférences d'e-mail dans les Paramètres. Les listes de sous-traitants mises à jour sont toujours disponibles dans le Registre des activités de traitement.

2.5 Assistance aux droits des personnes concernées

ISMS Copilot assistera le Client dans l'exécution des demandes de droits des personnes concernées, notamment :

ISMS Copilot répondra aux demandes d'assistance pour les droits des personnes concernées dans les délais spécifiés ci-dessous. Le Client reste responsable du respect du délai de réponse d'un mois du RGPD envers les personnes concernées (article 12(3)).

Droit d'accès (Article 15) :

  • Accès en libre-service à toutes les conversations et fichiers via la plateforme

  • Exportation complète des données au format JSON disponible sur demande au support (sous 72 heures)

Droit de rectification (Article 16) :

  • Mises à jour en libre-service des paramètres du compte

  • Modifications d'adresse e-mail assistées par le support (sous 30 jours)

Droit à l'effacement (Article 17) :

  • Demandes de suppression de compte traitées par le support

  • Suppression complète des données sous 30 jours

  • Confirmation fournie au Client une fois l'opération terminée

Droit à la portabilité des données (Article 20) :

  • Exportation JSON lisible par machine incluant toutes les Données personnelles du Client

  • Livré sous 72 heures (jusqu'à 5 jours pour les comptes volumineux)

Droit à la limitation du traitement (Article 18) et Droit d'opposition (Article 21) :

  • Traité par le support au cas par cas

  • Réponse sous 30 jours

Le Client est responsable de la vérification de l'identité de la personne concernée avant de demander l'accès ou l'exportation des données. ISMS Copilot fournit les outils et processus, mais le Client conserve la responsabilité principale de répondre aux demandes des personnes concernées.

2.6 Notification de violation de données

En cas de violation de données à caractère personnel affectant les Données personnelles du Client, ISMS Copilot s'engage à :

Détection et évaluation :

  • Surveiller en continu les incidents de sécurité via Sentry et les alertes automatisées

  • Effectuer un examen de l'incident de sécurité dans les 24 heures suivant la détection

  • Évaluer le risque et l'impact potentiel sur les Données personnelles du Client

Notification au Client :

  • Notifier le Client dans les 48 heures suivant la confirmation qu'une violation de données affecte ses données personnelles

  • Pour les violations suspectées en cours d'investigation, fournir une notification préliminaire sous 24 heures avec des mises à jour au fur et à mesure que les informations deviennent disponibles

  • Fournir une description de la violation, y compris les catégories et le nombre approximatif de personnes concernées

  • Décrire les conséquences probables de la violation

  • Décrire les mesures prises ou proposées pour remédier à la violation et en atténuer les effets

  • Fournir un point de contact pour plus d'informations

Coopération :

  • Coopérer avec les efforts d'investigation et de remédiation du Client

  • Fournir une assistance raisonnable pour la notification du Client aux autorités de contrôle et aux personnes concernées

  • Documenter toutes les violations et mesures de remédiation

Le Client demeure responsable de déterminer si la notification aux autorités de contrôle (sous 72 heures selon l'Article 33) et aux personnes concernées (Article 34) est requise. ISMS Copilot fournit les informations nécessaires pour soutenir les décisions et obligations du Client.

2.7 Soutien à l'Analyse d'Impact relative à la Protection des Données (AIPD)

ISMS Copilot fournira une assistance raisonnable lorsque le Client effectue une analyse d'impact relative à la protection des données ou une consultation préalable auprès d'une autorité de contrôle, notamment en :

  • Fournissant le Registre des activités de traitement pour référence

  • Décrivant les mesures techniques et organisationnelles mises en œuvre

  • Clarifiant les flux de données et les accords avec les sous-traitants ultérieurs

  • Répondant aux questions spécifiques sur les opérations de traitement

2.8 Suppression et restitution des données

À la fin des services ou à la demande du Client, ISMS Copilot s'engage à :

Suppression standard (par défaut) :

  • Supprimer toutes les Données personnelles du Client dans les 30 jours suivant la résiliation

  • Écraser les données de sauvegarde dans les 90 jours

  • Fournir une confirmation écrite de la suppression sur demande

Exportation des données avant suppression :

  • Le Client peut demander une exportation complète des données avant la résiliation

  • Exportation fournie au format JSON sous 72 heures

  • La suppression intervient après confirmation de la réception de l'exportation

Exceptions légales de conservation :

  • Les enregistrements de facturation anonymisés sont conservés pendant 7 ans (conformité fiscale et comptable)

  • Les données analytiques anonymisées peuvent être conservées

  • Le contenu signalé par les systèmes de modération automatisés est conservé jusqu'à 1 an pour la conformité légale et l'examen de la sécurité de la plateforme (voir Politique de confidentialité, section Modération du contenu)

  • Les données dont la conservation est requise par la loi applicable seront isolées et protégées jusqu'à l'expiration de la période de conservation légale

2.9 Droits d'audit

Le Client a le droit d'auditer la conformité d'ISMS Copilot avec ce DPA, sous réserve de limitations raisonnables :

Examen de la documentation :

  • Le Client peut consulter la documentation de conformité publique dans notre Collection Sécurité

  • Demander une documentation supplémentaire au support (ex: accords de sous-traitance, politiques de sécurité)

  • Consulter le Registre des activités de traitement à tout moment

Audits sur site :

  • Le Client peut effectuer des audits sur site avec un préavis écrit de 60 jours

  • Un maximum d'un audit par an, sauf si nécessaire suite à une violation de données

  • Les audits doivent être effectués pendant les heures de bureau et ne pas interférer avec les opérations

  • Le Client est responsable des coûts d'audit, sauf si l'audit révèle un défaut de conformité qui : (a) constitue une violation de données personnelles, ou (b) implique un échec systématique à mettre en œuvre les mesures de sécurité documentées, ou (c) entraîne une action répressive réglementaire. Dans de tels cas, ISMS Copilot supportera les coûts d'audit raisonnables encourus après l'identification du défaut de conformité.

  • Les résultats restent confidentiels et ne peuvent être partagés que si la loi l'exige

Certifications tierces :

  • ISMS Copilot obtiendra et maintiendra les certifications de sécurité pertinentes (ISO 27001 en cours)

  • Les rapports de certification peuvent être partagés sur demande sous réserve d'un accord de confidentialité (NDA)

  • Les Clients peuvent s'appuyer sur des certifications tierces au lieu de réaliser leurs propres audits

3. Transferts internationaux de données

3.1 Mécanismes de transfert de données

ISMS Copilot traite les Données personnelles du Client conformément au Chapitre V du RGPD :

Stockage principal (toujours en UE) :

  • Tout le stockage en base de données s'effectue à Francfort, Allemagne (AWS EU-Central-1)

  • L'historique des conversations, les fichiers téléchargés et les données de compte restent dans l'UE

  • Aucune décision d'adéquation n'est requise pour le stockage principal

Traitement IA (configurable par le Client) :

Lorsque le mode de protection avancée des données est ACTIF : le traitement de l'IA s'effectue au sein de l'UE via Mistral AI avec zéro conservation de données. Aucun transfert international de données n'a lieu pour le traitement IA.

Lorsque la protection avancée des données est DÉSACTIVÉE (par défaut) : le contenu des conversations est transféré aux États-Unis pour le traitement par l'IA via xAI/OpenAI avec une conservation de 30 jours. Les clauses contractuelles types s'appliquent à ces transferts.

Communications par e-mail (basées aux États-Unis) :

  • Les adresses e-mail sont transférées à SendGrid et Kit (États-Unis)

  • Protégé par des clauses contractuelles types approuvées par la Commission européenne

  • Les clients peuvent minimiser les transferts en se désinscrivant des e-mails non essentiels

3.2 Clauses contractuelles types (CCT)

Pour les transferts vers les États-Unis, ISMS Copilot s'appuie sur les clauses contractuelles types (Décision d'exécution de la Commission (UE) 2021/914) :

  • Du Client à ISMS Copilot : le module deux (responsable du traitement à sous-traitant) s'applique lorsque le Client agit en tant que responsable du traitement

  • D'ISMS Copilot aux sous-traitants américains : le module trois (sous-traitant à sous-traitant) s'applique

  • Loi applicable pour les CCT : Loi française (Clause 17, Option 1)

  • Autorité de contrôle compétente : CNIL, France (Clause 13)

  • Des copies des CCT signées avec les sous-traitants sont disponibles sur demande auprès du support

3.3 Mesures supplémentaires

ISMS Copilot met en œuvre des mesures supplémentaires pour protéger les données transférées hors de l'UE :

  • Chiffrement de bout en bout (TLS 1.3) pour toutes les données en transit

  • Interdiction contractuelle de l'entraînement de l'IA utilisant les données du Client

  • Rétention limitée par les fournisseurs d'IA (30 jours pour xAI/OpenAI, zéro pour Mistral AI)

  • Capacité du Client à contrôler la destination du transfert via le mode de protection avancée des données

  • Surveillance continue des développements juridiques concernant les transferts internationaux

3.4 Analyse d'impact du transfert

ISMS Copilot a réalisé une analyse d'impact du transfert (TIA) pour les sous-traitants basés aux États-Unis et a déterminé que :

  • Les clauses contractuelles types constituent des garanties appropriées au titre du chapitre V du RGPD

  • Les mesures techniques supplémentaires (chiffrement, rétention limitée, contrôles utilisateur) renforcent la protection

  • Les Clients ont la possibilité d'éviter totalement les transferts de traitement IA vers les États-Unis en activant le mode de protection avancée des données (traitement en UE uniquement avec rétention nulle)

  • Les transferts d'e-mails vers les fournisseurs américains (SendGrid, Kit) demeurent indépendamment du mode de protection avancée, mais sont protégés par les CCT et le chiffrement

  • Il n'existe aucune preuve que les sous-traitants aient reçu des demandes d'accès gouvernementales pour les données des Clients

L'analyse d'impact du transfert complète, y compris la méthodologie d'évaluation des risques et l'analyse de la loi américaine sur la surveillance, est disponible sur la page Transfer Impact Assessment.

Les organisations ayant des exigences strictes en matière de résidence des données dans l'UE doivent activer le mode de protection avancée des données pour éliminer les transferts liés au traitement de l'IA et simplifier leurs obligations d'analyse d'impact du transfert. Les transferts d'e-mails vers les fournisseurs américains subsistent mais sont minimisés en se désinscrivant des communications non essentielles. Consultez notre TIA pour plus de détails.

4. Obligations du Client en tant que responsable du traitement

4.1 Légalité des instructions de traitement

Le Client garantit que :

  • Toutes les instructions de traitement sont conformes au RGPD et aux lois applicables sur la protection des données

  • Le Client dispose d'une base légale pour traiter toutes les données personnelles téléchargées sur la plateforme

  • Le Client a informé les personnes concernées du traitement et de leurs droits

  • Le Client tient des registres appropriés des activités de traitement (Article 30 du RGPD)

4.2 Catégories particulières de données

Si le Client télécharge des catégories particulières de données (Article 9 du RGPD), le Client confirme que :

  • Les conditions appropriées de l'article 9 sont remplies (ex: consentement explicite, actions en justice, intérêt public important)

  • Des garanties supplémentaires sont en place comme l'exige la loi

  • Le Client a effectué une analyse d'impact relative à la protection des données si nécessaire

4.3 Gestion des droits des personnes concernées

Le Client est responsable de :

  • Réceptionner et répondre aux demandes de droits des personnes concernées

  • Vérifier l'identité de la personne concernée avant de demander des données à ISMS Copilot

  • Déterminer s'il convient de notifier les autorités de contrôle et les personnes concernées en cas de violation

  • S'assurer que les personnes concernées sont informées du rôle d'ISMS Copilot en tant que sous-traitant

4.4 Configuration de la rétention des données

Le Client doit :

  • Configurer des périodes de rétention des données appropriées correspondant à leurs politiques de protection des données

  • Revoir périodiquement les paramètres de rétention pour assurer la conformité

  • Demander la suppression lorsque les données ne sont plus nécessaires à la finalité initiale

4.5 Isolation de l'espace de travail

Le Client devrait :

  • Créer des espaces de travail séparés pour différents clients ou catégories de données

  • Éviter de mélanger les données personnelles de différentes personnes concernées dans un seul espace de travail

  • Supprimer les espaces de travail lorsque les projets sont terminés et que les données ne sont plus nécessaires

5. Responsabilité et indemnisation

5.1 Répartition de la responsabilité

Conformément à l'Article 82 du RGPD :

  • Le Client et ISMS Copilot sont chacun responsables des dommages causés par leurs propres violations du RGPD

  • ISMS Copilot est exonéré de sa responsabilité s'il prouve que le fait à l'origine du dommage ne lui est pas imputable

  • ISMS Copilot n'est pas responsable des dommages résultant d'instructions de traitement illicites du Client

5.2 Indemnisation

Le Client indemnisera ISMS Copilot contre toute réclamation, amende ou dommage résultant de :

  • La violation par le Client du RGPD ou d'autres lois sur la protection des données

  • Les instructions de traitement illicites du Client

  • Le défaut du Client d'obtenir les consentements nécessaires ou la base légale pour le traitement

  • Le téléchargement par le Client de catégories particulières de données sans garanties appropriées

6. Durée et résiliation

6.1 Durée

Ce DPA prend effet à la date à laquelle le Client utilise pour la première fois les services d'ISMS Copilot et se poursuit tant qu'ISMS Copilot traite des Données personnelles du Client.

6.2 Résiliation

Ce DPA prend fin automatiquement en cas de :

  • Résiliation des Conditions de service

  • Achèvement de toutes les activités de traitement et suppression des Données personnelles du Client

6.3 Effet de la résiliation

En cas de résiliation :

  • ISMS Copilot supprimera ou restituera toutes les Données personnelles du Client comme décrit à la section 2.8

  • Les obligations concernant la confidentialité, la sécurité des données et la conservation légale survivent à la résiliation

  • Le droit d'audit du Client survit pendant 12 mois après la résiliation

7. Modifications et mises à jour

7.1 Mises à jour du DPA

ISMS Copilot peut mettre à jour ce DPA pour refléter :

  • Des changements dans les lois sur la protection des données ou les directives réglementaires

  • Des changements apportés aux opérations de traitement ou aux sous-traitants

  • Des améliorations des mesures de sécurité ou des pratiques de protection des données

7.2 Notification des changements

  • Les changements matériels seront notifiés au moins 30 jours à l'avance par e-mail et notification dans l'application

  • Le DPA mis à jour sera publié à cette URL avec une nouvelle « Date d'effet »

  • L'utilisation continue des services après la date d'entrée en vigueur constitue une acceptation du DPA mis à jour

7.3 Droits d'opposition

  • Le Client peut s'opposer à des changements matériels dans un délai de 30 jours suivant la notification

  • Si le Client s'y oppose, il peut résilier le service sans pénalité

8. Loi applicable et juridiction

8.1 Loi applicable

Ce DPA est régi par :

  • Le Règlement général sur la protection des données (UE) 2016/679

  • La loi française sur la protection des données (Loi Informatique et Libertés 78-17 du 6 janvier 1978)

  • Les lois de la France pour l'interprétation contractuelle

8.2 Juridiction

Tout litige découlant de ce DPA sera soumis à la juridiction des tribunaux français, l'autorité de contrôle étant la Commission Nationale de l'Informatique et des Libertés (CNIL).

9. Informations de contact

9.1 Contacts pour la protection des données

Pour les questions ou demandes liées au DPA :

  • Contactez le support via le Centre d'aide (accessible via le menu utilisateur)

  • Envoyez un e-mail à partir de l'adresse e-mail de votre compte enregistré

  • Incluez « Demande DPA » ou « Accord de traitement des données » dans la ligne d'objet

9.2 Contact pour la protection des données

ISMS Copilot n'a pas désigné de Délégué à la Protection des Données car nous ne remplissons pas les critères de désignation obligatoire selon l'article 37 du RGPD. Pour les demandes relatives à la protection des données liées à ce DPA, contactez-nous à [email protected] ou via le Centre d'aide.

9.3 Autorité de contrôle

Commission Nationale de l'Informatique et des Libertés (CNIL)

  • Site web : https://www.cnil.fr/en

  • Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France

  • Téléphone : +33 1 53 73 22 22

10. Ressources supplémentaires

Documentation de soutien

  • Registre des activités de traitement (RoPA) - Détail des opérations de traitement et des sous-traitants

  • Analyse d'impact du transfert (TIA) - Évaluation des risques et garanties pour le transfert international de données

  • Politique de confidentialité - Avis de confidentialité destiné aux consommateurs

  • Confidentialité des données et conformité RGPD - Droits des utilisateurs et guide de mise en œuvre du RGPD

  • Collection Sécurité - Documentation complète sur la sécurité et la conformité

  • Page de statut - Disponibilité du système en temps réel et notifications d'incidents

Guides de configuration

  • Mode de protection avancée des données - Activer le traitement IA exclusivement en UE

  • Guide de configuration de l'espace de travail - Isoler correctement les données clients

  • Guide de sécurité du compte - Mettre en œuvre une authentification forte

Annexe A : Résumé des détails du traitement

Objet

Fourniture d'une plateforme d'assistance à la conformité alimentée par l'IA, comprenant le traitement des conversations, l'analyse de documents et la gestion des connaissances.

Durée

Pour la durée de l'abonnement actif du Client plus la période de rétention configurée par le Client (1 jour à 7 ans), suivie d'une fenêtre de suppression de 30 jours.

Nature et Finalité

  • Nature : Traitement automatisé par IA, stockage en base de données, conversion et analyse de fichiers

  • Finalité : Permettre aux professionnels de la conformité de recevoir des conseils de l'IA, d'analyser des documents, de générer des politiques et de gérer les connaissances en matière de conformité

Catégories de personnes concernées

  • Employés du client et utilisateurs autorisés de la plateforme

  • Clients du client (lorsqu'ils sont mentionnés dans les documents ou les requêtes)

  • Individus mentionnés dans la documentation de conformité

  • Sujets liés à des incidents de sécurité

Catégories de données à caractère personnel

  • Informations de contact (adresses e-mail)

  • Identifiants d'authentification (mots de passe hachés)

  • Contenu des conversations et interactions avec l'IA

  • Documents de conformité téléchargés

  • Métadonnées d'utilisation et horodatages

  • Potentiellement des catégories particulières de données (Article 9) si elles sont téléchargées par le Client

Annexe B : Journal des modifications des sous-traitants ultérieurs

Cette annexe suit tous les ajouts, suppressions et modifications de sous-traitants depuis la date d'entrée en vigueur du DPA. Les Clients sont informés 30 jours avant la prise d'effet des changements.

À jour en date de novembre 2025

Liste initiale des sous-traitants établie. Voir la section 2.4 et le Registre des activités de traitement pour la liste complète actuelle.

Changements futurs

Tous les changements de sous-traitants seront documentés ici avec :

  • Date d'effet du changement

  • Nom et emplacement du sous-traitant

  • Nature du changement (ajout, suppression, remplacement)

  • Finalité du traitement

  • Date de notification au Client

Obtenir de l'aide

Pour toute question concernant cet Accord de traitement des données :

  • Consultez le Registre des activités de traitement pour les détails techniques du traitement

  • Contactez le support via le Centre d'aide pour obtenir des éclaircissements

  • Demandez une documentation supplémentaire (ex: CCT, politiques de sécurité) via le support

  • Visitez notre Collection Sécurité pour des ressources de conformité complètes

  • Incluez « Demande DPA » dans votre objet pour un traitement prioritaire

Cela vous a-t-il été utile ?