Document contractuel · Annexe 1 CGU

Accord de Traitement des Données

DPA — Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD) · Version 1.0 · Avril 2026

Entre

CONCORDIA AI — SASU, 11 rue des Pins, 03300 Creuzier-le-Vieux, représentée par Alban Bouquet des Chaux (ci-après le « Sous-traitant »)

Et

Le Client ayant souscrit à la Solution Concordia (ci-après le « Responsable de traitement »)

Le présent DPA est opposable dès l'acceptation des Conditions Générales d'Utilisation de Concordia AI.

Article 1 — Objet et durée

Le présent Accord de Traitement des Données (ci-après le « DPA ») définit les conditions dans lesquelles le Sous-traitant traite des données personnelles pour le compte du Responsable de traitement dans le cadre de la fourniture de la Solution Concordia.

Il entre en vigueur à la date de création du compte et reste en vigueur pendant toute la durée du contrat principal, puis jusqu'à destruction complète des données conformément à l'Article 9.

Article 2 — Nature et finalités du traitement

Le Sous-traitant traite les données personnelles suivantes pour le compte du Responsable de traitement :

Catégories de données

  • Données d'identification des utilisateurs : nom, prénom, adresse email, numéro de téléphone
  • Données professionnelles : nom de l'organisation, fonction, secteur d'activité
  • Données de conformité : cas d'usage IA, obligations réglementaires, preuves de conformité, historique des actions
  • Données de connexion : logs d'accès, horodatages

Catégories de personnes concernées

  • Utilisateurs de la Solution (collaborateurs du Responsable de traitement)
  • Référents conformité désignés

Finalités du traitement

  • Fourniture et exploitation de la Solution Concordia
  • Gestion du registre de conformité AI Act
  • Horodatage et traçabilité des actions (ledger SHA-256)
  • Support technique et relation client

Article 3 — Obligations du Sous-traitant

3.1 Instructions documentéesTraiter les données personnelles uniquement sur instruction documentée du Responsable de traitement, telle qu'exprimée dans le contrat principal et le présent DPA. Si le Sous-traitant estime qu'une instruction viole le RGPD, il en informe immédiatement le Responsable de traitement.

3.2 ConfidentialitéVeiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3.3 SécuritéMettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'Article 5 du présent DPA afin de garantir un niveau de sécurité adapté au risque.

3.4 Sous-traitants ultérieursNe pas recruter de nouveaux sous-traitants ultérieurs sans en informer le Responsable de traitement. Une autorisation générale est donnée par le Responsable de traitement pour les sous-traitants ultérieurs listés à l'Article 6. Le Sous-traitant informe le Responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, lui donnant ainsi la possibilité d'émettre des objections.

3.5 Assistance au Responsable de traitementAider le Responsable de traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

3.6 Assistance pour les obligations RGPDAider le Responsable de traitement à garantir le respect des obligations relatives à la sécurité, à la notification des violations, à l'analyse d'impact et à la consultation préalable, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.

3.7 AuditsMettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent DPA, et permettre la réalisation d'audits ou d'inspections, menés par le Responsable de traitement ou un auditeur mandaté par lui, en donnant un préavis écrit de 30 jours minimum.

Article 4 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

  • Fournir au Sous-traitant des instructions licites et documentées concernant le traitement des données
  • S'assurer que les personnes concernées ont été informées du traitement de leurs données
  • Veiller à la licéité de la collecte des données transmises au Sous-traitant
  • Notifier sans délai le Sous-traitant de toute modification des instructions de traitement

Article 5 — Mesures de sécurité techniques et organisationnelles (TOM)

Le Sous-traitant met en œuvre les mesures suivantes :

Sécurité technique

  • Chiffrement des données en transit (HTTPS/TLS)
  • Chiffrement des données au repos (Supabase/AWS)
  • Authentification par JWT avec sessions sécurisées
  • Hachage des mots de passe (bcrypt, 12 rounds)
  • Registre cryptographique SHA-256 horodaté et chaîné
  • Isolation des données par organisation
  • Sauvegardes automatiques quotidiennes

Sécurité organisationnelle

  • Accès aux données de production limité au personnel strictement nécessaire
  • Politique de confidentialité opposable aux collaborateurs
  • Procédure de gestion des incidents de sécurité
  • Notification des violations dans les 72 heures suivant leur détection

Article 6 — Sous-traitants ultérieurs autorisés

Le Responsable de traitement donne une autorisation générale au Sous-traitant pour faire appel aux sous-traitants ultérieurs suivants :

Sous-traitantRôleLocalisationGarantie
Supabase (AWS eu-north-1)Base de donnéesStockholm, UEIntra-UE ✅
Vercel Inc.Hébergement applicatifUSA + Edge mondialSCCs UE
Resend Inc.Emails transactionnelsUSASCCs UE
OpenAI LLCTraitement IAUSASCCs UE

Le Sous-traitant s'assure que ses sous-traitants ultérieurs présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Article 7 — Transferts de données hors UE

Pour les sous-traitants ultérieurs situés hors de l'Union européenne (Vercel, Resend, OpenAI), les transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne conformément à la décision 2021/914/UE.

Article 8 — Violations de données personnelles

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance de la violation. La notification comprend :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif d'enregistrements concernés
  • Les mesures prises ou envisagées pour remédier à la violation

Article 9 — Sort des données en fin de contrat

À l'expiration ou résiliation du contrat principal, le Sous-traitant s'engage à :

1. Mise à disposition pour export

Dans les 30 jours suivant la fin du contrat, le Responsable de traitement peut exporter l'ensemble de ses données via l'interface de la Solution ou en faisant une demande à privacy@concordia-ai.eu.

2. Suppression

À l'issue du délai de 30 jours, ou sur demande expresse du Responsable de traitement, le Sous-traitant procède à la suppression définitive et irréversible de l'ensemble des données personnelles du Responsable de traitement.

3. Attestation

Sur demande, le Sous-traitant fournit une attestation écrite de destruction des données.

Les données de facturation sont conservées conformément aux obligations légales (10 ans).

Article 10 — Loi applicable

Le présent DPA est régi par le droit français et le Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son interprétation ou exécution est soumis à la compétence exclusive des tribunaux de Vichy.

Fait à Creuzier-le-Vieux — Version 1.0 — Avril 2026

← Retour aux CGUCréer mon compte →