Cette traduction française est fournie à titre informatif uniquement. La version anglaise originale fait foi. Le droit néerlandais s'applique; tribunal exclusif: Amsterdam.
1. Parties
Le présent ATD est conclu entre :
Responsable du traitement : Le Client qui a accepté les Conditions Générales d'Utilisation et utilise le Service en qualité de responsable du traitement.
Sous-traitant : Alpha Digital B.V., opérant sous le nom de Custos AI — Stationsplein 26, 6512 AB Nijmegen, NL · KvK 72313129
Le présent ATD fait partie intégrante des Conditions Générales d'Utilisation et y est incorporé. Il est conclu conformément à l'article 28 du RGPD.
2. Définitions
- « Personne concernée » — une personne physique identifiée ou identifiable dont les données personnelles sont traitées dans le cadre du présent ATD.
- « Données personnelles » — toute information relative à une personne concernée traitée par le sous-traitant pour le compte du responsable du traitement dans le cadre du Service.
- « Traitement » — toute opération ou tout ensemble d'opérations effectuées sur des données personnelles, au sens de l'article 4(2) du RGPD.
- « Incident de sécurité » — une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles, de manière accidentelle ou illicite.
- « Sous-traitant ultérieur » — tout tiers engagé par le sous-traitant pour traiter des données personnelles pour le compte du responsable du traitement.
3. Périmètre et rôles
Le présent ATD s'applique à tous les traitements de données personnelles effectués par le sous-traitant pour le compte du responsable du traitement dans le cadre de la fourniture du Service. Le responsable du traitement détermine les finalités et les moyens du traitement. Le sous-traitant traite les données personnelles uniquement pour le compte du responsable du traitement et conformément à ses instructions documentées.
Note sur les fournisseurs LLM (BYOK) : Le présent ATD ne s'applique pas au traitement des données personnelles par les fournisseurs LLM tiers. Dans le cadre du modèle BYOK, le responsable du traitement maintient une relation contractuelle directe avec chaque fournisseur LLM via ses propres clés API. Le sous-traitant agit uniquement comme intermédiaire technique transmettant les requêtes du responsable du traitement à l'API du fournisseur LLM ; le sous-traitant ne détermine pas les finalités ou les moyens du traitement effectué par les fournisseurs LLM.
4. Détails du traitement
Objet
La fourniture d'une plateforme de chat multi-LLM, incluant la gestion des comptes utilisateurs, la fonctionnalité de chat, le téléversement et le stockage de fichiers, les fonctionnalités de collaboration en équipe, et les services d'assistance associés.
Catégories de personnes concernées
Les employés, prestataires, représentants et toute autre personne du responsable du traitement dont les données personnelles sont soumises au Service par ou pour le compte du responsable du traitement.
Types de données personnelles
| Catégorie | Exemples |
|---|---|
| Données de compte | Nom, adresse e-mail, mot de passe haché, préférence de langue, configuration MFA |
| Données d'utilisation | Horodatages de connexion, identifiants de session, adresses IP, métadonnées de l'appareil et du navigateur |
| Données de chat | Historique des conversations, prompts, réponses générées par l'IA, modèle LLM sélectionné par conversation |
| Fichiers téléversés | Fichiers PDF, DOCX, XLSX, images, CSV et TXT téléversés par les personnes concernées |
| Métadonnées de facturation | Plan d'abonnement, cycle de facturation, identifiant client Stripe |
| Données d'équipe et d'espace de travail | Nom de l'organisation, appartenance à l'espace de travail, rôles des utilisateurs, modèles de prompts partagés |
| Données de budget et de coûts | Limites budgétaires API configurées, utilisation estimée des tokens et coûts par utilisateur et par fournisseur |
Catégories particulières de données
Le sous-traitant ne traite pas intentionnellement de catégories particulières de données personnelles au sens de l'article 9 du RGPD. Le responsable du traitement ne doit pas soumettre de catégories particulières de données personnelles au Service, sauf si le responsable du traitement a assuré une base légale valide et des garanties appropriées en vertu de l'article 9 du RGPD.
5. Obligations du responsable du traitement
- Le responsable du traitement garantit qu'il dispose d'une base légale valide au titre du RGPD pour le traitement des données personnelles via le Service.
- Le responsable du traitement est responsable de fournir des avis de confidentialité appropriés aux personnes concernées et de répondre aux demandes des personnes concernées, avec l'assistance du sous-traitant.
- Le responsable du traitement est responsable de s'assurer de la licéité de toutes les données transmises aux fournisseurs LLM tiers via le Service, y compris la conclusion d'accords de traitement des données appropriés avec ces fournisseurs.
- Le responsable du traitement fournit des instructions documentées au sous-traitant concernant le traitement. L'accord et le présent ATD constituent les instructions documentées initiales du responsable du traitement.
6. Obligations du sous-traitant
- Le sous-traitant traite les données personnelles uniquement sur les instructions documentées du responsable du traitement.
- Le sous-traitant s'assure que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité.
- Le sous-traitant met en œuvre et maintient des mesures de sécurité techniques et organisationnelles appropriées.
- Le sous-traitant n'engage pas un autre sous-traitant (sous-traitant ultérieur) sans satisfaire aux conditions énoncées à la Section 8.
- Le sous-traitant assiste le responsable du traitement dans l'exécution des obligations de réponse aux demandes de droits des personnes concernées.
- Le sous-traitant assiste le responsable du traitement pour assurer le respect des articles 32 à 36 du RGPD.
- Au choix du responsable du traitement, le sous-traitant supprime ou restitue toutes les données personnelles après la fin de la prestation de services.
7. Mesures techniques et organisationnelles
Le sous-traitant met en œuvre et maintient les mesures de sécurité suivantes :
| Domaine | Mesure |
|---|---|
| Chiffrement au repos | AES-256 pour toutes les données stockées via Supabase ; AES-256-GCM pour les clés API |
| Chiffrement en transit | TLS 1.2 ou supérieur sur toutes les connexions |
| Authentification | E-mail + mot de passe avec authentification multifacteur TOTP obligatoire |
| Contrôle d'accès | Moindre privilège, accès basé sur les rôles ; isolation multi-locataire appliquée via Supabase Row Level Security (RLS) au niveau de la base de données |
| Sécurité réseau | HTTPS uniquement ; HSTS ; isolation réseau gérée par Supabase au niveau de la base de données |
| En-têtes de sécurité | HSTS, X-Content-Type-Options, X-Frame-Options, CSP, Referrer-Policy, Permissions-Policy |
| Sauvegarde | Sauvegardes chiffrées automatisées quotidiennes via Supabase ; récupération point-in-time disponible ; tests de restauration mensuels |
| Récupération | Objectif RTO : 4 heures ; Objectif RPO : 24 heures (objectifs opérationnels non contractuels) |
| Surveillance | Surveillance applicative via Vercel Observability |
| Gestion des vulnérabilités | Évaluation OWASP Top 10 ; scan automatisé des dépendances (Dependabot) ; analyse statique CodeQL |
| Application du budget | Limites budgétaires strictes basées sur LiteLLM bloquant les appels API avant transmission aux fournisseurs LLM |
| Réponse aux incidents | Notification au responsable du traitement dans les 48 heures suivant un incident de sécurité |
| Hébergement des données | Exclusivement au sein de l'UE : Francfort, Allemagne (Supabase) et Amsterdam, Pays-Bas (TransIP) |
8. Sous-traitants ultérieurs
Le responsable du traitement accorde au sous-traitant une autorisation générale pour faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage de fichiers | Francfort, Allemagne (UE) |
| TransIP B.V. | Hébergement VPS pour le proxy LiteLLM (application du budget, routage des requêtes LLM) | Amsterdam, Pays-Bas (UE) |
| Vercel, Inc. | Frontend et edge computing (site web et application) | Réseau edge UE |
| Lettermint | Envoi d'e-mails transactionnels | UE |
| Stripe Payments Europe, Ltd. | Traitement des paiements et Stripe Tax | Dublin, Irlande (UE) |
Le sous-traitant informe le responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, en lui donnant la possibilité de s'y opposer. La notification sera fournie au moins 30 jours avant l'entrée en vigueur du changement via la liste des sous-traitants ultérieurs sur custosai.eu/sub-processors.
9. Droits des personnes concernées
Le sous-traitant assiste le responsable du traitement pour répondre aux demandes des personnes concernées exerçant leurs droits en vertu du Chapitre III du RGPD (y compris l'accès, la rectification, l'effacement, la limitation, la portabilité et l'opposition). Dans la mesure du possible sur le plan technique, le sous-traitant fournit au responsable du traitement les moyens de satisfaire ces demandes, y compris via les fonctionnalités en libre-service de la plateforme.
10. Incidents de sécurité
- Le sous-traitant notifie le responsable du traitement sans délai injustifié, et en tout état de cause dans les 48 heures, après avoir pris connaissance d'un incident de sécurité affectant des données personnelles traitées pour le compte du responsable du traitement.
- La notification comprend : une description de la nature de l'incident de sécurité ; les coordonnées du point de contact ; une description des conséquences probables ; et une description des mesures prises ou proposées.
- S'il n'est pas possible de fournir toutes les informations en même temps, le sous-traitant les fournit par étapes sans nouveau délai injustifié.
- La notification d'un incident de sécurité ne constitue pas une reconnaissance de faute ou de responsabilité de la part du sous-traitant.
11. Audits
- Le sous-traitant met à la disposition du responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer la conformité avec le présent ATD et l'article 28 du RGPD.
- Le responsable du traitement peut réaliser un audit sous réserve des conditions suivantes : préavis écrit d'au moins 30 jours ; maximum une fois par année civile (sauf si un incident de sécurité s'est produit) ; audits effectués pendant les heures ouvrables ; frais à la charge du responsable du traitement.
- Le sous-traitant peut satisfaire aux demandes d'audit en fournissant des rapports d'audit tiers pertinents ou des certifications (par exemple ISO 27001, SOC 2 Type II) lorsqu'ils sont disponibles.
12. Restitution et suppression des données
- Pendant la durée de l'accord, le responsable du traitement peut exporter les données personnelles à tout moment via la fonctionnalité d'export en libre-service (formats JSON et CSV).
- À la résiliation, le sous-traitant conserve les données personnelles du responsable du traitement pendant 30 jours calendaires pour permettre l'export des données.
- Après la période de conservation de 30 jours, le sous-traitant supprime toutes les données personnelles et confirme la suppression par écrit à la demande du responsable du traitement.
- Les fichiers téléversés sont soumis à une suppression automatique 30 jours calendaires après le téléversement par défaut. Les administrateurs peuvent épingler des fichiers individuels pour empêcher la suppression automatique ; les fichiers épinglés restent jusqu'à leur suppression explicite. Les clients Enterprise peuvent convenir de politiques de conservation personnalisées via leur contrat.
- Les copies de sauvegarde contenant des données personnelles seront supprimées conformément au calendrier de conservation des sauvegardes (30 jours).
13. Transferts internationaux de données
Le sous-traitant stocke et traite toutes les données applicatives des clients (données de compte, données de chat, fichiers téléversés) exclusivement au sein de l'EEE : base de données et stockage de fichiers à Francfort, Allemagne (via Supabase) ; proxy de requêtes LLM et application du budget à Amsterdam, Pays-Bas (via TransIP).
Certains sous-traitants ultérieurs (Stripe, Vercel, Lettermint) peuvent traiter des catégories limitées de données en dehors de l'EEE. Dans chaque cas, le sous-traitant s'assure que des mécanismes de transfert appropriés sont en place, notamment les clauses contractuelles types adoptées par la Commission européenne.
14. Divers
- Conflits : En cas de conflit entre le présent ATD et l'accord, le présent ATD prévaut en ce qui concerne le traitement des données personnelles.
- Amendements : Le présent ATD peut être modifié par le sous-traitant pour refléter les changements du droit applicable en matière de protection des données, avec un préavis d'au moins 30 jours pour les changements importants.
- Droit applicable : Le présent ATD est régi par le droit des Pays-Bas. Tout litige sera soumis au tribunal compétent d'Amsterdam.
- Langue : This DPA is drafted in English. In the event of a conflict between any translated version and the English version, the English version shall prevail.
15. Contact
Pour toute question relative au présent ATD, veuillez contacter :
Alpha Digital B.V., opérant sous le nom de Custos AI
Stationsplein 26, 6512 AB Nijmegen, Pays-Bas
E-mail :