Auris by Vnesium
Se connecter
Retour à la connexion
Annexe contractuelle — RGPD Art. 28

Accord de Traitement des Données (DPA)

Version : 1.0Dernière mise à jour : 21 avril 2026Cet Accord de Traitement des Données (DPA) constitue une annexe contractuelle des CGV d'Auris. Il prévaut en cas de contradiction pour ce qui concerne le traitement des données à caractère personnel.

Le présent Accord de Traitement des Données (ci-après le « DPA») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »), entre :

  • Le Client, agissant en qualité de responsable de traitement (Data Controller) ;
  • L'Éditeur d'Auris — [À COMPLÉTER : RAISON SOCIALE ÉDITEUR], dont le siège social est situé à [À COMPLÉTER : ADRESSE SIÈGE SOCIAL], agissant en qualité de sous-traitant (Data Processor).

1. Objet et portée

Le DPA a pour objet d'encadrer les traitements de données à caractère personnel effectués par l'Éditeur pour le compte du Client dans le cadre de la fourniture du Service Auris. Il s'applique de plein droit dès la souscription à un abonnement, sans qu'une signature distincte soit requise.

2. Nature, finalités et durée du traitement

  • Nature des opérations : collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, extraction, effacement et destruction des données, via la plateforme Auris.
  • Finalités : fourniture des fonctionnalités souscrites (registres IA, RGPD et Machines, audits assistés par IA).
  • Durée :durée de l'abonnement, prorogée des obligations légales de conservation applicables.

3. Catégories de données et de personnes concernées

  • Personnes concernées : dirigeants, salariés, stagiaires, prestataires et représentants du Client.
  • Catégories de données :données d'identification, coordonnées professionnelles, données contractuelles RH, données d'activité, contenu des registres et documents transmis pour analyse (Audit Magique).
  • Données sensibles (art. 9 RGPD) :non sollicitées. Le Client s'interdit de saisir dans le Service des données relatives à la santé, aux opinions politiques, aux convictions religieuses ou à l'orientation sexuelle, sauf base légale documentée de son côté.

4. Obligations du sous-traitant

L'Éditeur s'engage à :

  1. Ne traiter les données que sur instruction documentée du Client (les présentes CGV et la configuration du Service constituant ces instructions), sauf obligation légale contraire ;
  2. Garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée ;
  3. Mettre en œuvre les mesures techniques et organisationnellesdécrites à l'article 6 du présent DPA ;
  4. Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées (art. 12 à 23 RGPD) ;
  5. Notifier au Client, dans les 48 heures maximum après en avoir pris connaissance, toute violation de données à caractère personnel le concernant, afin de lui permettre, le cas échéant, de notifier la CNIL dans le délai de 72 heures prévu à l'art. 33 RGPD ;
  6. À l'issue de la prestation, et au choix du Client, restituer ou supprimerles données, sauf conservation imposée par le droit de l'Union ou d'un État membre ;
  7. Mettre à disposition du Client, sur demande motivée et raisonnable, toute information nécessaire pour démontrer le respect de l'article 28 RGPD.

5. Obligations du responsable de traitement

Le Client s'engage à :

  • documenter la base légale des traitements qu'il confie à l'Éditeur ;
  • informer ses propres personnes concernées (salariés, candidats…) conformément aux articles 13 et 14 RGPD ;
  • configurer le Service conformément à ses politiques internes et à l'état de l'art ;
  • ne pas téléverser de données manifestement illicites ou de données sensibles en l'absence de base légale appropriée.

6. Mesures techniques et organisationnelles

  • Chiffrement TLS 1.3 en transit et AES-256 au repos.
  • Isolation stricte des données entre clients via Row Level Security (RLS) PostgreSQL (Supabase).
  • Double authentification (TOTP) disponible et encouragée pour tous les utilisateurs.
  • Hébergement des bases de données au sein de l'Union européenne (Francfort, Allemagne).
  • Gestion des accès selon le principe du moindre privilège ; journalisation des accès sensibles.
  • Sauvegardes automatiques quotidiennes avec rétention glissante.
  • Revue régulière des dépendances et suivi des bulletins de sécurité (CVE).

7. Sous-traitants ultérieurs

Le Client autorise expressémentl'Éditeur à faire appel aux sous-traitants ultérieurs listés ci-dessous pour l'exécution du Service. L'Éditeur demeure pleinement responsable à l'égard du Client du respect par ces tiers de leurs obligations RGPD.

Sous-traitantFinalitéLocalisationGaranties applicables
Supabase Inc.Hébergement PostgreSQL, authentification, stockage des fichiersFrancfort, Allemagne (UE)DPA Supabase, chiffrement AES-256 at rest, TLS 1.3, RLS activée, hébergement UE
Anthropic PBCFournisseur du modèle d'IA générative Claude (API) pour l'Audit Magique et les fonctionnalités d'analyse assistéeÉtats-UnisAPI commerciale sans entraînement sur les données client, rétention maximale 30 jours par Anthropic, Clauses Contractuelles Types (CCT) de la Commission européenne, suppression immédiate des PDF côté Auris après traitement
Resend, Inc.Envoi des e-mails transactionnels (invitations, codes OTP, notifications applicatives)Union européenne / États-UnisDPA Resend, Clauses Contractuelles Types, minimisation des données transmises (email + corps du message)
Stripe Payments Europe, Ltd.Traitement des paiements par carte et gestion des abonnementsIrlande (UE) avec redondance internationaleDPA Stripe, certification PCI-DSS niveau 1, Clauses Contractuelles Types pour les transferts hors UE
Vercel Inc.Hébergement de l'application frontend Next.js et distribution (CDN Edge)États-Unis (edge mondial)DPA Vercel, Clauses Contractuelles Types, aucune donnée métier persistée côté Vercel (rendu stateless), chiffrement TLS 1.3

L'Éditeur s'engage à informer le Client de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur avec un préavis raisonnable, permettant au Client de formuler d'éventuelles objections motivées par des considérations de protection des données.

8. Transferts hors UE

Tout transfert de données à caractère personnel vers un pays situé en dehors de l'Espace économique européen est encadré par l'un des mécanismes prévus au chapitre V du RGPD :

  • décision d'adéquation de la Commission européenne (art. 45) ;
  • Clauses Contractuelles Types adoptées par la Commission européenne le 4 juin 2021 (art. 46.2.c) ;
  • adhésion au EU-U.S. Data Privacy Framework lorsqu'applicable.

9. Audits et démonstration de conformité

L'Éditeur met à disposition du Client, sur demande écrite motivée et moyennant préavis raisonnable, les éléments documentaires permettant de démontrer le respect de ses obligations au titre de l'article 28 RGPD (politique de sécurité, extraits de registre, attestations des sous-traitants). Le recours à un audit physique demeure exceptionnel, planifié d'un commun accord et réalisé aux frais du Client, dans le respect de la sécurité et de la continuité du Service.

10. Notification de violation

En cas de violation de données à caractère personnel, l'Éditeur notifie le Client dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, par email adressé au contact administratif du Client, en précisant la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises pour y remédier.

11. Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, et sur instruction du Client formulée dans un délai de 30 jours, les données du Client seront, au choix de ce dernier, restituées dans un format structuré et couramment utilisé, ou supprimées de manière définitive des systèmes actifs. Les sauvegardes résiduelles seront purgées selon le cycle de rétention technique habituel.

12. Responsabilité

Chaque partie assume la responsabilité du respect de ses propres obligations au titre du RGPD. Conformément à l'article 82 du RGPD, toute personne ayant subi un dommage du fait d'une violation du Règlement peut engager la responsabilité du responsable de traitement et/ou du sous-traitant, selon la nature du manquement.

13. Contact du Délégué à la Protection des Données

Pour toute demande relative au présent DPA ou à l'exercice des droits des personnes concernées :

  • Nom du DPO : [À COMPLÉTER : NOM DU DPO]
  • Email du DPO : [À COMPLÉTER : EMAIL DPO]
  • Adresse postale : [À COMPLÉTER : ADRESSE POSTALE DU DPO]