Contrat de traitement des données

v1.0-2026-05-20 · en vigueur le 2026-06-05 · Article 28 RGPD + Prestataire de services CCPA

Le présent Contrat de traitement des données (le “DPA”) est incorporé au Contrat-cadre de services (le “MSA”) conclu entre [Entité juridique du Client] (le “Responsable du traitement”) et Ataski, Inc. (le “Sous-traitant”) et en fait partie intégrante. Il régit le Traitement des Données à caractère personnel effectué par le Sous-traitant pour le compte du Responsable du traitement.

1. Définitions

Les termes employés dans le présent DPA ont le sens qui leur est donné dans le RGPD (Règlement (UE) 2016/679) et le CCPA (Cal. Civ. Code §1798.140), le cas échéant. Les définitions suivantes s'appliquent aux deux régimes :

• Responsable du traitement. La personne physique ou morale qui détermine les finalités et les moyens du Traitement des Données à caractère personnel (article 4(7) du RGPD). Aux fins du présent DPA, le Client est le Responsable du traitement.
• Sous-traitant. La personne physique ou morale qui traite des Données à caractère personnel pour le compte du Responsable du traitement (article 4(8) du RGPD). Ataski est le Sous-traitant. Aux fins du CCPA, Ataski agit en qualité de Prestataire de services (Cal. Civ. Code §1798.140(ag)).
• Données à caractère personnel. Toute information se rapportant à une personne physique identifiée ou identifiable (article 4(1) du RGPD) ou Renseignements personnels (CCPA §1798.140(v)) que le Responsable du traitement transmet au Service ou via celui-ci, ou que le Service collecte pour le compte du Responsable du traitement.
• Traitement. Toute opération effectuée sur des Données à caractère personnel, y compris la collecte, le stockage, l’analyse, l’utilisation, la divulgation, la suppression (article 4(2) du RGPD).
• Sous-traitant ultérieur. Tout tiers mandaté par Ataski pour Traiter des Données à caractère personnel pour le compte du Responsable du traitement. La liste actuelle est publiée à l’adresse /legal/subprocessors.
• Personne concernée. Une personne physique identifiée ou identifiable à laquelle se rapportent des Données à caractère personnel.

2. Objet et durée

Objet. Le Sous-traitant fournit des services d’équipe IA au Responsable du traitement (les “Services”). Dans le cadre de la fourniture des Services, le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement, conformément aux instructions documentées du Responsable du traitement.

Durée. Le présent DPA prend effet le 2026-06-05 et demeure en vigueur pendant toute la durée de l’abonnement sous-jacent, majorée d’une fenêtre de conservation des données de 30 jours durant laquelle le Responsable du traitement peut exporter les Données client via le point de terminaison en libre-service /api/export, après quoi le Sous-traitant supprime toutes les Données client (article 28(3)(g) du RGPD).

3. Nature et finalité du Traitement

La nature et la finalité du Traitement sont déterminées par les rôles d'équipe IA que le Responsable du traitement active sur son espace de travail (Assistant Commercial Sortant, Prospection de Professionnels Agréés, Analyste Financier, Rédacteur de Dossiers de Conseil d'Administration, Rédacteur de Réponses Support, Gestionnaire de Renouvellements, Surveillance des Comptes Clients, Synthèse de contrat, Coordinateur de Comptes Rendus de Réunion). La matrice de capacités de chaque rôle est publiée sur la page marketing correspondante, et l'activation du rôle par le Responsable du traitement constitue une instruction documentée de Traiter des Données à caractère personnel dans le périmètre déclaré de ce rôle.

4. Types de Données à caractère personnel et catégories de Personnes concernées

Types de Données à caractère personnel. Données de contact professionnelles (nom, e-mail professionnel, téléphone professionnel, intitulé de poste) ; métadonnées de communication (horodatages d’envoi/réception d’e-mails, présence aux réunions) ; contenu fourni par le Responsable du traitement (CSV téléversés, documents de conseil d’administration, projets de contrats) ; intrants et résultats du modèle (invites et réponses rédigées par l’IA).

Catégories de Personnes concernées. Les employés, sous-traitants, clients, prospects, fournisseurs, membres du conseil d’administration et participants aux réunions du Responsable du traitement dont celui-ci transmet les données au Service ou via celui-ci.

5. Obligations du Responsable du traitement

Le Responsable du traitement est responsable du respect des lois applicables en matière de protection des données à l'égard des Données à caractère personnel qu'il transmet au Service, y compris l'établissement d'une base légale pour le Traitement (article 6 du RGPD) et la fourniture des informations requises aux Personnes concernées. Le Responsable du traitement garantit que ses instructions documentées au Sous-traitant sont conformes au RGPD et aux autres lois applicables en matière de protection des données.

6. Obligations du Sous-traitant (article 28(3) du RGPD)

1. Instructions documentées. Le Sous-traitant traite les Données à caractère personnel uniquement sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts internationaux de données, sauf s’il y est tenu en vertu du droit de l’Union ou de l’État membre auquel le Sous-traitant est soumis ; dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation légale avant le Traitement, sauf si le droit interdit une telle information pour des motifs importants d’intérêt public.
2. Confidentialité. Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
3. Sécurité. Le Sous-traitant met en œuvre des Mesures techniques et organisationnelles appropriées (Annexe A) pour garantir un niveau de sécurité adapté au risque (article 32 du RGPD).
4. Sous-traitance ultérieure. Le Sous-traitant ne fait appel à des Sous-traitants ultérieurs que dans les conditions prévues au §7 ci-dessous.
5. Assistance aux droits des Personnes concernées. Le Sous-traitant aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées, à s’acquitter de son obligation de répondre aux demandes des Personnes concernées au titre du chapitre III du RGPD (articles 12 à 23).
6. Assistance aux articles 32 à 36. Le Sous-traitant aide le Responsable du traitement à garantir le respect des articles 32 (Sécurité), 33 (Notification de violation), 34 (Communication de violation), 35 (AIPD) et 36 (Consultation préalable) du RGPD, compte tenu de la nature du Traitement et des informations à la disposition du Sous-traitant.
7. Restitution ou suppression. À la résiliation des Services, le Sous-traitant restitue ou supprime toutes les Données à caractère personnel au choix du Responsable du traitement, et supprime les copies existantes à moins que le droit de l’Union ou de l’État membre n’en exige la conservation. La fenêtre par défaut est de 30 jours à compter de la résiliation, via le point de terminaison en libre-service /api/export et la tâche de suppression automatisée déclenchée après 30 jours.
8. Audit. Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 du RGPD et permet la réalisation d’audits, y compris des inspections, par le Responsable du traitement ou un autre auditeur mandaté par celui-ci, et y contribue. Les audits ne peuvent être réalisés plus d’une fois par année civile, sauf exigence d’une décision d’une autorité de contrôle.

7. Sous-traitants ultérieurs

Le Responsable du traitement accorde par les présentes au Sous-traitant une autorisation écrite générale de faire appel aux Sous-traitants ultérieurs énumérés à l’adresse /legal/subprocessors (incorporée par référence). Le Sous-traitant informera le Responsable du traitement de toute modification envisagée de cette liste, en accordant au Responsable du traitement un préavis d’au moins 30 jours, durant lequel le Responsable du traitement peut s’y opposer pour des motifs raisonnables. Le Sous-traitant reste responsable envers le Responsable du traitement des actes et omissions de chaque Sous-traitant ultérieur comme s’il s’agissait des siens propres.

Le Sous-traitant veille à ce que chaque Sous-traitant ultérieur soit lié par un accord écrit imposant des obligations de protection des données au moins aussi protectrices que celles du présent DPA. La liste actuelle des Sous-traitants ultérieurs comprend 18 fournisseurs au 2026-06-05 (voir la page publique des sous-traitants ultérieurs pour la liste canonique).

8. Transferts internationaux

Lorsque des Données à caractère personnel sont transférées depuis l’Espace économique européen, le Royaume-Uni ou la Suisse vers un pays tiers ne bénéficiant pas d’une décision d’adéquation, le Sous-traitant et le Responsable du traitement conviennent que les Clauses contractuelles types de l’UE (décision d’exécution (UE) 2021/914 de la Commission) s’appliquent, Module Deux (Responsable du traitement vers Sous-traitant) lorsque le Responsable du traitement est établi dans l’EEE, Ataski agissant en tant qu’importateur de données. L’Avenant relatif au transfert international de données du Royaume-Uni et les orientations du Préposé fédéral suisse à la protection des données et à la transparence s’appliquent mutatis mutandis aux transferts vers le Royaume-Uni et la Suisse respectivement. Le cas échéant, Ataski participe au cadre de protection des données UE–États-Unis et à ses extensions britannique et suisse ; le Responsable du traitement peut se fonder, à son choix, soit sur la certification DPF, soit sur les CCT.

9. Violation de Données à caractère personnel

Le Sous-traitant notifie le Responsable du traitement sans retard injustifié, et en tout état de cause dans les 72 heures, après avoir pris connaissance d'une violation de Données à caractère personnel (articles 4(12), 33 du RGPD). La notification décrit la nature de la violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées, les conséquences probables et les mesures prises ou proposées pour remédier à la violation.

10. Durée et résiliation

Le présent DPA demeure en vigueur tant que le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement au titre du MSA. L'une ou l'autre partie ne peut résilier le présent DPA qu'en résiliant le MSA conformément à ses conditions ; à la résiliation, le Sous-traitant exécute la procédure de restitution / suppression prévue au §6(7) ci-dessus.

11. Droit applicable

Le présent DPA est régi par le droit spécifié dans le MSA. Aucune disposition du présent DPA ne déroge aux droits accordés aux Personnes concernées par le droit de l'Union, de l'État membre ou tout autre droit applicable en matière de protection des données.

Annexe A — Mesures techniques et organisationnelles (article 32 du RGPD)

Le Sous-traitant met en œuvre les Mesures techniques et organisationnelles (“MTO”) suivantes afin de garantir un niveau de sécurité adapté au risque, conformément à l’article 32 du RGPD :

• Multi-tenancy. Per-tenant data isolation via Postgres Row Level Security; every customer-data table enforces the tenant_id session variable at the database layer (defence-in-depth on top of application-level scoping).
• Encryption at rest. All credential material stored encrypted via Fernet (AES-128 in CBC mode with HMAC-SHA-256 authentication). Database storage layer encryption provided by Neon (AES-256); object storage encryption provided by Cloudflare R2 (AES-256).
• Encryption in transit. TLS 1.3 enforced on every HTTPS endpoint and database connection; mutual-TLS for sub-processor API calls where the vendor supports it.
• Access control. WorkOS-backed SSO + SAML for tenant workspaces; role-gated approval workflows for high-stakes actions (board pack approval, monthly investor update send, outbound email send) per CLAUDE.md principle #9 capability matrix.
• Audit logging. Append-only audit_log table with database-level REVOKE UPDATE/DELETE; every LLM call, external API call, and data modification logged with tenant_id, user_id, correlation_id, cost, and latency.
• PII handling. Service Provider posture per CCPA §1798.140(ag); contact records stay in per-tenant RLS scope and are never aggregated across tenants. Per-tenant deletion within 45 days of request via /privacy/optout.
• Cost guardrails. Four-tier cost ceiling (provider limit, per-task budget, per-customer daily cap, global kill switch) prevents runaway exfiltration via a compromised credential.
• Incident response. Bugsink error tracking with 24-hour customer notification for any incident involving Customer Data; status page operated via Better Stack with uptime monitoring on every tenant-facing endpoint.
• Personnel. All personnel with access to Customer Data bound by confidentiality covenants; principle of least privilege enforced via role-gated routes; access reviewed quarterly.

Annexe B — Sous-traitants ultérieurs

La liste actuelle des Sous-traitants ultérieurs est publiée à l’adresse /legal/subprocessors et est incorporée au présent DPA par référence. Au 2026-06-05 la liste comprend 18 fournisseurs.