Document légal · Professionnels
Accord de traitement des données (DPA)
Article 28 du RGPD · Version en vigueur en mai 2026
1. Parties & définitions
Le Responsable de traitement (ci-après « le Client ») : la personne morale, professionnel ou organisme, qui détermine les finalités et les moyens du traitement de ses données via le Service.
Le Sous-traitant : Cabinet AVCA Legal, éditeur du Service.
Contact protection des données : contact@avca-avocats.fr
Les termes « données à caractère personnel », « traitement », « violation de données », « sous-traitant ultérieur » s'entendent au sens de l'article 4 du RGPD.
2. Objet, durée, nature et finalité
Le Sous-traitant traite les données pour le compte du Client aux seules fins de fournir le Service : parcours de mise en conformité RGPD, génération de livrables, assistant et recherche juridiques, analyse de documents. La durée du traitement correspond à celle de l'utilisation du Service par le Client.
3. Données et personnes concernées
Catégories de données : données saisies ou importées par le Client (informations sur son organisation, descriptions de traitements, documents soumis), et éventuellement adresse e-mail de compte. Les identifiants directs (e-mails, téléphones, IBAN, SIREN/SIRET, NIR, n° de carte) sont masqués automatiquementavant transmission au modèle d'IA.
Personnes concernées: selon les données saisies par le Client (collaborateurs, clients, prospects de l'organisation du Client). Le Client s'engage à ne soumettre que les données nécessaires et à disposer d'une base légale appropriée.
4. Obligations du Client (responsable de traitement)
Le Client garantit qu'il dispose d'une base légale pour les traitements qu'il met en œuvre via le Service, qu'il a informé les personnes concernées, et que ses instructions sont licites. Il lui appartient de ne pas transmettre, via les outils en ligne, de données dont la sensibilité exige une infrastructure souveraine (voir l'offre d'analyse sur infrastructure interne).
5. Obligations du Sous-traitant (art. 28.3)
a) Instructions documentées
Traiter les données à caractère personnel uniquement sur instruction documentée du Client, y compris en matière de transfert hors UE, sauf obligation légale contraire (auquel cas le Sous-traitant en informe le Client avant traitement, sauf interdiction légale).
b) Confidentialité
Veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale de confidentialité.
c) Sécurité (art. 32)
Mettre en œuvre les mesures techniques et organisationnelles appropriées (voir l'annexe Sécurité ci-dessous), notamment le chiffrement en transit et au repos, et le masquage des identifiants directs avant toute transmission au modèle d'IA.
d) Sous-traitants ultérieurs
Ne recourir qu'aux sous-traitants ultérieurs listés sur la page Sous-traitants, leur imposer par contrat les mêmes obligations de protection, et informer le Client de tout changement projeté afin de lui permettre de s'y opposer (autorisation générale écrite au sens de l'art. 28.2).
e) Droits des personnes
Aider le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition — art. 12 à 23). Des fonctions d'export et de suppression sont mises à disposition dans le Service.
f) Assistance (art. 32 à 36)
Aider le Client à garantir le respect des obligations de sécurité, de notification des violations de données, d'analyse d'impact (AIPD) et de consultation préalable, compte tenu de la nature du traitement et des informations à disposition du Sous-traitant.
g) Sort des données en fin de prestation
Au choix du Client, supprimer ou lui restituer les données à caractère personnel au terme de la prestation, et détruire les copies existantes sauf obligation légale de conservation. Par défaut, les sessions de parcours expirent automatiquement à 90 jours.
h) Mise à disposition & audit
Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect de l'art. 28 (la présente page, la page Sous-traitants, le registre), et permettre la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté, dans des conditions raisonnables.
6. Sous-traitants ultérieurs
Le Client donne une autorisation générale écrite au recours aux sous-traitants ultérieurs listés, avec leur localisation, leurs garanties et les données concernées, sur la page Sous-traitants. Toute évolution y est publiée préalablement ; le Client dispose d'un délai raisonnable pour s'y opposer pour un motif légitime.
7. Transferts hors Union européenne
Certains sous-traitants ultérieurs sont établis hors UE (notamment Anthropic et Vercel, États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (art. 46 RGPD) et/ou le Data Privacy Framework. L'analyse souveraine de documents est, elle, réalisée sur l'infrastructure interne du cabinet (UE), sans transfert à un fournisseur tiers.
8. Violations de données
Le Sous-traitant notifie au Client toute violation de données à caractère personnel le concernant dans les meilleurs délais après en avoir pris connaissance, avec les informations utiles pour permettre au Client de respecter, le cas échéant, ses propres obligations de notification (art. 33 et 34 RGPD).
9. Annexe — Mesures de sécurité
- Chiffrement des communications (TLS/HTTPS) et des données au repos.
- Masquage automatique des identifiants directs avant transmission au modèle d'IA.
- Analyse de documents scannés sur infrastructure souveraine du cabinet, sans fournisseur tiers.
- Accès aux bases par clé de service côté serveur uniquement ; pas d'exposition au navigateur.
- Journalisation d'audit limitée à des empreintes (hash SHA-256) et horodatages, jamais le contenu.
- Sous-traitants sélectionnés pour leurs garanties (ex. Vercel SOC 2 Type II ; hébergement Supabase en UE).
- Minimisation : aucune conservation en clair des échanges au-delà de statistiques d'usage anonymisées.
10. Contact
Pour obtenir une version signée de cet accord, exercer un droit d'audit ou pour toute question relative à la protection des données, écrivez à contact@avca-avocats.fr. Voir aussi les pages Conformité RGPD et Sous-traitants.
Ce document type est fourni à titre informatif et contractuel ; il ne constitue pas, en lui-même, un conseil juridique personnalisé sur la situation propre du Client.