ACCORD DE TRAITEMENT DES DONNÉES (DPA)

(Article 28 du RGPD)

Dernière mise à jour : 1. 1. 2026

Cet Accord de Traitement des Données (« DPA ») fait partie des Conditions d'Utilisation (« Accord ») entre Basad, s.r.o. (« Fournisseur » ou « Sous-traitant ») et l'utilisateur du Service (« Client » ou « Responsable du traitement »).

1. Préambule et Champ d'application

Ce DPA s'applique dans la mesure où le Fournisseur traite des Données Personnelles pour le compte du Client dans le cadre de la fourniture du Service. Il définit les droits et obligations des parties conformément à l'Art. 28 du Règlement (UE) 2016/679 (RGPD).

2. Définitions

  • « Données Personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable traitée par le Fournisseur pour le compte du Client.
  • « Traitement » désigne toute opération effectuée sur des Données Personnelles, telle que la collecte, le stockage, l'utilisation ou l'effacement.
  • « Sous-traitant ultérieur » désigne tout tiers engagé par le Fournisseur pour l'aider à remplir ses obligations.

3. Détails du traitement

3.1 Objet et Durée

L'objet du traitement est la fourniture du Service d'assistant juridique IA. La durée correspond à la durée de l'Accord.

3.2 Nature et Finalité

Le Fournisseur traite les Données Personnelles pour fournir, maintenir et sécuriser le Service (SaaS), y compris l'analyse de documents et la génération de sorties IA.

3.3 Types de Données Personnelles

Données contenues dans les documents et les invites textuelles téléchargés par le Client (par ex. noms, adresses, détails de l'affaire) et données de compte.

3.4 Catégories de Personnes Concernées

Clients du Client, employés, contreparties ou autres personnes mentionnées dans les documents du Client.

4. Obligations du Client (Responsable du traitement)

Le Client est responsable de la licéité du traitement et garantit qu'il dispose d'une base légale pour traiter les Données Personnelles et pour instruire le Fournisseur de les traiter.

5. Obligations du Fournisseur (Sous-traitant)

  • Instructions : Traiter les Données Personnelles uniquement sur instructions documentées du Client (y compris ce DPA et les fonctionnalités du Service), sauf exigence contraire du droit de l'UE ou d'un État membre.
  • Confidentialité : S'assurer que les personnes autorisées à traiter les Données Personnelles se sont engagées à la confidentialité.
  • Sécurité : Mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (Art. 32 RGPD).
  • Pas d'Entraînement : Le Fournisseur accepte explicitement de NE PAS utiliser les Données Personnelles du Client pour entraîner ses modèles d'IA généraux ou ses Grands Modèles de Langage (LLM) au profit d'autres clients.

6. Sous-traitance ultérieure

Le Client accorde une autorisation générale au Fournisseur pour engager des Sous-traitants ultérieurs. Les Sous-traitants ultérieurs actuels incluent :
  • OpenAI, L.L.C. (Modèles IA, USA)
  • Anthropic, PBC (Modèles IA, USA)
  • Vercel Inc. (Hébergement, USA)
  • Amazon Web Services (AWS) (Infrastructure Cloud, UE/USA)
  • Pinecone Systems Inc. (Base de données vectorielle, USA)

Le Fournisseur conclura des accords écrits avec les Sous-traitants ultérieurs offrant au moins le même niveau de protection des données que ce DPA. Les transferts vers les USA sont protégés par le Cadre de protection des données UE-USA ou les Clauses Contractuelles Types (CCT).

7. Droits des Personnes Concernées

Compte tenu de la nature du traitement, le Fournisseur aidera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement de l'obligation du Client de répondre aux demandes d'exercice des droits de la personne concernée.

8. Incidents de Sécurité

Le Fournisseur informera le Client sans délai injustifié après avoir pris connaissance d'une Violation de Données Personnelles. La notification contiendra au moins les informations requises par l'Art. 33(3) RGPD.

9. Droits d'Audit

Le Fournisseur mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ce DPA et permettra et contribuera aux audits, y compris les inspections, menés par le Client ou un autre auditeur mandaté par le Client.

10. Résiliation et Suppression

À la résiliation du Service, le Fournisseur devra, au choix du Client, supprimer ou renvoyer toutes les Données Personnelles au Client, sauf si le droit de l'UE ou d'un État membre exige le stockage des Données Personnelles.