Contrat de sous-traitance (DPA)

Préambule

Le présent Contrat de Sous-Traitance (« DPA ») encadre le traitement de données à caractère personnel effectué par Kloviss SAS (ci-après « le Sous-Traitant » ou « Sentinel AI ») pour le compte du client abonné au Service (ci-après « le Responsable »). Il vient en complément des Conditions générales et de la Politique de confidentialité.

Article 1 · Objet du traitement

Le Responsable, exploitant un site web ou une application mobile recourant à des systèmes d'intelligence artificielle au sens du Règlement (UE) 2024/1689, confie à Sentinel AI l'exécution du traitement suivant : collecte et agrégation des interactions de ses visiteurs avec la bannière de transparence (Article 50 EU AI Act), tenue d'un registre conforme à l'Article 60 et export en cas de contrôle.

Article 2 · Durée

Le présent DPA est conclu pour la durée de l'abonnement du Responsable au Service. Il prend automatiquement fin à la résiliation de ce dernier, sous réserve des obligations survivantes (restitution / destruction).

Article 3 · Nature et finalité du traitement

• Collecter l'événement display lorsque la bannière est affichée à un visiteur.
• Collecter l'événement acknowledge lorsque le visiteur accuse réception.
• Calculer des statistiques agrégées (volume par page, pays, heure).
• Générer le registre Article 60 exportable en PDF / CSV.
• Journaliser les accès du Responsable pour traçabilité RGPD (Art. 30).

Article 4 · Catégories de données

• Horodatage de l'interaction (timestamp UTC)
• Code pays (en-tête géographique, pas d'adresse IP brute stockée)
• Famille de navigateur agrégée (user-agent anonymisé)
• Identifiant de projet (clé publique fournie par le Responsable)
• Aucune donnée sensible au sens de l'Article 9 RGPD
• Aucun identifiant pérenne de visiteur (pas de cookie tiers)

Article 5 · Catégories de personnes concernées

Les visiteurs du site web ou de l'application mobile du Responsable.

Article 6 · Obligations du Sous-Traitant

Sentinel AI s'engage à :

• Ne traiter les données que sur instruction documentée du Responsable (ces instructions sont matérialisées par la configuration choisie dans la console et les réglages du widget).
• Garantir la confidentialité des personnes ayant accès aux données (contrats + formations).
• Prendre toutes les mesures de sécurité requises par l'Article 32 RGPD : TLS 1.3, chiffrement au repos, isolation multi-tenant via Row-Level Security PostgreSQL, MFA obligatoire sur les comptes propriétaires, journaux d'accès.
• Notifier le Responsable de toute violation de données sans retard injustifié après en avoir pris connaissance (Art. 33 §2 RGPD), dans un délai maximum de 72 heures.
• Assister le Responsable pour répondre aux demandes des personnes concernées (Art. 12 à 22 RGPD).
• Mettre à disposition du Responsable les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d'audits.
• À la fin du contrat, supprimer les données ou les restituer au Responsable, sauf obligation légale de conservation (facturation : 10 ans).

Article 7 · Sous-traitants ultérieurs

Le Responsable autorise Sentinel AI à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité (section 4). Tout changement substantiel sera notifié avec 30 jours de préavis, permettant au Responsable de s'y opposer.

Les sous-traitants ultérieurs sont engagés par des accords offrant des garanties au moins équivalentes à celles du présent DPA (cascade d'obligations).

Article 8 · Transferts hors UE

Les données sont hébergées exclusivement dans des régions de l'Union européenne (Francfort, Paris, Irlande). Dans l'hypothèse où un sous-traitant ultérieur devrait effectuer un transfert vers un pays tiers non reconnu comme offrant un niveau de protection adéquat, le transfert sera encadré par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021) ou tout autre mécanisme prévu par le Chapitre V du RGPD.

Article 9 · Audits

Le Responsable peut réaliser, à ses frais, un audit annuel des mesures prises par Sentinel AI pour garantir la conformité au présent DPA, moyennant un préavis raisonnable de 30 jours et la signature d'un engagement de confidentialité. Les rapports d'audit externes (ex : ISO 27001 dans le cadre de la roadmap 2026-2027) seront mis à disposition sur demande et dispensent en principe de l'audit sur site.

Article 10 · Responsabilité

Chaque partie reste responsable de ses propres obligations en vertu du RGPD. La responsabilité de Sentinel AI au titre du présent DPA est limitée au montant des douze derniers mois d'abonnement payés par le Responsable, sauf en cas de faute lourde ou intentionnelle.

Article 11 · Fin du contrat

À l'issue de l'abonnement, Sentinel AI procède à la suppression des données à caractère personnel dans un délai de 30 jours (permettant la réactivation du compte), à l'exception :

• des factures et justificatifs comptables (conservation 10 ans, article L.123-22 Code du commerce français) ;
• des journaux d'audit à valeur probatoire (conservation variable selon le plan du Responsable : 6 mois Free · 2 ans Pro · 5 ans Business · 20 ans Enterprise).

Le Responsable peut demander un export RGPD (Art. 20) à tout moment depuis la console.

Article 12 · Droit applicable

Le présent DPA est régi par le droit français et le RGPD. Tout litige relève de la compétence exclusive des tribunaux de Rouen, sauf disposition impérative contraire.