Accord de sous-traitance (DPA)

Dernière mise à jour : 14 juillet 2026

Accord de sous-traitance (DPA)

conformément à l’art. 28, par. 3 du règlement (UE) 2016/679 (règlement général sur la protection des données, RGPD)

entre

l’utilisateur du service Aegis, y compris l’extension Chrome et la démo du site web (ci-après le « Responsable du traitement »)

et

Kaino GmbH
Grabenweg 68, 4e étage E5_2
6020 Innsbruck, Autriche
Numéro de TVA (UID) : ATU77867578 · FN : 573644w
E-mail : aegis@kaino.io
(ci-après le « Sous-traitant »)

(ci-après, ensemble, les « Parties »)

§ 1 Objet et durée du traitement

1.1 Objet

Le présent accord régit les droits et obligations des parties dans le cadre du traitement de données personnelles par le Sous-traitant pour le compte du Responsable du traitement. Il précise les obligations des parties en matière de protection des données résultant de l’utilisation du service Aegis, y compris toutes les formules (FREE, PLUS, PRO et ENTERPRISE) ainsi que la démo du site web proposée sur la page produit (« Try It »).

Le Sous-traitant traite les données personnelles exclusivement pour le compte et sur instruction documentée du Responsable du traitement (art. 28, par. 3, point a du RGPD), à moins qu’il ne soit tenu de procéder au traitement en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans un tel cas, le Sous-traitant informe le Responsable du traitement de cette exigence juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

1.2 Durée

Pour les abonnés, le présent accord entre en vigueur à la conclusion de l’abonnement (Aegis PLUS ou Aegis PRO) et prend fin automatiquement à la fin de l’abonnement, quelle qu’en soit la raison. Pour l’utilisation de la démo du site web, le présent accord entre en vigueur au téléversement d’un document et prend fin à l’achèvement du traitement concerné. Les obligations découlant des §§ 5, 7, 8 et 10 subsistent au-delà de la fin du contrat, le droit d’audit prévu au § 8 étant limité à 60 jours après la fin du contrat.

§ 2 Nature et finalité du traitement

2.1 Finalité

Détection et pseudonymisation des données personnelles dans les documents du Responsable du traitement au moyen d’un traitement assisté par IA, avant que ces documents ne soient transmis à des plateformes de chat IA (telles que ChatGPT, Claude ou Gemini).

2.2 Nature du traitement

2.3 Absence de stockage

Les contenus des documents ne sont pas stockés par le Sous-traitant après le traitement. Le traitement s’effectue exclusivement en mémoire vive (traitement « in-memory »). Après la restitution du résultat, toutes les données des documents sont immédiatement supprimées.

2.4 Absence d’entraînement de modèles

Les contenus des documents ne sont utilisés ni par le Sous-traitant ni par les sous-traitants ultérieurs mentionnés au § 6.1 pour l’entraînement ou l’amélioration de modèles d’IA.

§ 3 Types de données personnelles et catégories de personnes concernées

3.1 Types de données personnelles

Les documents du Responsable du traitement peuvent contenir en particulier les catégories suivantes de données personnelles :

Catégories particulières de données personnelles (art. 9 du RGPD) : Il incombe au Responsable du traitement de veiller à ce que le traitement de catégories particulières de données personnelles (par exemple données de santé, données biométriques) n’ait lieu que s’il existe une base juridique conformément à l’art. 9, par. 2 du RGPD. Le Sous-traitant ne peut pas détecter techniquement au préalable la présence de telles données.

3.2 Catégories de personnes concernées

Selon les documents du Responsable du traitement, peuvent être concernés :

§ 4 Obligations du Responsable du traitement

Le Responsable du traitement est seul responsable de la licéité du traitement des données personnelles. Il garantit notamment :

  1. qu’il dispose d’une base juridique appropriée pour la transmission au Sous-traitant de données personnelles de tiers (par exemple art. 6, par. 1, point f du RGPD : intérêt légitime à la pseudonymisation) ;
  2. qu’il a informé les personnes concernées du traitement, dans la mesure où cela est raisonnablement possible et légalement requis (art. 13 et 14 du RGPD) ;
  3. qu’il a évalué de manière autonome, avant la transmission, les risques pour les droits et libertés des personnes concernées ;
  4. que les instructions données au Sous-traitant sont conformes au RGPD.

§ 5 Obligations du Sous-traitant

5.1 Traitement sur instruction

Le Sous-traitant traite les données personnelles exclusivement sur instruction documentée du Responsable du traitement (y compris en ce qui concerne le transfert de données personnelles vers un pays tiers ou à une organisation internationale), à moins qu’il ne soit tenu de procéder au traitement en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis (art. 28, par. 3, point a du RGPD).

L’utilisation du service Aegis conformément aux conditions d’utilisation applicables constitue l’instruction documentée du Responsable du traitement. Toute instruction individuelle supplémentaire requiert la forme écrite (un e-mail suffit) à l’adresse aegis@kaino.io.

5.2 Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité (art. 28, par. 3, point b du RGPD).

5.3 Mesures techniques et organisationnelles

Le Sous-traitant prend toutes les mesures techniques et organisationnelles requises par l’art. 32 du RGPD afin de garantir un niveau de sécurité adapté au risque. Les mesures sont décrites à l’annexe 1 (à la fin du présent accord).

5.4 Assistance au Responsable du traitement

Le Sous-traitant assiste le Responsable du traitement, compte tenu de la nature du traitement :

  1. dans l’exécution de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées prévus au chapitre III du RGPD (art. 28, par. 3, point e du RGPD) ;
  2. dans le respect des obligations prévues aux art. 32 à 36 du RGPD (sécurité du traitement, notification des violations de données personnelles, analyse d’impact relative à la protection des données, consultation préalable) (art. 28, par. 3, point f du RGPD).

5.5 Notification des violations de données

Le Sous-traitant informe le Responsable du traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles (art. 33, par. 2 du RGPD). La notification contient au moins :

La notification est envoyée par e-mail à l’adresse e-mail du Responsable du traitement enregistrée lors de la souscription de l’abonnement. Pour les utilisateurs de la démo du site web dont l’adresse e-mail n’est pas connue du Sous-traitant, la notification s’effectue par publication sur le site web du Sous-traitant.

5.6 Information en cas d’instructions illicites

Le Sous-traitant informe immédiatement le Responsable du traitement s’il estime qu’une instruction enfreint le RGPD ou d’autres dispositions en matière de protection des données (art. 28, par. 3, deuxième alinéa du RGPD).

§ 6 Sous-traitants ultérieurs

6.1 Sous-traitants ultérieurs autorisés

Le Responsable du traitement accorde par la présente au Sous-traitant une autorisation écrite générale pour le recours aux sous-traitants ultérieurs suivants (art. 28, par. 2 du RGPD) :

Sous-traitant ultérieurFinalitéLocalisation
OVHCloud SAS, Roubaix, FrancePseudonymisation assistée par IA et traitement OCR des contenus de documents (Zero Data Retention)UE (France)
Scaleway SAS, Paris, FrancePseudonymisation assistée par IA et traitement OCR des contenus de documents (Zero Data Retention)UE (France)
Hetzner Online GmbH, Gunzenhausen, AllemagneHébergement des serveurs et infrastructure API (aegis.kaino.io), hébergement du site web et traitement des documents téléversés dans la démoAllemagne

Le Sous-traitant a conclu avec tous les sous-traitants ultérieurs des contrats conformément à l’art. 28, par. 4 du RGPD, leur imposant les mêmes obligations en matière de protection des données que celles prévues par le présent accord.

6.2 Changement de sous-traitants ultérieurs

Le Sous-traitant informe préalablement le Responsable du traitement de tout ajout ou remplacement envisagé de sous-traitants ultérieurs et donne au Responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements (art. 28, par. 2 du RGPD).

L’information s’effectue par la mise à jour de la liste des sous-traitants ultérieurs sur le site web du Sous-traitant (Politique de confidentialité, section 12) ainsi que par e-mail au Responsable du traitement, au moins 30 jours avant le changement envisagé.

Si le Responsable du traitement émet une objection motivée dans les 30 jours suivant la notification, les Parties s’efforcent de trouver une solution amiable. Si aucun accord ne peut être trouvé, le Responsable du traitement dispose d’un droit de résiliation extraordinaire de l’abonnement.

6.3 Absence de transfert vers des pays tiers

L’ensemble du traitement des documents s’effectue exclusivement au sein de l’UE/de l’EEE. Le Sous-traitant ne transfère aucun contenu de documents vers des pays tiers.

§ 7 Effacement et restitution des données

7.1 Pendant le traitement

Les contenus des documents sont supprimés immédiatement et automatiquement après l’achèvement de la pseudonymisation. Aucun stockage durable des contenus de documents n’a lieu.

7.2 Après la fin du contrat

Le Sous-traitant supprime, dans un délai de 30 jours après la fin de l’abonnement, toutes les données personnelles liées à la sous-traitance, à moins qu’une conservation ne soit prescrite par le droit de l’Union ou le droit de l’État membre (art. 28, par. 3, point g du RGPD).

Aucun contenu de documents n’étant stocké durablement, l’effacement se limite à :

§ 8 Droits de contrôle et d’audit

8.1 Droit d’audit du Responsable du traitement

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’art. 28 du RGPD et permet la réalisation d’audits (y compris des inspections) effectués par le Responsable du traitement ou un auditeur qu’il a mandaté, et y contribue (art. 28, par. 3, point h du RGPD).

8.2 Réalisation

Les audits sont réalisés aux conditions suivantes :

  1. Annonce écrite au moins 30 jours à l’avance (un e-mail suffit)
  2. Réalisation pendant les heures ouvrables habituelles
  3. L’auditeur est tenu à la confidentialité
  4. L’audit ne doit pas perturber de manière disproportionnée l’activité du Sous-traitant
  5. Au maximum un audit par année civile, sauf si un motif concret exige un audit supplémentaire

8.3 Preuve de conformité

Le Sous-traitant peut également apporter la preuve du respect de ses obligations en présentant un certificat à jour, un rapport d’audit ou un extrait de celui-ci établi par un auditeur indépendant.

§ 9 Responsabilité

La responsabilité des Parties est régie par l’art. 82 du RGPD. Pour le reste, les dispositions générales en matière de responsabilité des conditions d’utilisation d’Aegis s’appliquent.

§ 10 Dispositions finales

10.1 Primauté

En cas de contradictions entre le présent DPA et d’autres accords conclus entre les Parties (y compris les conditions d’utilisation), le présent DPA prévaut en ce qui concerne la protection des données personnelles.

10.2 Modifications

Les modifications du présent accord requièrent la forme textuelle. Les modifications substantielles sont communiquées au Responsable du traitement au moins 30 jours avant leur entrée en vigueur. Si le Responsable du traitement ne s’y oppose pas dans les 30 jours suivant la notification, la modification est réputée acceptée.

10.3 Droit applicable et juridiction compétente

Le présent accord est régi par le droit autrichien. La juridiction compétente est celle d’Innsbruck, Autriche, dans la mesure permise par la loi.

10.4 Clause de divisibilité

Si une disposition du présent accord est invalide ou inapplicable, les autres dispositions n’en sont pas affectées. La disposition invalide est remplacée par une disposition valide qui se rapproche le plus de l’objectif économique poursuivi.

Annexe 1 : Mesures techniques et organisationnelles (art. 32 du RGPD)

Kaino GmbH n’exploite pas ses propres centres de données. Les mesures de sécurité physique (contrôle des accès, alimentation électrique, protection incendie, climatisation) sont assurées par les fournisseurs d’infrastructure Hetzner Online GmbH (Allemagne, ISO 27001), OVHCloud SAS (France, ISO 27001) et Scaleway SAS (France, ISO 27001). Pour leurs mesures techniques et organisationnelles, nous renvoyons à :

Kaino GmbH est responsable des mesures suivantes au niveau applicatif :

1. Traitement transitoire (élément central de sécurité)

Les contenus des documents sont traités exclusivement en mémoire vive (traitement « in-memory ») et immédiatement rejetés après la restitution du résultat. Aucun stockage durable des contenus de documents n’a lieu. Ce principe d’architecture élimine des risques essentiels liés à la conservation des données : en cas de panne du système, aucune donnée de document n’est perdue, puisqu’aucune n’est stockée. Le principe de Zero Data Retention s’applique de manière continue tout au long de la chaîne de traitement, y compris chez les sous-traitants ultérieurs OVHCloud et Scaleway.

Minimisation des données par un prétraitement basé sur des règles : Avant la transmission au traitement assisté par IA, Kaino GmbH effectue côté serveur un prétraitement basé sur des règles, au cours duquel les données personnelles déjà identifiées (par exemple noms, adresses e-mail, numéros de téléphone) sont remplacées par des espaces réservés. Les contenus transmis aux modèles d’IA sont donc déjà partiellement pseudonymisés, ce qui réduit au minimum techniquement nécessaire la quantité de données personnelles traitées par les sous-traitants ultérieurs.

2. Confidentialité (art. 32, par. 1, point b du RGPD)

MesureMise en œuvre
Contrôle d’accèsAccès à l’API exclusivement avec une clé de produit valide ; aucun accès anonyme
Contrôle des autorisationsAccès aux serveurs limité à un cercle restreint de personnes ; accès via SSH avec authentification par clé ; authentification à deux facteurs (2FA) pour tous les systèmes ; principe du moindre privilège
Contrôle de séparationSéparation des clients par des clés de produit individuelles ; aucun traitement de données entre clients
Engagement de confidentialitéToutes les personnes ayant accès à des données personnelles sont tenues à la confidentialité (§ 5.2 du présent accord)

3. Intégrité (art. 32, par. 1, point b du RGPD)

MesureMise en œuvre
Contrôle de la transmissionTransmission exclusivement chiffrée (HTTPS/TLS) ; aucune connexion non chiffrée
Contrôle des saisiesJournalisation des accès à l’API (journaux d’accès au serveur, conservation de 30 jours)

4. Disponibilité et résilience (art. 32, par. 1, points b et c du RGPD)

La disponibilité et la résilience sont assurées par les fournisseurs d’infrastructure (alimentation électrique redondante, connectivité réseau, climatisation). Aucun contenu de documents n’étant stocké durablement, des procédures de sauvegarde et de restauration pour les données de documents ne sont pas nécessaires.

5. Chiffrement et pseudonymisation (art. 32, par. 1, point a du RGPD)

MesureMise en œuvre
Chiffrement du transportHTTPS/TLS pour toute la communication API
Chiffrement du stockageChiffrement au repos (encryption-at-rest) pour les données de base des clients (adresse e-mail, nom, nom de l’entreprise)
PseudonymisationFonction centrale du service : remplacement des données personnelles par des espaces réservés

6. Vérification (art. 32, par. 1, point d du RGPD)

MesureMise en œuvre
Vérification régulièreÉvaluation annuelle de l’efficacité des mesures techniques et organisationnelles
Vérification en cas d’événement ou de changementVérification des mesures techniques et organisationnelles en cas de modifications de l’infrastructure, d’incidents de sécurité et de changements de sous-traitants ultérieurs
Contrôle de la sous-traitanceAccords de sous-traitance (DPA) conclus avec tous les sous-traitants ultérieurs ; vérification en cas de modifications contractuelles ou de changement de fournisseur

Kaino GmbH