Accord de sous-traitance (DPA)
Dernière mise à jour : 14 juillet 2026
Accord de sous-traitance (DPA)
conformément à l’art. 28, par. 3 du règlement (UE) 2016/679 (règlement général sur la protection des données, RGPD)
entre
l’utilisateur du service Aegis, y compris l’extension Chrome et la démo du site web (ci-après le « Responsable du traitement »)
et
Kaino GmbH
Grabenweg 68, 4e étage E5_2
6020 Innsbruck, Autriche
Numéro de TVA (UID) : ATU77867578 · FN : 573644w
E-mail : aegis@kaino.io
(ci-après le « Sous-traitant »)
(ci-après, ensemble, les « Parties »)
§ 1 Objet et durée du traitement
1.1 Objet
Le présent accord régit les droits et obligations des parties dans le cadre du traitement de données personnelles par le Sous-traitant pour le compte du Responsable du traitement. Il précise les obligations des parties en matière de protection des données résultant de l’utilisation du service Aegis, y compris toutes les formules (FREE, PLUS, PRO et ENTERPRISE) ainsi que la démo du site web proposée sur la page produit (« Try It »).
Le Sous-traitant traite les données personnelles exclusivement pour le compte et sur instruction documentée du Responsable du traitement (art. 28, par. 3, point a du RGPD), à moins qu’il ne soit tenu de procéder au traitement en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans un tel cas, le Sous-traitant informe le Responsable du traitement de cette exigence juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.
1.2 Durée
Pour les abonnés, le présent accord entre en vigueur à la conclusion de l’abonnement (Aegis PLUS ou Aegis PRO) et prend fin automatiquement à la fin de l’abonnement, quelle qu’en soit la raison. Pour l’utilisation de la démo du site web, le présent accord entre en vigueur au téléversement d’un document et prend fin à l’achèvement du traitement concerné. Les obligations découlant des §§ 5, 7, 8 et 10 subsistent au-delà de la fin du contrat, le droit d’audit prévu au § 8 étant limité à 60 jours après la fin du contrat.
§ 2 Nature et finalité du traitement
2.1 Finalité
Détection et pseudonymisation des données personnelles dans les documents du Responsable du traitement au moyen d’un traitement assisté par IA, avant que ces documents ne soient transmis à des plateformes de chat IA (telles que ChatGPT, Claude ou Gemini).
2.2 Nature du traitement
- Réception des contenus de documents chiffrés (HTTPS/TLS)
- Détection assistée par IA des données personnelles (Named Entity Recognition)
- Traitement OCR des fichiers image (PNG, JPEG, TIFF)
- Suppression des métadonnées intégrées dans les fichiers image
- Remplacement des données personnelles détectées par des espaces réservés
- Restitution au Responsable du traitement du texte pseudonymisé et de la correspondance des espaces réservés
2.3 Absence de stockage
Les contenus des documents ne sont pas stockés par le Sous-traitant après le traitement. Le traitement s’effectue exclusivement en mémoire vive (traitement « in-memory »). Après la restitution du résultat, toutes les données des documents sont immédiatement supprimées.
2.4 Absence d’entraînement de modèles
Les contenus des documents ne sont utilisés ni par le Sous-traitant ni par les sous-traitants ultérieurs mentionnés au § 6.1 pour l’entraînement ou l’amélioration de modèles d’IA.
§ 3 Types de données personnelles et catégories de personnes concernées
3.1 Types de données personnelles
Les documents du Responsable du traitement peuvent contenir en particulier les catégories suivantes de données personnelles :
- Noms (prénoms et noms de famille, titres universitaires)
- Coordonnées (adresses e-mail, numéros de téléphone, adresses postales)
- Numéros d’identification (numéros de sécurité sociale, numéros de carte d’identité)
- Informations financières (numéros de carte de crédit, coordonnées bancaires)
- Dates de naissance
- Adresses IP
- Autres données personnelles contenues dans des documents
Catégories particulières de données personnelles (art. 9 du RGPD) : Il incombe au Responsable du traitement de veiller à ce que le traitement de catégories particulières de données personnelles (par exemple données de santé, données biométriques) n’ait lieu que s’il existe une base juridique conformément à l’art. 9, par. 2 du RGPD. Le Sous-traitant ne peut pas détecter techniquement au préalable la présence de telles données.
3.2 Catégories de personnes concernées
Selon les documents du Responsable du traitement, peuvent être concernés :
- Les employés et candidats du Responsable du traitement
- Les clients et partenaires commerciaux du Responsable du traitement
- Les patients, mandants, clients
- Les autres personnes physiques mentionnées dans des documents
§ 4 Obligations du Responsable du traitement
Le Responsable du traitement est seul responsable de la licéité du traitement des données personnelles. Il garantit notamment :
- qu’il dispose d’une base juridique appropriée pour la transmission au Sous-traitant de données personnelles de tiers (par exemple art. 6, par. 1, point f du RGPD : intérêt légitime à la pseudonymisation) ;
- qu’il a informé les personnes concernées du traitement, dans la mesure où cela est raisonnablement possible et légalement requis (art. 13 et 14 du RGPD) ;
- qu’il a évalué de manière autonome, avant la transmission, les risques pour les droits et libertés des personnes concernées ;
- que les instructions données au Sous-traitant sont conformes au RGPD.
§ 5 Obligations du Sous-traitant
5.1 Traitement sur instruction
Le Sous-traitant traite les données personnelles exclusivement sur instruction documentée du Responsable du traitement (y compris en ce qui concerne le transfert de données personnelles vers un pays tiers ou à une organisation internationale), à moins qu’il ne soit tenu de procéder au traitement en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis (art. 28, par. 3, point a du RGPD).
L’utilisation du service Aegis conformément aux conditions d’utilisation applicables constitue l’instruction documentée du Responsable du traitement. Toute instruction individuelle supplémentaire requiert la forme écrite (un e-mail suffit) à l’adresse aegis@kaino.io.
5.2 Confidentialité
Le Sous-traitant garantit que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité (art. 28, par. 3, point b du RGPD).
5.3 Mesures techniques et organisationnelles
Le Sous-traitant prend toutes les mesures techniques et organisationnelles requises par l’art. 32 du RGPD afin de garantir un niveau de sécurité adapté au risque. Les mesures sont décrites à l’annexe 1 (à la fin du présent accord).
5.4 Assistance au Responsable du traitement
Le Sous-traitant assiste le Responsable du traitement, compte tenu de la nature du traitement :
- dans l’exécution de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées prévus au chapitre III du RGPD (art. 28, par. 3, point e du RGPD) ;
- dans le respect des obligations prévues aux art. 32 à 36 du RGPD (sécurité du traitement, notification des violations de données personnelles, analyse d’impact relative à la protection des données, consultation préalable) (art. 28, par. 3, point f du RGPD).
5.5 Notification des violations de données
Le Sous-traitant informe le Responsable du traitement dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles (art. 33, par. 2 du RGPD). La notification contient au moins :
- une description de la nature de la violation ;
- les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données concernés ;
- une description des conséquences probables ;
- une description des mesures prises ou proposées.
La notification est envoyée par e-mail à l’adresse e-mail du Responsable du traitement enregistrée lors de la souscription de l’abonnement. Pour les utilisateurs de la démo du site web dont l’adresse e-mail n’est pas connue du Sous-traitant, la notification s’effectue par publication sur le site web du Sous-traitant.
5.6 Information en cas d’instructions illicites
Le Sous-traitant informe immédiatement le Responsable du traitement s’il estime qu’une instruction enfreint le RGPD ou d’autres dispositions en matière de protection des données (art. 28, par. 3, deuxième alinéa du RGPD).
§ 6 Sous-traitants ultérieurs
6.1 Sous-traitants ultérieurs autorisés
Le Responsable du traitement accorde par la présente au Sous-traitant une autorisation écrite générale pour le recours aux sous-traitants ultérieurs suivants (art. 28, par. 2 du RGPD) :
| Sous-traitant ultérieur | Finalité | Localisation |
|---|---|---|
| OVHCloud SAS, Roubaix, France | Pseudonymisation assistée par IA et traitement OCR des contenus de documents (Zero Data Retention) | UE (France) |
| Scaleway SAS, Paris, France | Pseudonymisation assistée par IA et traitement OCR des contenus de documents (Zero Data Retention) | UE (France) |
| Hetzner Online GmbH, Gunzenhausen, Allemagne | Hébergement des serveurs et infrastructure API (aegis.kaino.io), hébergement du site web et traitement des documents téléversés dans la démo | Allemagne |
Le Sous-traitant a conclu avec tous les sous-traitants ultérieurs des contrats conformément à l’art. 28, par. 4 du RGPD, leur imposant les mêmes obligations en matière de protection des données que celles prévues par le présent accord.
6.2 Changement de sous-traitants ultérieurs
Le Sous-traitant informe préalablement le Responsable du traitement de tout ajout ou remplacement envisagé de sous-traitants ultérieurs et donne au Responsable du traitement la possibilité d’émettre des objections à l’encontre de ces changements (art. 28, par. 2 du RGPD).
L’information s’effectue par la mise à jour de la liste des sous-traitants ultérieurs sur le site web du Sous-traitant (Politique de confidentialité, section 12) ainsi que par e-mail au Responsable du traitement, au moins 30 jours avant le changement envisagé.
Si le Responsable du traitement émet une objection motivée dans les 30 jours suivant la notification, les Parties s’efforcent de trouver une solution amiable. Si aucun accord ne peut être trouvé, le Responsable du traitement dispose d’un droit de résiliation extraordinaire de l’abonnement.
6.3 Absence de transfert vers des pays tiers
L’ensemble du traitement des documents s’effectue exclusivement au sein de l’UE/de l’EEE. Le Sous-traitant ne transfère aucun contenu de documents vers des pays tiers.
§ 7 Effacement et restitution des données
7.1 Pendant le traitement
Les contenus des documents sont supprimés immédiatement et automatiquement après l’achèvement de la pseudonymisation. Aucun stockage durable des contenus de documents n’a lieu.
7.2 Après la fin du contrat
Le Sous-traitant supprime, dans un délai de 30 jours après la fin de l’abonnement, toutes les données personnelles liées à la sous-traitance, à moins qu’une conservation ne soit prescrite par le droit de l’Union ou le droit de l’État membre (art. 28, par. 3, point g du RGPD).
Aucun contenu de documents n’étant stocké durablement, l’effacement se limite à :
- Données de base des clients (adresse e-mail, nom, nom de l’entreprise) : anonymisation irréversible dans les 30 jours suivant la fin de l’abonnement
- Statistiques d’utilisation : anonymisation dans les 30 jours suivant la fin de l’abonnement
- Journaux d’accès au serveur : suppression automatique après 30 jours
§ 8 Droits de contrôle et d’audit
8.1 Droit d’audit du Responsable du traitement
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’art. 28 du RGPD et permet la réalisation d’audits (y compris des inspections) effectués par le Responsable du traitement ou un auditeur qu’il a mandaté, et y contribue (art. 28, par. 3, point h du RGPD).
8.2 Réalisation
Les audits sont réalisés aux conditions suivantes :
- Annonce écrite au moins 30 jours à l’avance (un e-mail suffit)
- Réalisation pendant les heures ouvrables habituelles
- L’auditeur est tenu à la confidentialité
- L’audit ne doit pas perturber de manière disproportionnée l’activité du Sous-traitant
- Au maximum un audit par année civile, sauf si un motif concret exige un audit supplémentaire
8.3 Preuve de conformité
Le Sous-traitant peut également apporter la preuve du respect de ses obligations en présentant un certificat à jour, un rapport d’audit ou un extrait de celui-ci établi par un auditeur indépendant.
§ 9 Responsabilité
La responsabilité des Parties est régie par l’art. 82 du RGPD. Pour le reste, les dispositions générales en matière de responsabilité des conditions d’utilisation d’Aegis s’appliquent.
§ 10 Dispositions finales
10.1 Primauté
En cas de contradictions entre le présent DPA et d’autres accords conclus entre les Parties (y compris les conditions d’utilisation), le présent DPA prévaut en ce qui concerne la protection des données personnelles.
10.2 Modifications
Les modifications du présent accord requièrent la forme textuelle. Les modifications substantielles sont communiquées au Responsable du traitement au moins 30 jours avant leur entrée en vigueur. Si le Responsable du traitement ne s’y oppose pas dans les 30 jours suivant la notification, la modification est réputée acceptée.
10.3 Droit applicable et juridiction compétente
Le présent accord est régi par le droit autrichien. La juridiction compétente est celle d’Innsbruck, Autriche, dans la mesure permise par la loi.
10.4 Clause de divisibilité
Si une disposition du présent accord est invalide ou inapplicable, les autres dispositions n’en sont pas affectées. La disposition invalide est remplacée par une disposition valide qui se rapproche le plus de l’objectif économique poursuivi.
Annexe 1 : Mesures techniques et organisationnelles (art. 32 du RGPD)
Kaino GmbH n’exploite pas ses propres centres de données. Les mesures de sécurité physique (contrôle des accès, alimentation électrique, protection incendie, climatisation) sont assurées par les fournisseurs d’infrastructure Hetzner Online GmbH (Allemagne, ISO 27001), OVHCloud SAS (France, ISO 27001) et Scaleway SAS (France, ISO 27001). Pour leurs mesures techniques et organisationnelles, nous renvoyons à :
- Hetzner Online GmbH : hetzner.com/de/legal/privacy-policy
- OVHCloud SAS : ovhcloud.com/de/personal-data-protection
- Scaleway SAS : scaleway.com/en/privacy-policy
Kaino GmbH est responsable des mesures suivantes au niveau applicatif :
1. Traitement transitoire (élément central de sécurité)
Les contenus des documents sont traités exclusivement en mémoire vive (traitement « in-memory ») et immédiatement rejetés après la restitution du résultat. Aucun stockage durable des contenus de documents n’a lieu. Ce principe d’architecture élimine des risques essentiels liés à la conservation des données : en cas de panne du système, aucune donnée de document n’est perdue, puisqu’aucune n’est stockée. Le principe de Zero Data Retention s’applique de manière continue tout au long de la chaîne de traitement, y compris chez les sous-traitants ultérieurs OVHCloud et Scaleway.
Minimisation des données par un prétraitement basé sur des règles : Avant la transmission au traitement assisté par IA, Kaino GmbH effectue côté serveur un prétraitement basé sur des règles, au cours duquel les données personnelles déjà identifiées (par exemple noms, adresses e-mail, numéros de téléphone) sont remplacées par des espaces réservés. Les contenus transmis aux modèles d’IA sont donc déjà partiellement pseudonymisés, ce qui réduit au minimum techniquement nécessaire la quantité de données personnelles traitées par les sous-traitants ultérieurs.
2. Confidentialité (art. 32, par. 1, point b du RGPD)
| Mesure | Mise en œuvre |
|---|---|
| Contrôle d’accès | Accès à l’API exclusivement avec une clé de produit valide ; aucun accès anonyme |
| Contrôle des autorisations | Accès aux serveurs limité à un cercle restreint de personnes ; accès via SSH avec authentification par clé ; authentification à deux facteurs (2FA) pour tous les systèmes ; principe du moindre privilège |
| Contrôle de séparation | Séparation des clients par des clés de produit individuelles ; aucun traitement de données entre clients |
| Engagement de confidentialité | Toutes les personnes ayant accès à des données personnelles sont tenues à la confidentialité (§ 5.2 du présent accord) |
3. Intégrité (art. 32, par. 1, point b du RGPD)
| Mesure | Mise en œuvre |
|---|---|
| Contrôle de la transmission | Transmission exclusivement chiffrée (HTTPS/TLS) ; aucune connexion non chiffrée |
| Contrôle des saisies | Journalisation des accès à l’API (journaux d’accès au serveur, conservation de 30 jours) |
4. Disponibilité et résilience (art. 32, par. 1, points b et c du RGPD)
La disponibilité et la résilience sont assurées par les fournisseurs d’infrastructure (alimentation électrique redondante, connectivité réseau, climatisation). Aucun contenu de documents n’étant stocké durablement, des procédures de sauvegarde et de restauration pour les données de documents ne sont pas nécessaires.
5. Chiffrement et pseudonymisation (art. 32, par. 1, point a du RGPD)
| Mesure | Mise en œuvre |
|---|---|
| Chiffrement du transport | HTTPS/TLS pour toute la communication API |
| Chiffrement du stockage | Chiffrement au repos (encryption-at-rest) pour les données de base des clients (adresse e-mail, nom, nom de l’entreprise) |
| Pseudonymisation | Fonction centrale du service : remplacement des données personnelles par des espaces réservés |
6. Vérification (art. 32, par. 1, point d du RGPD)
| Mesure | Mise en œuvre |
|---|---|
| Vérification régulière | Évaluation annuelle de l’efficacité des mesures techniques et organisationnelles |
| Vérification en cas d’événement ou de changement | Vérification des mesures techniques et organisationnelles en cas de modifications de l’infrastructure, d’incidents de sécurité et de changements de sous-traitants ultérieurs |
| Contrôle de la sous-traitance | Accords de sous-traitance (DPA) conclus avec tous les sous-traitants ultérieurs ; vérification en cas de modifications contractuelles ou de changement de fournisseur |
Kaino GmbH