Accéder au contenu principal

Mentions légales

ANNEXE – ACCORD DE TRAITEMENT DE DONNÉES (DPA) – ALIX

Version en vigueur au 17/02/2026

Sommaire
  1. 1. Objet – Champ d’application
  2. 2. Définitions
  3. 3. Description du Traitement
  4. 4. Obligations du Prestataire (Sous‑traitant)
  5. 5. Obligations du Client (Responsable de traitement)
  6. 6. Sous‑traitants ultérieurs
  7. 7. Localisation – Transferts hors EEE
  8. 8. Sécurité
  9. 9. Violation de données personnelles
  10. 10. Sort des Données Client – Suppression / Restitution
  11. 11. Audits – Preuves de conformité
  12. 12. Confidentialité
  13. 13. Responsabilité
  14. Annexe 1 – Description du Traitement (Article 28)
  15. Annexe 2 – Mesures techniques et organisationnelles (exemples)
  16. Annexe 3 – Liste des Sous‑traitants ultérieurs autorisés

1. Objet – Champ d’application

La présente annexe (« DPA ») encadre le traitement de données personnelles effectué par BLACK DIAMOND LABS en qualité de Sous‑traitant (« Prestataire ») pour le compte du Client agissant en qualité de Responsable de traitement, lorsque le Client utilise le Service ALIX et y introduit des données personnelles (ex. dans des documents, prompts ou contenus).

Le DPA fait partie intégrante des CGV/contrat principal. En cas de contradiction, le DPA prévaut pour les stipulations relatives à la protection des données personnelles.

2. Définitions

Les termes « Données personnelles », « Traitement », « Responsable de traitement », « Sous‑traitant », « Violation de données personnelles », « Personne concernée » ont le sens qui leur est donné par le RGPD.

Sauf définition contraire dans le présent DPA, les termes commençant par une majuscule (notamment « Service », « Compte », « Utilisateur », « Contenus », « Résultats ») ont le sens qui leur est donné dans les CGV/CGU du Service.

« Données Client » : données personnelles traitées pour le compte du Client dans le cadre du Service.

« Sous‑traitant ultérieur » : tout prestataire du Prestataire intervenant dans le Traitement des Données Client.

Contact RGPD : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. (ou adresse dédiée à compléter).

3. Description du Traitement

Les caractéristiques essentielles du Traitement figurent en Annexe 1 (Description – Article 28 du RGPD).

4. Obligations du Prestataire (Sous‑traitant)

Le Prestataire s’engage à :

  • traiter les Données Client uniquement sur instructions documentées du Client, et exclusivement pour fournir le Service ;
  • informer le Client si une instruction lui paraît contraire à la réglementation ;
  • garantir que les personnes autorisées à traiter les Données Client s’engagent à la confidentialité (ou y sont soumises légalement) ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées décrites en Annexe 2 ;
  • ne pas « réutiliser » les Données Client pour son propre compte, notamment à des fins d’entraînement de modèles d’IA, de profiling publicitaire ou de revente ;
  • assister le Client, dans la mesure raisonnable et compte tenu de la nature du Service, pour répondre aux demandes d’exercice de droits des Personnes concernées ;
  • assister le Client pour la réalisation d’analyses d’impact (AIPD/DPIA) et, le cas échéant, la consultation préalable de l’autorité de contrôle, dans la limite des informations dont il dispose ;
  • mettre à disposition du Client les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d’audits conformément à l’article 11.

5. Obligations du Client (Responsable de traitement)

  • déterminer les finalités et moyens du Traitement et s’assurer d’une base légale valide ;
  • informer les Personnes concernées et, le cas échéant, recueillir les consentements nécessaires ;
  • ne transmettre au Service que les Données Client strictement nécessaires ;
  • s’assurer de la licéité des Contenus (droits, secret, confidentialité) et de l’absence de données sensibles non nécessaires ;
  • gérer les habilitations de ses Utilisateurs et la sécurité de ses identifiants.

6. Sous‑traitants ultérieurs

Le Client autorise le recours aux Sous‑traitants ultérieurs listés en Annexe 3. Le Prestataire peut ajouter ou remplacer un Sous‑traitant ultérieur sous réserve : (i) d’en informer le Client, (ii) de permettre au Client d’émettre une objection motivée pour des raisons sérieuses liées à la protection des données.

Le Prestataire impose à tout Sous‑traitant ultérieur des obligations au moins équivalentes à celles du présent DPA, notamment en matière de sécurité, confidentialité, et interdiction d’utilisation des Données Client pour entraîner des modèles.

Spécificités des Sous‑traitants intervenant pour l’inférence IA : le Service est hébergé chez OVHcloud sur des serveurs situés en France (hors inférence IA). Lorsque le Prestataire recourt, pour l’exécution de certaines fonctionnalités, à un modèle de langage fourni via API par un Sous‑traitant ultérieur (notamment Mistral AI et/ou Microsoft Azure – régions France), les requêtes et Contenus transmis : (i) ne sont pas utilisés pour entraîner ou améliorer des modèles destinés à d’autres clients, (ii) ne font l’objet d’aucune conservation persistante par ce Sous‑traitant ultérieur au‑delà du temps strictement nécessaire à l’exécution technique de la requête, sauf obligation légale, et (iii) sont traités conformément aux instructions du Client et aux mesures de sécurité applicables.

7. Localisation – Transferts hors EEE

Le Prestataire héberge et traite les Données Client en France (EEE) via son hébergeur OVHcloud et, pour l’inférence IA, via des fournisseurs configurés sur des régions France/EEE (notamment Mistral AI et/ou Microsoft Azure – régions France). Aucun transfert hors EEE n’est recherché pour le traitement principal des Données Client.

Si, de manière exceptionnelle, un transfert hors EEE devait intervenir (ex. évolution technique, demande du Client, indisponibilité d’une région), le Prestataire s’engage à mettre en place, avant transfert, un mécanisme conforme (ex. clauses contractuelles types) et, si nécessaire, des mesures complémentaires.

8. Sécurité

Les mesures de sécurité applicables sont décrites en Annexe 2. Le Prestataire peut les faire évoluer pour maintenir un niveau de sécurité adapté, sans réduire substantiellement le niveau de protection.

9. Violation de données personnelles

Le Prestataire notifie au Client toute Violation de Données Client dans les meilleurs délais et, si possible, au plus tard dans les 48 heures après en avoir eu connaissance. La notification inclut les informations utiles disponibles (nature de la violation, catégories de données, mesures prises, points de contact).

10. Sort des Données Client – Suppression / Restitution

Durant l’exécution du Service, les Données Client sont conservées pendant une durée maximale de trente (30) jours glissants à compter de la dernière activité associée dans le Service (dernier message, upload ou modification), puis supprimées ou anonymisées, sauf obligation légale ou nécessité de conservation liée à la sécurité, à la prévention de la fraude ou à la gestion d’un litige.

À l’expiration du contrat, et sauf instruction contraire du Client ou obligation légale, le Prestataire supprime les Données Client et les copies existantes dans un délai maximum de trente (30) jours. Une restitution peut être réalisée sur demande du Client, dans un format raisonnable et sous réserve de faisabilité technique.

11. Audits – Preuves de conformité

Le Client peut réaliser un audit (ou mandater un auditeur indépendant) pour vérifier la conformité au présent DPA, dans la limite d’un audit par an, sur préavis raisonnable, pendant les heures ouvrées, et sous réserve de mesures de confidentialité et de sécurité. Les audits ne doivent pas perturber de manière excessive l’activité du Prestataire. Les coûts sont à la charge du Client, sauf manquement avéré.

12. Confidentialité

Chaque partie s’engage à conserver confidentielles les informations non publiques obtenues dans le cadre du présent DPA et du Service.

13. Responsabilité

Chaque partie est responsable du respect de ses obligations légales propres. Les limitations de responsabilité du contrat principal restent applicables, sous réserve des règles impératives.

Annexe 1 – Description du Traitement (Article 28)

Objet : Fourniture d’un service SaaS d’assistance et de génération de contenus via IA (ALIX).

Durée : durée du contrat principal, augmentée des durées de conservation prévues (max. trente (30) jours) sauf obligations légales.

Nature des opérations : collecte, enregistrement, hébergement, consultation, analyse, génération de réponses, extraction, suppression.

Finalités : fournir le Service, générer des Résultats, assurer la sécurité et le support.

Types de Données Client :

  • données d’identification et de contact contenues dans les Contenus ;
  • données professionnelles (fonction, organisation) ;
  • données éventuellement présentes dans des documents chargés ou prompts ;
  • métadonnées techniques liées aux requêtes (horodatage, identifiant session).

Catégories de Personnes concernées : salariés, collaborateurs, clients/contacts du Client, ou toute personne dont les données figurent dans les Contenus.

Annexe 2 – Mesures techniques et organisationnelles (exemples)

Les mesures ci‑dessous sont indicatives et doivent refléter votre réalité opérationnelle :

  • Chiffrement des communications (TLS) entre le terminal de l’Utilisateur et le Service.
  • Contrôle d’accès logique (moindre privilège), séparation des environnements, gestion des secrets.
  • Journalisation des événements de sécurité et mécanismes de détection d’abus.
  • Sauvegardes et procédures de restauration, tests réguliers.
  • Gestion des vulnérabilités (mises à jour, correctifs, scans), durcissement des configurations.
  • Encadrement des accès administrateurs (MFA, traçabilité), revue périodique des droits.
  • Plan de réponse aux incidents et procédures internes.
  • Cloisonnement des données et suppression automatisée après trente (30) jours.

Annexe 3 – Liste des Sous‑traitants ultérieurs autorisés

Sous‑traitants ultérieurs autorisés (liste à tenir à jour) :
1) OVHcloud – Hébergement de l’infrastructure du Service (serveurs en France).
2) Mistral AI – Fourniture d’accès à des modèles LLM (inférence) via API (serveurs en France/EEE selon configuration).
3) Microsoft Azure – Fourniture d’accès à des modèles LLM (inférence) via services Azure (régions France selon configuration).
4) [À compléter] Outil de monitoring/alerting (si utilisé) – supervision technique.
Le Prestataire informe le Client en cas d’ajout ou de remplacement d’un Sous‑traitant ultérieur intervenant sur les Données Client, conformément au présent DPA.

Sous‑traitant ultérieurPrestationLocalisationGaranties clés
Mistral AI (à préciser : entité/raison sociale)Inférence / API de modèle d’IA (génération de texte) pour le ServiceFrance (serveurs en France)Pas d’entraînement sur les Données Client ; aucune conservation persistante des requêtes/Contenus au‑delà du temps nécessaire ; mesures de sécurité contractuelles.
Microsoft Azure (Microsoft) – régions France (à préciser : France Central/France South)Hébergement et/ou inférence IA selon l’architecture retenueFrance (régions France)Pas d’entraînement sur les Données Client ; aucune conservation persistante des requêtes/Contenus au‑delà du temps nécessaire ; mesures de sécurité cloud.
Sous‑traitantPrestationLocalisationGaranties principales
Mistral AI (ou équivalent)Inférence IA (génération)FrancePas d’entraînement ; pas de conservation persistante ; mesures de sécurité.
Microsoft Azure – régions FranceCompute/hébergement et/ou inférence IAFrancePas d’entraînement ; pas de conservation persistante ; sécurité cloud.
[Hébergeur / Infogérant]Hébergement applicatif, bases de données, stockageFranceHébergement France ; accès restreint ; sauvegardes.
Hébergeur applicatif (à préciser)Hébergement de l’application, bases de données et stockageFrance (serveurs en France)Hébergement en France ; mesures de sécurité et de confidentialité ; accès restreint ; suppression/écrasement selon la politique de conservation.