Documents légaux
Accord de traitement des données (DPA)
Cet accord (« DPA ») s'applique lorsque Clarsign agit en qualité de sous-traitant pour le compte d'un Client (responsable de traitement) au sens du RGPD. Il fait partie intégrante du Contrat conclu entre les parties.
Définitions
Les termes en majuscule non définis ici ont la signification donnée par le RGPD ou le Contrat. « Données » désigne les données personnelles traitées par Clarsign pour le compte du Client dans le cadre du Service.
Objet, durée et nature du traitement
| Élément | Précision |
|---|---|
| Nature | Hébergement, analyse contractuelle assistée par IA |
| Finalité | Fourniture du Service souscrit par le Client |
| Durée | Durée du Contrat + 30 jours |
| Catégories de personnes | Utilisateurs du Client, parties prenantes mentionnées dans les documents |
| Catégories de données | Identification, contenu de documents contractuels, métadonnées |
Obligations de Clarsign
- Traiter les Données uniquement sur instruction documentée du Client
- Garantir la confidentialité des personnes habilitées à traiter les Données
- Mettre en œuvre les mesures de sécurité décrites en Annexe Sécurité
- Aider le Client à répondre aux demandes des personnes concernées
- Notifier toute violation de Données dans les 48 heures suivant sa connaissance
- À l'issue du Contrat, supprimer ou restituer les Données au choix du Client
Sous-traitants ultérieurs
Le Client autorise Clarsign à recourir aux sous-traitants ultérieurs listés ci-dessous. Toute évolution est notifiée au Client trente (30) jours avant prise d'effet ; le Client peut s'y opposer pour motif légitime.
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVHcloud SAS | Hébergement infrastructure | France (UE) |
| Postmark (ActiveCampaign) | E-mails transactionnels | UE / États-Unis (CCT) |
| Anthropic, PBC | Modèles d'IA — traitement éphémère | UE (région) / CCT |
| Plausible Insights OÜ | Mesure d'audience | Estonie (UE) |
Transferts hors UE
Tout transfert hors UE s'effectue sur la base d'une décision d'adéquation ou, à défaut, des Clauses contractuelles types adoptées par la Commission européenne, complétées de mesures techniques (chiffrement, pseudonymisation) et organisationnelles supplémentaires.
Audit
Le Client peut, une fois par an et avec un préavis raisonnable, demander un audit des mesures de sécurité de Clarsign, soit sur la base des rapports de tests d'intrusion et certifications fournis par Clarsign, soit, en cas d'insuffisance constatée, par un auditeur tiers indépendant choisi d'un commun accord et soumis à confidentialité.
Responsabilité
Chaque partie répond des dommages causés par son non-respect du RGPD. La responsabilité globale au titre du présent DPA est encadrée par les limitations prévues au Contrat, sous réserve des dispositions impératives.
Annexe — Mesures de sécurité
- Cloisonnement strict par locataire et contrôle d'accès basé sur les rôles
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification forte (MFA) obligatoire pour les accès administrateurs
- Journalisation centralisée et corrélation des événements de sécurité
- Sauvegardes chiffrées, tests de restauration trimestriels
- Politique de gestion des correctifs et tests d'intrusion annuels
- Sensibilisation et formation continues des équipes
- Plan de continuité et de reprise d'activité documenté