⚠️ Brouillon — à faire valider par un avocat avant toute publication
Structure conforme à l'article 28 du RGPD (contenu obligatoire d'un contrat de sous-traitance).
Tout client B2B sérieux demandera ce document avant de signer — mieux vaut l'avoir prêt.
Les zones entre crochets restent à compléter.
Accord de sous-traitance (Data Processing Agreement)
Dernière mise à jour : [DATE]
Le présent accord complète les CGU/CGV et s'applique au
traitement de données à caractère personnel effectué par l'Éditeur pour le compte du Client,
conformément à l'article 28 du RGPD.
1. Qualification des parties
Le Client est responsable de traitement des données à
caractère personnel qu'il saisit dans le Service (participants de ses réunions, contenu des
échanges, contacts professionnels).
L'Éditeur ([raison sociale]) agit en tant que
sous-traitant au sens du RGPD pour l'hébergement, le fonctionnement technique
et la maintenance du Service.
2. Objet, nature et finalité du traitement
| Objet | Fourniture d'un logiciel de prise de notes et de comptes-rendus de réunion assisté par IA (VECTOR-MOM) en mode SaaS |
| Nature des opérations | Hébergement, stockage, transcription audio, traitement optionnel par des services tiers IA/calendrier/messagerie selon les modules activés par le Client |
| Finalité | Permettre au Client d'enregistrer, transcrire et résumer ses réunions professionnelles, et d'en suivre les actions |
| Durée | Durée du contrat d'abonnement, plus la période de grâce définie aux
CGV |
3. Catégories de personnes concernées et de données
Participants aux réunions du Client (internes ou externes), utilisateurs du Service (salariés
du Client). Catégories de données : voir le détail dans la
politique de confidentialité, section 1. Aucune
catégorie de données dites « sensibles » (santé, opinions, origine…) n'est traitée dans le
cadre normal d'utilisation du Service ; le Client demeure toutefois seul responsable du
contenu effectivement échangé au cours des réunions qu'il enregistre.
4. Obligations du sous-traitant (Éditeur)
- Ne traiter les données que sur instruction documentée du Client (fonctionnement normal du Service).
- Garantir la confidentialité des personnes autorisées à traiter les données (accès cloisonné
par compte utilisateur et par dossier, clé API personnelle révocable).
- Mettre en œuvre les mesures de sécurité appropriées (chiffrement en transit, hachage des mots
de passe, purge automatique de l'audio brut à la suppression d'une réunion).
- Ne recourir à un sous-traitant ultérieur qu'avec l'autorisation préalable, écrite, générale ou
spécifique, du Client — la liste actuelle des sous-traitants ultérieurs figure dans la
politique de confidentialité, section 4.
Le Client est informé de tout changement, avec la possibilité de s'y opposer.
- Assister le Client pour répondre aux demandes d'exercice des droits des personnes concernées.
- Notifier le Client de toute violation de données à caractère personnel dans un délai de
[72 heures] après en avoir pris connaissance.
- Supprimer ou restituer l'ensemble des données à l'issue de la prestation, selon les modalités
prévues aux CGV (section résiliation).
- Mettre à disposition du Client toute information nécessaire pour démontrer le respect des
obligations du présent article et permettre la réalisation d'un audit, sur demande raisonnable.
5. Sous-traitants ultérieurs autorisés
Le Client autorise, à la date de signature, le recours aux sous-traitants ultérieurs suivants
(activés selon les modules souscrits) :
| Sous-traitant | Prestation | Garanties |
| [Hostinger — ou hébergeur retenu] | Hébergement (VPS, base de données) | [clauses contractuelles types / région UE] |
| Groq Inc. | Génération IA du compte-rendu, des actions et de l'assistant (texte uniquement) | Clauses contractuelles types (transferts hors UE) |
| Google LLC / Microsoft Corporation | Connexion calendrier (module optionnel, à l'initiative de l'utilisateur) | Clauses contractuelles types selon service |
| [fournisseur SMTP configuré par l'administrateur] | Envoi d'e-mails transactionnels | [selon fournisseur] |
6. Mesures de sécurité techniques et organisationnelles
- Authentification par mot de passe haché (jamais stocké en clair), politique de complexité minimale.
- Clé API personnelle par utilisateur (app compagnon, serveur MCP), révocable à tout moment.
- Cloisonnement des données par compte utilisateur, avec partage explicite et révocable
(dossiers d'équipe, liens de partage de compte-rendu).
- Connexion chiffrée (HTTPS) de bout en bout.
- Transcription audio exécutée directement sur le serveur de l'éditeur (aucun transfert de
l'audio brut vers un tiers).
- Purge automatique et irréversible de l'audio brut et de la transcription associée à la
suppression d'une réunion par l'utilisateur.
- Jetons de réinitialisation de mot de passe à usage unique et durée de vie limitée.
7. Audit et documentation
Le Client peut demander, une fois par an ou en cas de suspicion raisonnable de manquement, une
description documentée des mesures de sécurité en vigueur. Un audit sur site ou par prestataire
mandaté peut être organisé selon des modalités à convenir (préavis, coût, confidentialité).