Accord de traitement des données à caractère personnel (DPA)

Version 1.0 — projet, mai 2026 — en attente de relecture juridique

Documents liés : Mentions légales & Politique de confidentialité · Conditions Générales d'Utilisation et de Vente

Le présent Accord (« DPA ») complète les CGU/CGV et encadre, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »), le traitement des données à caractère personnel réalisé par l'Éditeur pour le compte du Client dans le cadre du Service Marcel.

Article 1 — Parties et rôles

Le Client agit en qualité de responsable du traitement ; il détermine les finalités et les moyens des traitements réalisés via le Service.

La société SEMANTIK, SASU au capital de 5 000 €, siège social 45 rue de la Gaucherie, 41200 Romorantin-Lanthenay, immatriculée au RCS de Blois sous le numéro 105 186 993, représentée par Guillaume Perrin (l'« Éditeur »), agit en qualité de sous-traitant au sens de l'article 28 du RGPD.

Article 2 — Objet et durée

Le présent DPA a pour objet de définir les conditions dans lesquelles l'Éditeur traite, pour le compte et sur instruction du Client, les données à caractère personnel nécessaires à la fourniture du Service. Il s'applique pendant toute la durée des CGU/CGV et tant que l'Éditeur traite des données pour le compte du Client.

Article 3 — Description du traitement

La nature, les finalités, les catégories de données et de personnes concernées sont décrites en Annexe 1. L'Éditeur ne traite les données que sur instruction documentée du Client, ces instructions résultant notamment des CGU/CGV, du paramétrage du Service et des connexions activées par le Client.

Article 4 — Obligations de l'Éditeur (sous-traitant)

L'Éditeur s'engage à :

ne traiter les données que sur instruction documentée du Client, y compris pour les transferts hors UE, sauf obligation légale (auquel cas il en informe le Client sauf interdiction légale) ;
garantir la confidentialité des données et veiller à ce que les personnes autorisées à les traiter s'y soient engagées ou soient soumises à une obligation légale de confidentialité ;
mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, décrites en Annexe 2 ;
respecter les conditions de recours à un autre sous-traitant (article 5) ;
aider le Client à répondre aux demandes d'exercice des droits des personnes concernées ;
aider le Client à assurer le respect de ses obligations (sécurité, notification de violation, analyses d'impact) compte tenu de la nature du traitement et des informations à disposition de l'Éditeur ;
mettre à disposition du Client les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD.

Article 5 — Sous-traitants ultérieurs

Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs listés en Annexe 3 pour la fourniture du Service. L'Éditeur impose à ces sous-traitants des obligations de protection des données équivalentes à celles du présent DPA. En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, l'Éditeur en informe le Client avec un préavis raisonnable, permettant au Client d'émettre des objections légitimes ; à défaut de solution, le Client peut résilier dans les conditions des CGU/CGV.

Article 6 — Transferts hors Union européenne

Certains sous-traitants ultérieurs sont établis aux États-Unis. Les transferts correspondants sont encadrés par les mécanismes prévus au chapitre V du RGPD : adhésion au Data Privacy Framework UE–États-Unis lorsque le sous-traitant y est certifié, et/ou conclusion des Clauses Contractuelles Types de la Commission européenne à défaut. Les transferts sont limités à ce qui est nécessaire à la fourniture du Service.

Article 7 — Assistance au responsable du traitement

Compte tenu de la nature du traitement, l'Éditeur aide le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Le Service met à disposition des fonctions d'export et de suppression des données au niveau de chaque Utilisateur.

Article 8 — Notification des violations de données

L'Éditeur notifie au Client toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai permettant au Client de respecter son obligation de notification à l'autorité de contrôle dans les 72 heures (articles 33 et 34 du RGPD). La notification décrit la nature de la violation, ses conséquences probables et les mesures prises ou proposées.

Article 9 — Sort des données en fin de traitement

Au terme du Contrat, l'Éditeur procède, au choix du Client exprimé par écrit, à la restitution des Données Client dans un format structuré couramment utilisé, puis à leur suppression des systèmes de l'Éditeur dans un délai raisonnable, sauf obligation légale de conservation. Les fonctions d'export restent accessibles au Client jusqu'à la clôture effective du Tenant.

Article 10 — Audit

L'Éditeur met à disposition du Client les informations nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits, y compris des inspections, par le Client ou un auditeur mandaté soumis à confidentialité, dans une mesure raisonnable, sur préavis écrit, sans perturber la sécurité ni la continuité du Service ni la confidentialité des données d'autres clients.

Article 11 — Responsabilité

La responsabilité respective des parties au titre du traitement de données s'apprécie conformément à l'article 82 du RGPD et aux stipulations de responsabilité des CGU/CGV.

Article 12 — Dispositions finales

En cas de contradiction entre le présent DPA et les CGU/CGV s'agissant de la protection des données personnelles, le présent DPA prévaut. Il est régi par le droit français ; tout litige relève du Tribunal de commerce de Blois.

Annexe 1 — Description du traitement

Élément	Description
Nature des opérations	Collecte, organisation, structuration, conservation, consultation, analyse par IA, mise à disposition, suppression.
Finalités	Fournir l'assistant professionnel : tri et analyse d'emails, contextualisation agenda/contacts, propositions de réponses et d'actions, génération de documents, mémorisation des préférences de travail.
Catégories de données	Données d'identification et de connexion (identifiants, mots de passe chiffrés) ; contenus et métadonnées d'emails ; agenda et contacts ; conversations avec le Service ; règles et préférences apprises ; fichiers soumis ponctuellement.
Catégories de personnes	Utilisateurs autorisés par le Client et, le cas échéant, leurs correspondants professionnels figurant dans les données traitées.
Durée	Pendant la durée du Contrat ; emails analysés purgés selon la durée paramétrée (par défaut 90 jours) ; suppression en fin de Contrat conformément à l'article 9.

Le Client s'engage à ne pas faire traiter par le Service de catégories particulières de données (article 9 du RGPD) sans s'être assuré au préalable d'une base légale appropriée et avoir, le cas échéant, informé l'Éditeur.

Annexe 2 — Mesures techniques et organisationnelles de sécurité

Conformément à l'article 32 du RGPD, l'Éditeur met en œuvre notamment :

chiffrement des mots de passe (bcrypt) et stockage chiffré des secrets sensibles ;
authentification à deux facteurs (TOTP) disponible ;
chiffrement des communications en transit (HTTPS/TLS) ;
sessions sécurisées avec expiration automatique après inactivité ;
isolation logique des données entre Tenants (cloisonnement multi-locataire) ;
suppression réversible puis effacement définitif selon les durées prévues ;
sauvegardes chiffrées de la base de données ;
en-têtes de sécurité (CSP, X-Frame-Options, HSTS) et verrouillage de compte après tentatives échouées ;
contrôle des accès limité aux personnes habilitées, soumises à confidentialité ;
recours à des fournisseurs d'infrastructure offrant des garanties appropriées.

Ces mesures évoluent avec l'état de l'art ; l'Éditeur peut les actualiser sans diminuer le niveau de protection global.

Annexe 3 — Liste des sous-traitants ultérieurs

Sous-traitant	Finalité	Localisation	Encadrement transfert
Anthropic (Claude)	Traitement IA des conversations et emails	USA	DPF / CCT
OpenAI	Embeddings sémantiques, génération d'images	USA	DPF / CCT
Railway	Hébergement application et base de données	USA	CCT
Nango	Gestion des connexions OAuth (Microsoft, Google)	USA / UE	CCT
Google (Workspace / API)	Envoi des emails du service ; accès Gmail / Drive / Agenda autorisés	USA	DPF / CCT
ElevenLabs	Synthèse vocale	USA / UE	CCT
Twilio	Notifications WhatsApp / SMS	USA	DPF / CCT

Liste susceptible d'évoluer ; toute modification est portée à la connaissance du Client conformément à l'article 5. « DPF » : Data Privacy Framework UE–États-Unis ; « CCT » : Clauses Contractuelles Types de la Commission européenne.

⚠️ Champ à compléter

Le seul champ encore manquant est le numéro de TVA intracommunautaire de SEMANTIK, en cours d'attribution par l'administration fiscale française. La société est immatriculée au RCS de Blois depuis le 20/05/2026 sous le numéro 105 186 993.