Accord de sous-traitance (DPA)
Conclu entre Evelyne (sous-traitant) et chaque agence cliente (responsable de traitement), au titre de l'article 28 du RGPD.
Version 1.0 — 30 mai 2026 Adapté du modèle officiel de clauses CNIL Art. 28 RGPD (cnil.fr/fr/sous-traitance-exemple-de-clauses) À signer électroniquement entre :
- L'Agence cliente (Responsable de traitement)
- [RAISON SOCIALE EVELYNE À COMPLÉTER POST CRÉATION ENTREPRISE 4 JUIN 2026] (Sous-traitant), ci-après « Evelyne »
⚠️ Document juridique substantiel, autoporté, prêt à signer dès création entreprise. Adam a validé : pas d'avocat (rédaction skill droit-francais ancrée sur modèle CNIL officiel).
Préambule
Le présent Accord de Sous-Traitance (« DPA » ou « Accord ») a pour objet de définir les conditions dans lesquelles Evelyne, en tant que sous-traitant au sens de l'article 4.8 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), s'engage à effectuer pour le compte de l'Agence cliente, responsable de traitement au sens de l'article 4.7 du RGPD, les opérations de traitement de données à caractère personnel des prospects de cette dernière.
Le présent DPA est conclu en application de l'article 28 du RGPD et fait partie intégrante des Conditions Générales de Vente (« CGV ») d'Evelyne. En cas de contradiction entre les CGV et le présent DPA, les stipulations du DPA prévalent pour ce qui concerne le traitement des données à caractère personnel.
Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le RGPD ainsi que la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
I — Objet du traitement
Evelyne est autorisée à traiter, pour le compte de l'Agence cliente, les données à caractère personnel des prospects de cette dernière dans le seul but de fournir le service Evelyne tel que défini dans les CGV : assistante conversationnelle IA pour la prospection immobilière post-formulaire, comprenant notamment la capture, qualification, réponse automatisée, détection de cas sensibles, transmission à un agent humain et séquences de relance.
La nature et la finalité précises du traitement sont détaillées en Annexe 1.
II — Durée
Le présent DPA entre en vigueur à compter de la date de signature électronique et reste en vigueur pendant toute la durée de l'abonnement de l'Agence cliente au service Evelyne, telle que définie dans les CGV.
À la résiliation de l'abonnement, le présent DPA reste applicable pendant trente (30) jours supplémentaires, période pendant laquelle Evelyne procède aux opérations de restitution ou destruction des données prévues à l'article XI ci-après.
III — Description du traitement
3.1 — Nature des opérations
Les opérations réalisées par Evelyne sur les données à caractère personnel comprennent : collecte (via webhook formulaire), enregistrement, organisation, structuration, conservation, adaptation, consultation, utilisation par modèle d'intelligence artificielle (génération de réponses), transmission par courriel électronique au prospect, transmission interne à l'Agence cliente (handoff agent humain), effacement à l'issue du contrat.
3.2 — Finalités du traitement
Les finalités du traitement sont :
- Qualification automatisée des prospects entrants (scoring, classification d'intention, détection de cas sensibles)
- Génération et envoi d'une réponse automatisée personnalisée en moins de 60 secondes
- Maintien de la conversation multi-tour avec le prospect (Postmark Inbound)
- Transmission au commercial humain de l'Agence cliente en cas de prospect qualifié ou cas sensible détecté
- Suivi des séquences de relance automatiques sur leads non répondus (J+2, J+5)
- Tenue d'un journal d'activité (logs) à des fins de débogage et de conformité
3.3 — Catégories de données traitées
| Catégorie | Données |
|---|---|
| Identification | Nom, prénom |
| Coordonnées | Adresse email, numéro de téléphone (le cas échéant) |
| Projet immobilier | Type de projet, zone géographique, budget, délai, type de bien, surface souhaitée |
| Communication | Contenu intégral du message initial et de chaque échange ultérieur entre le prospect et Evelyne |
| Métadonnées techniques | Adresse IP de capture, horodatages, identifiant de corrélation, identifiant de session |
| Consentements | État du consentement RGPD, consentement téléphonique (Loi Lecamp), version de la mention d'information acceptée |
Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée intentionnellement. En cas de détection accidentelle de telles données dans un message libre du prospect (par exemple, mention d'un état de santé), Evelyne applique la procédure de détection des cas sensibles (article VI ci-après) et procède au transfert immédiat vers un opérateur humain de l'Agence cliente, sans réponse automatisée.
3.4 — Catégories de personnes concernées
Les personnes concernées par les traitements sont exclusivement les prospects ayant délibérément initié un contact avec l'Agence cliente, soit en remplissant un formulaire web, soit en envoyant un courriel à une adresse publique de l'Agence cliente, ou par tout autre moyen prévu par les paramètres de l'Agence cliente.
3.5 — Informations mises à disposition par l'Agence cliente
Pour l'exécution du service, l'Agence cliente met à disposition d'Evelyne, au moment de son inscription puis de manière continue : sa raison sociale, son adresse, ses zones de chalandise, sa signature email, le ton commercial souhaité, la liste de ses agents commerciaux habilités à recevoir les handoff, ses consentements relatifs aux sous-traitants ultérieurs d'Evelyne énumérés en Annexe 2, ainsi que les coordonnées de son délégué à la protection des données ou de son point de contact RGPD.
IV — Obligations d'Evelyne vis-à-vis de l'Agence cliente
Evelyne s'engage à :
4.1 — Finalité et instructions
Traiter les données uniquement pour les finalités définies à l'article 3.2 du présent DPA et conformément aux instructions documentées de l'Agence cliente. Si Evelyne considère qu'une instruction de l'Agence cliente constitue une violation du RGPD ou de toute autre disposition du droit de l'Union européenne ou du droit français en matière de protection des données, elle en informe immédiatement l'Agence cliente.
Si Evelyne est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale en vertu du droit de l'Union ou du droit d'un État membre, elle en informe l'Agence cliente préalablement au transfert, sauf interdiction légale.
4.2 — Confidentialité
Garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent DPA.
4.3 — Personnel habilité
Veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent DPA :
- soient soumises à une obligation contractuelle de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- n'accèdent aux données nominatives que dans le cadre strict de leurs missions, et selon la procédure dite « bris de glace » formalisée à l'article 4.10 ci-après.
4.4 — Protection des données dès la conception et par défaut
Prendre en compte, dans ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut, conformément à l'article 25 du RGPD.
V — Sous-traitance ultérieure
Conformément à l'article 28.2 du RGPD, l'Agence cliente autorise Evelyne à faire appel aux sous-traitants ultérieurs listés en Annexe 2, pour les seules finalités et selon les rôles qui y sont décrits.
Toute modification de la liste des sous-traitants ultérieurs (ajout ou remplacement) sera notifiée à l'Agence cliente par courrier électronique au moins trente (30) jours avant l'entrée en vigueur effective de la modification. L'Agence cliente dispose, à compter de la notification, d'un délai de quatorze (14) jours pour formuler une objection motivée. En l'absence d'objection dans ce délai, la modification est réputée acceptée.
En cas d'objection légitime persistante, l'Agence cliente est en droit de résilier le contrat sans pénalité, étant entendu qu'elle bénéficiera des dispositions de restitution et destruction prévues à l'article XI.
Le sous-traitant ultérieur est tenu de respecter les obligations du présent DPA pour le compte et selon les instructions du responsable de traitement. Evelyne s'assure que ces sous-traitants ultérieurs présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD. Evelyne demeure pleinement responsable devant l'Agence cliente de l'exécution par ces sous-traitants ultérieurs de leurs obligations.
VI — Droit d'information des personnes concernées
Il appartient à l'Agence cliente, en qualité de responsable de traitement, de fournir aux personnes concernées par les opérations de traitement, au moment de la collecte des données, l'ensemble des informations requises par les articles 13 et 14 du RGPD. À cette fin, Evelyne met à disposition de l'Agence cliente un modèle de mentions d'information conforme, intégrant explicitement la mention de l'intervention d'une intelligence artificielle (article 50 du Règlement (UE) 2024/1689 sur l'intelligence artificielle).
Evelyne intègre par ailleurs, dans chaque premier message envoyé à un prospect, une mention explicite indiquant que le message est rédigé par une intelligence artificielle, en application de l'article 50 précité. Cette mention est non négociable et constitue une obligation contractuelle d'Evelyne.
VII — Exercice des droits des personnes
Dans la mesure du possible, Evelyne aide l'Agence cliente à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition, et droit de ne pas faire l'objet d'une décision individuelle automatisée.
Lorsqu'une demande d'exercice de droits est adressée directement à Evelyne, celle-ci la transmet à l'Agence cliente concernée dans un délai de quarante-huit (48) heures ouvrées et apporte son soutien technique à l'exécution de la demande dans le respect des délais légaux applicables.
VIII — Notification des violations de données à caractère personnel
Evelyne notifie à l'Agence cliente toute violation de données à caractère personnel concernant les traitements visés au présent DPA dans un délai maximum de vingt-quatre (24) heures après en avoir pris connaissance, par courrier électronique au point de contact RGPD désigné par l'Agence cliente.
Cette notification est accompagnée de toute documentation utile permettant à l'Agence cliente de notifier elle-même, le cas échéant, cette violation à la CNIL dans les soixante-douze (72) heures conformément à l'article 33 du RGPD.
La notification contient au minimum :
- la description de la nature de la violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
- les coordonnées du point de contact d'Evelyne ;
- la description des conséquences probables de la violation ;
- la description des mesures prises ou envisagées par Evelyne pour remédier à la violation et en atténuer les éventuelles conséquences négatives.
À la demande de l'Agence cliente, Evelyne peut, après accord formel de cette dernière, procéder à la notification à la CNIL au nom et pour le compte de l'Agence cliente.
IX — Aide d'Evelyne dans le cadre du respect par l'Agence cliente de ses obligations
Evelyne aide l'Agence cliente, dans la mesure de ses moyens techniques et organisationnels, à :
- la réalisation d'analyses d'impact relatives à la protection des données (AIPD) au sens de l'article 35 du RGPD, lorsque celles-ci sont requises ;
- la consultation préalable de la CNIL au titre de l'article 36 du RGPD, le cas échéant ;
- la tenue de son registre des activités de traitement, en lui communiquant à première demande les informations relatives aux traitements qu'Evelyne effectue pour son compte.
X — Mesures de sécurité
Evelyne s'engage à mettre en œuvre les mesures techniques et organisationnelles de sécurité détaillées en Annexe 3 du présent DPA, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment :
- la signature cryptographique des courriels sortants (DKIM 2048 bits, SPF, DMARC) sur le domaine
evelyneai.com; - le chiffrement en transit (TLS 1.2 ou supérieur) sur l'ensemble des flux entrants et sortants ;
- le chiffrement au repos de la base de données et des sauvegardes hébergées chez Backblaze B2 (chiffrement rclone) ;
- l'authentification multi-facteurs sur l'ensemble des comptes administrateurs (n8n, Supabase, Clerk, Vercel, Postmark, Cloudflare, Anthropic, Stripe) ;
- la signature HMAC des webhooks pour authentification des appels entrants ;
- la procédure dite « bris de glace » formalisée pour tout accès admin aux données nominatives, comprenant un horodatage de début et de fin, un motif explicite, une journalisation en table dédiée (
Acces_Admin) et une notification automatique par courriel à l'Agence cliente concernée ; - la sauvegarde quotidienne automatisée de la base de données ;
- le monitoring continu de la disponibilité du service avec alertes en cas d'incident.
Evelyne s'engage à mettre à jour ces mesures de sécurité en fonction de l'évolution de l'état de l'art et des risques identifiés. Toute modification substantielle des mesures de sécurité est notifiée à l'Agence cliente dans un délai raisonnable.
XI — Sort des données à l'issue du contrat
Au terme du contrat liant Evelyne à l'Agence cliente, ou à toute demande expresse de cette dernière en cours de contrat, Evelyne s'engage à :
-
Pendant les trente (30) jours suivant la résiliation : conserver les données à caractère personnel sous une forme inaccessible aux usagers du service (lecture seule, accès admin uniquement) afin de permettre à l'Agence cliente, si elle en fait la demande, d'obtenir une restitution complète au format exploitable (CSV, JSON).
-
À l'issue de cette période de trente jours, et sauf demande contraire expresse de l'Agence cliente formulée par écrit : procéder à la destruction définitive de l'ensemble des données à caractère personnel relatives à l'Agence cliente, y compris dans les sauvegardes (effacement progressif au fur et à mesure de la rotation des sauvegardes, et au plus tard dans un délai de quatre-vingt-dix (90) jours suivant la résiliation).
-
La destruction effective est attestée par écrit à l'Agence cliente sur simple demande.
Les journaux d'audit (table Logs, table Acces_Admin) sont conservés pendant cinq (5) ans à des fins probatoires et de conformité, après pseudonymisation des identifiants directs des prospects (effacement irréversible des champs email, téléphone, nom, prénom).
XII — Délégué à la protection des données
Evelyne désigne comme point de contact pour toute question relative au présent DPA et à la protection des données : [ADRESSE COURRIEL DPO/POINT DE CONTACT — par défaut dpo@evelyneai.com].
À la date de signature du présent DPA, Evelyne n'a pas l'obligation légale de désigner un Délégué à la Protection des Données au sens de l'article 37 du RGPD compte tenu de la nature et de l'échelle de ses traitements. Si une telle désignation devenait obligatoire ou si Evelyne décidait d'en désigner un volontairement, l'Agence cliente en serait informée par courriel.
XIII — Registre des activités de traitement
Evelyne tient à jour, conformément à l'article 30.2 du RGPD, un registre des catégories d'activités de traitement effectuées pour le compte de chaque responsable de traitement, comprenant :
- les coordonnées du responsable de traitement et, le cas échéant, du sous-traitant initial dont elle agit pour le compte ;
- les catégories de traitements effectués pour le compte du responsable du traitement ;
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et les garanties associées (notamment les clauses contractuelles types adoptées par la Commission européenne en application de la décision d'exécution (UE) 2021/914 du 4 juin 2021) ;
- une description générale des mesures techniques et organisationnelles de sécurité visées à l'article 32 du RGPD.
Ce registre est tenu à la disposition de l'Agence cliente sur simple demande.
XIV — Documentation et audit
Evelyne met à la disposition de l'Agence cliente la documentation nécessaire pour démontrer le respect de toutes ses obligations au titre du présent DPA, et permettre la réalisation d'audits, y compris des inspections, par l'Agence cliente ou par un auditeur indépendant qu'elle aura mandaté.
Les audits sont organisés avec un préavis raisonnable d'au moins trente (30) jours, durant les heures ouvrables, et de manière à ne pas perturber le bon fonctionnement du service. Les coûts liés à l'audit sont à la charge de l'Agence cliente, sauf si l'audit révèle un manquement matériel d'Evelyne à ses obligations.
XV — Obligations de l'Agence cliente vis-à-vis d'Evelyne
L'Agence cliente s'engage à :
- Fournir à Evelyne les données et informations visées à l'article 3.5 du présent DPA, et à les maintenir à jour.
- Documenter par écrit toute instruction spécifique relative au traitement des données par Evelyne, sortant du cadre standard décrit au présent DPA.
- Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part d'Evelyne.
- Recueillir et tracer les consentements requis des prospects au moment de leur capture, et transmettre fidèlement à Evelyne, via les champs prévus, l'état précis de ces consentements (notamment l'opt-in téléphonique au titre de la Loi Lecamp n° 2024-XXX du XX juillet 2024 entrant en vigueur le 11 août 2026).
- Assurer l'information des personnes concernées au moment de la collecte des données.
- Désigner un point de contact RGPD interne joignable par Evelyne pour toute notification de violation.
XVI — Loi applicable et juridiction compétente
Le présent DPA est régi par le droit français. Tout différend relatif à son interprétation, sa validité ou son exécution sera soumis à la compétence exclusive du Tribunal de Commerce de Paris, nonobstant pluralité de défendeurs ou appel en garantie.
XVII — Modification du DPA
Toute modification du présent DPA fait l'objet d'un avenant signé par les deux parties. En cas d'évolution substantielle de la réglementation applicable (notamment du RGPD ou d'une décision opposable de la CNIL), les parties s'engagent à se rencontrer de bonne foi pour adapter le présent DPA.
Pour les modifications mineures liées à la mise à jour de la liste des sous-traitants ultérieurs (Annexe 2), la procédure prévue à l'article V s'applique.
Signatures
Pour l'Agence cliente (Responsable de traitement)
- Raison sociale : ___________________________
- Représentée par : __________________________ en qualité de : __________________________
- Date : ____ / ____ / ________
- Signature électronique :
Pour Evelyne (Sous-traitant)
- Raison sociale : [À COMPLÉTER POST CRÉATION ENTREPRISE 4 JUIN 2026]
- Représentée par : Adam Moustaid en qualité de : Président
- Date : ____ / ____ / ________
- Signature électronique :
ANNEXE 1 — Description précise du traitement
| Élément | Description |
|---|---|
| Finalités | Capture, qualification, réponse automatisée et suivi conversationnel des prospects de l'Agence cliente issus de ses canaux entrants (formulaire web, courriels publics) |
| Nature | Collecte, enregistrement, structuration, conservation, génération de réponse par modèle de langage, envoi par courriel, journalisation |
| Durée de conservation | Durée de l'abonnement + 30 jours post-résiliation (puis effacement). Logs d'audit pseudonymisés conservés 5 ans. |
| Catégories de données | Identification, coordonnées, contenu de la demande immobilière, métadonnées techniques, consentements |
| Catégories de personnes | Prospects de l'Agence cliente |
| Base légale | Exécution du contrat d'abonnement (art. 6.1.b RGPD) et consentement du prospect (art. 6.1.a RGPD) recueilli en amont par l'Agence cliente |
| Volume estimé | Selon le palier d'abonnement : 100 leads/mois (Starter), 500 leads/mois (Pro), illimité (Scale) |
| Localisation des traitements | Union européenne (serveur principal IONOS Allemagne), avec sous-traitance ultérieure de certains services aux États-Unis (Annexe 2) sous garanties appropriées |
| Absence de décision automatisée produisant des effets juridiques | Evelyne ne produit aucune décision automatisée au sens de l'article 22 du RGPD ni au sens de l'article 50 du Règlement (UE) 2024/1689 sur l'intelligence artificielle. Aucune réponse ni action ne produit d'effet juridique à l'égard du Prospect (pas d'engagement contractuel, pas de fixation de prix, pas de décision d'éligibilité, pas de profilage à des fins commerciales discriminantes). Toute action engageante (signature de mandat, fixation de prix, négociation contractuelle) est expressément réservée à un opérateur humain de l'Agence cliente via la procédure de transmission (handoff). |
ANNEXE 2 — Liste des sous-traitants ultérieurs
À la date d'entrée en vigueur du présent DPA, Evelyne a recours aux sous-traitants ultérieurs suivants, autorisés par l'Agence cliente :
| Sous-traitant ultérieur | Rôle | Localisation des traitements | Garanties applicables |
|---|---|---|---|
| Anthropic, PBC | Génération automatisée des réponses par modèle de langage (API Claude Sonnet, Haiku) | États-Unis (option de routage UE activée) | DPA Anthropic signé entre Evelyne et Anthropic. Option Zero Data Retention (ZDR) activée. Clauses contractuelles types UE-US adoptées par la décision d'exécution (UE) 2021/914. Certification SOC 2 Type 2 et ISO 27001. |
| Postmark (ActiveCampaign LLC) | Envoi et réception des courriels transactionnels | États-Unis | DPA Postmark signé. EU-US Data Privacy Framework. |
| Supabase, Inc. | Base de données principale (PostgreSQL managé) | Données hébergées en Union européenne (Francfort, Allemagne) | DPA Supabase signé. SOC 2 Type 2. Hébergement UE, pas de transfert hors UE pour la base. |
| Clerk, Inc. | Authentification et gestion des comptes utilisateurs (instance UE) | États-Unis (données d'authentification routées UE) | DPA Clerk signé. SOC 2 Type 2. Clauses contractuelles types UE-US. |
| Vercel, Inc. | Hébergement du site et de l'application web (edge européen) | États-Unis avec points de présence UE | DPA Vercel signé. EU-US Data Privacy Framework. |
| Cloudflare, Inc. | Gestion DNS, distribution de contenu (CDN) et protection contre les attaques par déni de service | États-Unis avec points de présence européens prioritaires | DPA Cloudflare signé. Clauses contractuelles types UE-US. ISO 27001. |
| IONOS SE | Hébergement du serveur applicatif (VPS dédié) | Allemagne (Union européenne) | Contrat hébergement IONOS de droit allemand. Sous-traitant établi dans l'Union européenne. |
| Stripe Payments Europe Ltd. | Gestion des abonnements, facturation, paiements récurrents | Irlande (Union européenne) — siège européen | DPA Stripe signé. Sous-traitant établi dans l'Union européenne. |
| Backblaze, Inc. | Stockage chiffré des sauvegardes de base de données | États-Unis | DPA Backblaze signé. Clauses contractuelles types UE-US. Chiffrement client-side via rclone avec clé conservée par Evelyne. |
Aucune donnée à caractère personnel n'est transmise à un sous-traitant non listé dans la présente Annexe sans modification préalable du présent DPA selon la procédure prévue à l'article V.
ANNEXE 3 — Mesures techniques et organisationnelles de sécurité
| Domaine | Mesures mises en œuvre |
|---|---|
| Confidentialité des communications | TLS 1.2 ou supérieur sur l'ensemble des flux entrants et sortants. Signature DKIM 2048 bits + SPF + DMARC sur le domaine evelyneai.com. Signature HMAC des webhooks entrants. |
| Authentification | Authentification multi-facteurs (MFA) obligatoire sur l'ensemble des comptes administrateurs (Anthropic Console, Supabase, Clerk, Vercel, Postmark, Cloudflare, Stripe, IONOS, Backblaze, n8n). |
| Contrôle d'accès | Principe du moindre privilège appliqué : chaque jeton API est scopé au minimum nécessaire. Aucun mot de passe applicatif n'est conservé en clair dans le code (utilisation des variables d'environnement chiffrées de n8n). |
| Procédure « bris de glace » | Tout accès administratif aux données nominatives par Evelyne fait l'objet d'une création d'enregistrement dans la table Acces_Admin avec motif, horodatages de début et de fin, action réalisée, et notification automatique par courriel à l'Agence cliente concernée. |
| Chiffrement au repos | Base de données PostgreSQL hébergée sur VPS IONOS (chiffrement disque). Sauvegardes externalisées sur Backblaze B2 chiffrées côté client via rclone crypt (clé conservée par Evelyne, jamais transmise à Backblaze). |
| Sauvegardes | Sauvegarde quotidienne automatisée à 3h du matin (heure de Paris). Rétention 30 jours. Restauration testée mensuellement. |
| Disponibilité | Monitoring continu via UptimeRobot sur les endpoints critiques. Alertes Slack en cas d'incident. Objectif SLA : 99 % de disponibilité mensuelle (99,9 % pour les clients du palier Scale). |
| Intégrité | Validation systématique des réponses générées par modèle de langage avant envoi (validateur de schéma JSON, longueur maximale, détection de cas sensibles). Mode shadow activé par défaut pendant les sept premiers jours suivant l'inscription. |
| Résilience | Architecture redondée : code source versionné sur dépôt distant ; sauvegardes hors-site quotidiennes ; possibilité de restauration sous 24 heures. |
| Tests et audits | Tests E2E automatisés quotidiens sur quatre scénarios canoniques (vente normale, hors zone, deuil, surendettement) via le workflow _GoldenSetRunner. Revue trimestrielle des mesures de sécurité. |
| Détection et notification d'incidents | Système d'alerte Slack via le sous-workflow _ErrorHandler avec limitation de débit (5 erreurs maximum par tranche de 5 minutes pour éviter les tempêtes d'alertes). Notification à l'Agence cliente dans un délai maximum de 24 heures en cas de violation de données. |
| Suppression | Procédure documentée d'effacement des données à l'issue du contrat (article XI du présent DPA). |
| Formation | Adam Moustaid, en qualité de gestionnaire unique des accès admin à la date du présent DPA, s'est formé en autonomie aux principes du RGPD via les ressources officielles de la CNIL (notamment le guide RGPD du développeur). |
| Politique de mot de passe | Tous les comptes administrateurs respectent une politique de mot de passe forte : longueur minimale 16 caractères, complexité élevée, stockage exclusif dans un gestionnaire de mots de passe (Bitwarden ou équivalent), rotation annuelle minimum. |
Historique des versions
| Version | Date | Modifications principales |
|---|---|---|
| 1.1 | 30 mai 2026 (soir) | Patch suite revue Grok : Annexe 1 enrichie d'une ligne explicite « Absence de décision automatisée produisant des effets juridiques » au sens de l'article 22 du RGPD et de l'article 50 du Règlement (UE) 2024/1689 |
| 1.0 | 30 mai 2026 | Version initiale 17 articles + 3 annexes — adapté du modèle CNIL clauses sous-traitance Art. 28 RGPD |
Fin du DPA Evelyne ↔ Agence cliente — Version 1.1 — 30 mai 2026