Contrat de sous-traitance des données
Conclu au titre de l'art. 28, § 3, du RGPD. Il fait partie intégrante des Conditions Générales de Vente et s'applique automatiquement à chaque client de WorkAist Cloud.
En vigueur: 2026-07-10
Ce document est publié en plusieurs langues. En cas de divergence, la version anglaise fait foi.
1. Parties et rôles
Le présent Contrat de sous-traitance (le « DPA ») est conclu entre le client identifié dans le compte WorkAist (le « Responsable du traitement ») et ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (le « Sous-traitant »).
S'agissant des Données Client traitées dans WorkAist Cloud, le Responsable du traitement détermine les finalités et les moyens du traitement, et le Sous-traitant traite pour le compte du Responsable du traitement. Lorsque le Responsable du traitement est lui-même sous-traitant pour un tiers, il garantit qu'il dispose du pouvoir de conclure le présent DPA et que les instructions qu'il donne reflètent celles de ce tiers.
Le présent DPA ne s'applique pas à WorkAist Self-Hosted, où les Données Client n'atteignent pas les systèmes du Sous-traitant, ni aux données pour lesquelles le Sous-traitant est lui-même responsable du traitement, qui sont régies par la Politique de confidentialité.
2. Ordre de priorité
En cas de conflit entre le présent DPA et les Conditions Générales de Vente, le présent DPA prévaut sur les questions de protection des données. En cas de conflit avec un bon de commande négocié individuellement ou un contrat de sous-traitance signé, ce document prévaut.
3. Objet, durée, nature et finalité
L'objet est la fourniture de WorkAist Cloud. La nature et la finalité du traitement consistent en l'hébergement, le stockage, la transmission et le traitement automatisé des Données Client afin de permettre l'exécution des agents, Connectors et processus configurés par le Responsable du traitement, ainsi que les activités de support, de sécurité, de mesure et de facturation nécessaires à la fourniture du Service.
Le traitement dure aussi longtemps que le contrat du Responsable du traitement pour WorkAist Cloud est en vigueur, augmenté des délais de suppression prévus à la clause 11.
4. Catégories de personnes concernées et de données à caractère personnel
Le Responsable du traitement décide de ce qu'il téléverse. Le traitement concerne généralement :
| Catégories de personnes concernées | Catégories de données à caractère personnel |
|---|---|
| Les employés et utilisateurs autorisés du Responsable du traitement | Nom, e-mail professionnel, fonction, données d'authentification, entrées de journal d'audit |
| Les clients, prospects et contacts du Responsable du traitement | Nom, e-mail, numéro de téléphone, entreprise, correspondance, enregistrements CRM, tout identifiant que le Responsable du traitement choisit de synchroniser |
| Les fournisseurs et partenaires du Responsable du traitement | Coordonnées, données contractuelles et de facturation |
| Toute personne concernée apparaissant dans des documents ou messages traités par le Responsable du traitement | Toute donnée à caractère personnel contenue dans des fichiers, e-mails, transcriptions, images ou messages que le Responsable du traitement soumet au Service |
Les catégories particulières de données à caractère personnel au sens de l'art. 9 du RGPD et les données à caractère personnel relatives aux condamnations pénales et infractions au sens de l'art. 10 du RGPD ne doivent pas être traitées dans le Service, sauf si les parties ont convenu par écrit et au préalable de garanties supplémentaires.
Origine des données
Les Données Client parviennent au Service parce que le Responsable du traitement connecte des systèmes externes, téléverse des fichiers, ou charge ses agents de les récupérer. Le Responsable du traitement choisit seul ces sources et détermine ce qui est importé.
Le Responsable du traitement garantit qu'il dispose d'une base légale au titre de l'art. 6 du RGPD — et, le cas échéant, de l'art. 9 — pour collecter ces données à caractère personnel et les transférer au Sous-traitant, et que toute information ou tout consentement requis dans le système source est en place. Le Sous-traitant n'a pas accès aux systèmes sources du Responsable du traitement, ne les sélectionne pas, et ne vérifie ni n'est en mesure de vérifier leur conformité au droit de la protection des données. Il incombe au Responsable du traitement, en sa qualité de responsable du traitement, de s'en assurer.
5. Traitement sur instructions documentées
Le Sous-traitant ne traite les Données Client que sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts vers des pays tiers, sauf si le droit de l'Union ou d'un État membre auquel le Sous-traitant est soumis l'oblige à faire autrement. Dans ce cas, le Sous-traitant informe le Responsable du traitement de cette obligation légale avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Les Conditions Générales de Vente, le présent DPA, ainsi que la configuration et l'utilisation du Service par le Responsable du traitement, constituent l'intégralité des instructions documentées du Responsable du traitement. Toute instruction supplémentaire doit être formulée par écrit et, si elle nécessite un effort allant au-delà des fonctionnalités standard du Service, peut faire l'objet de frais raisonnables convenus au préalable.
Le Sous-traitant informe le Responsable du traitement sans délai injustifié s'il estime qu'une instruction enfreint le RGPD ou toute autre disposition du droit de l'Union ou d'un État membre relative à la protection des données.
6. Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données Client se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et à ce que l'accès soit limité à celles qui en ont besoin pour exécuter le contrat.
7. Sécurité du traitement
Compte tenu de l'état des connaissances, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, de même que des risques pour les droits et libertés des personnes physiques, le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'art. 32 du RGPD.
Annexe II — Mesures techniques et organisationnelles
| Mesure | Mise en œuvre |
|---|---|
| Chiffrement en transit | Tout le trafic vers et depuis le Service transite via TLS avec des certificats renouvelés automatiquement. Le trafic interne entre services ne quitte pas le réseau hôte. |
| Chiffrement des secrets | Les identifiants clients et les secrets des Connectors sont chiffrés au repos avec AES-256-GCM sous une clé conservée en dehors de la base de données applicative. |
| Pseudonymisation | Les enregistrements de télémétrie et de mesure référencent les clients et les agents par identifiant plutôt que par nom ou e-mail, chaque fois que l'identifiant suffit. |
| Confidentialité — contrôle d'accès | Contrôle d'accès basé sur les rôles par espace de travail. Chaque agent est cantonné à son propre préfixe de stockage et à son propre schéma de base de données ; l'accès inter-clients est refusé au niveau de la couche de données, et pas seulement dans l'interface utilisateur. |
| Confidentialité — personnel | Accès administratif selon le principe du moindre privilège, accordé individuellement et réexaminé lors d'un changement de fonction. Toutes les actions administratives sont consignées dans un journal d'audit en ajout seul. |
| Intégrité | Validation des entrées et requêtes paramétrées dans l'ensemble du système. Chaque modification effectuée via l'API des opérations enregistre une ligne de journal d'audit identifiant l'auteur. |
| Disponibilité et résilience | Hébergement géré dans un centre de données de classe Tier III en Allemagne. Sauvegardes quotidiennes automatisées de la base de données, conservées chiffrées et séparées de la production. |
| Restauration | Procédure de restauration documentée à partir de la sauvegarde la plus récente ; la restauration est exercée dans le cadre des changements d'infrastructure. |
| Tests et évaluation | Analyse des vulnérabilités des dépendances en intégration continue, revue de code avant fusion, et réexamen périodique de ces mesures au moins une fois par an et en cas de modification substantielle du Service. |
| Minimisation des données dès la conception | Les Connectors ne synchronisent que les champs activés par le Responsable du traitement. Ce dernier peut supprimer toute table synchronisée à tout moment. |
Le Sous-traitant peut mettre à jour ces mesures à mesure que la technologie évolue, à condition que le niveau de protection ne soit pas réduit. La version actuelle est toujours celle publiée sur cette page.
8. Sous-traitants ultérieurs
Le Responsable du traitement donne au Sous-traitant une autorisation écrite générale d'engager des sous-traitants ultérieurs. Le Sous-traitant impose contractuellement à chaque sous-traitant ultérieur des obligations de protection des données au moins aussi protectrices que celles du présent DPA, et demeure pleinement responsable envers le Responsable du traitement de l'exécution par le sous-traitant ultérieur.
Annexe III — Sous-traitants ultérieurs autorisés
Les sous-traitants ultérieurs suivants sont engagés pour chaque client de WorkAist Cloud, car ils font partie de l'infrastructure sur laquelle repose le Service.
| Sous-traitant ultérieur | Finalité | Lieu | Garantie de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement des serveurs d'application, de la base de données et des sauvegardes | Allemagne (UE) | Non applicable |
| Cloudflare, Inc. | DNS, proxy inverse, terminaison TLS, protection DDoS | Réseau périphérique mondial, y compris l'UE | CCT ; EU-US Data Privacy Framework |
| Stripe Payments Europe, Ltd. | Traitement des paiements et des abonnements | Irlande (UE) | CCT pour les transferts ultérieurs au sein du groupe ; EU-US Data Privacy Framework |
| Resend, Inc. | Livraison d'e-mails transactionnels | États-Unis | CCT |
Fournisseurs de modèles
Les fournisseurs de grands modèles de langage sont traités différemment, car c'est le Responsable du traitement qui les choisit.
- Si le Responsable du traitement fournit ses propres identifiants de fournisseur, ce fournisseur est engagé par le Responsable du traitement, selon ses propres instructions et dans le cadre de son propre accord avec lui. Il ne s'agit pas d'un sous-traitant ultérieur du Sous-traitant. Le Sous-traitant se contente de transmettre la requête à l'aide des identifiants fournis et ne donne aucune garantie quant à la sécurité de ce fournisseur, au lieu du traitement, à ses pratiques d'entraînement ou à sa conformité.
- Si le Responsable du traitement utilise la facturation de tokens gérée par le Sous-traitant, ce dernier sélectionne le fournisseur, qui devient alors un sous-traitant ultérieur du Sous-traitant. Le fournisseur actuellement engagé à ce titre est Anthropic PBC (États-Unis), pour l'inférence de grands modèles de langage, dans le cadre de clauses contractuelles types et avec une interdiction contractuelle de s'entraîner sur les données qui lui sont envoyées.
Le Responsable du traitement peut voir quel fournisseur de modèle chacun de ses agents utilise, et peut le modifier, à tout moment au sein du Service.
Modifications des sous-traitants ultérieurs
Le Sous-traitant informe le Responsable du traitement par e-mail au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur. Le Responsable du traitement peut s'y opposer pour des motifs raisonnables liés à la protection des données dans ce délai de 30 jours. Si les parties ne parviennent pas à résoudre l'objection, le Responsable du traitement peut résilier la partie concernée du Service sans pénalité et obtenir un remboursement au prorata des frais prépayés.
9. Assistance relative aux droits des personnes concernées
Compte tenu de la nature du traitement, le Sous-traitant aide le Responsable du traitement, au moyen de mesures techniques et organisationnelles appropriées et dans la mesure du possible, à remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées prévus au chapitre III du RGPD.
Le Service donne au Responsable du traitement un accès direct aux Données Client afin qu'il puisse lui-même localiser, exporter, corriger et supprimer les données à caractère personnel. Lorsqu'une demande nécessite néanmoins l'intervention du Sous-traitant, celui-ci répond sans délai injustifié et, en tout état de cause, dans un délai de 10 jours ouvrés. Si une personne concernée contacte directement le Sous-traitant au sujet de Données Client, celui-ci n'y répond pas sur le fond ; il transmet la demande au Responsable du traitement sans délai injustifié.
10. Assistance relative aux articles 32 à 36
Le Sous-traitant aide le Responsable du traitement à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant — notamment en matière de sécurité du traitement, de notification des violations de données à caractère personnel, de communication aux personnes concernées, d'analyses d'impact relatives à la protection des données et de consultation préalable.
Violation de données à caractère personnel
Le Sous-traitant notifie le Responsable du traitement sans délai injustifié, et en tout état de cause dans les 48 heures, après avoir eu connaissance d'une violation de données à caractère personnel affectant des Données Client. La notification décrit la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés, les conséquences probables, les mesures prises ou proposées, ainsi qu'un point de contact. Lorsque l'ensemble des informations n'est pas disponible immédiatement, elles sont fournies par phases sans délai injustifié supplémentaire. Le Sous-traitant ne notifie pas une autorité de contrôle ou les personnes concernées pour le compte du Responsable du traitement, sauf instruction en ce sens.
11. Suppression et restitution des Données Client
Au choix du Responsable du traitement, le Sous-traitant supprime ou restitue l'ensemble des Données Client au terme de la fourniture des services liés au traitement, et supprime les copies existantes, sauf si le droit de l'Union ou d'un État membre impose la conservation des données à caractère personnel.
- Pendant 30 jours après la fin du contrat, le Responsable du traitement peut exporter les Données Client depuis le Service, ou demander leur restitution dans un format structuré, couramment utilisé et lisible par machine.
- Le Sous-traitant supprime les Données Client des systèmes actifs dans un délai de 30 jours après la fermeture de cette fenêtre d'export.
- Les sauvegardes chiffrées contenant des Données Client sont écrasées selon leur cycle de rotation normal et, en tout état de cause, dans un délai de 90 jours après leur suppression des systèmes actifs.
- Sur demande écrite, le Sous-traitant confirme la suppression par écrit.
12. Audits et information
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'art. 28 du RGPD, et permet la réalisation d'audits, y compris des inspections, menés par le Responsable du traitement ou par un autre auditeur mandaté par celui-ci, et y contribue.
En pratique, le Sous-traitant fournit d'abord sa documentation actuelle des mesures techniques et organisationnelles, sa liste de sous-traitants ultérieurs, et des réponses écrites à un questionnaire de sécurité. Si cela ne suffit pas à démontrer la conformité, le Responsable du traitement peut mener un audit sur site ou à distance, moyennant un préavis écrit de 30 jours, au maximum une fois par année civile, sauf en cas de violation de données à caractère personnel ou d'exigence d'une autorité de contrôle. Les audits ont lieu pendant les heures ouvrées, ne doivent pas perturber de manière déraisonnable les activités du Sous-traitant, et sont soumis à une obligation de confidentialité. Le Responsable du traitement supporte ses propres frais d'audit ; le Sous-traitant supporte les siens, sauf si l'audit révèle une violation substantielle du présent DPA.
13. Transferts internationaux
Le Sous-traitant stocke les Données Client au repos en Allemagne. Les transferts vers des sous-traitants ultérieurs situés en dehors de l'Espace économique européen, tels que listés à l'Annexe III, s'effectuent dans le cadre des clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914), module trois, lorsque le Sous-traitant agit en tant que sous-traitant engageant un sous-traitant ultérieur, complétées le cas échéant par des garanties supplémentaires, et — lorsque le destinataire est certifié — dans le cadre de la décision d'adéquation relative à l'EU-US Data Privacy Framework.
En concluant le présent DPA, le Responsable du traitement mandate le Sous-traitant pour conclure ces clauses contractuelles types avec chaque sous-traitant ultérieur en son nom et pour son compte.
14. Responsabilité
La responsabilité au titre du présent DPA est régie par la limitation de responsabilité prévue dans les Conditions Générales de Vente, étant précisé que rien ne limite la responsabilité de l'une ou l'autre partie envers une personne concernée au titre de l'art. 82 du RGPD ou envers une autorité de contrôle.
15. Durée, droit applicable et contact
Le présent DPA prend effet au début du contrat du Responsable du traitement pour WorkAist Cloud et demeure en vigueur aussi longtemps que le Sous-traitant traite des Données Client. Il est régi par le droit portugais, et les tribunaux de Lisbonne ont compétence exclusive, sans préjudice de l'art. 79 du RGPD.
Contact pour toute question relative au présent DPA : [email protected].