Accord de traitement des données (DPA)

Data Processing Agreement - Conformité RGPD Article 28

Dernière mise à jour : 1er juin 2026

ANNEXE 1

Ce document constitue une annexe obligatoire au contrat principal et est conçu pour être en parfaite conformité avec l'article 28 du RGPD. Il formalise les obligations de HECTOR.LEGAL en tant que sous- traitant de données pour le compte du Client avocat, qui demeure responsable de traitement.

ENTRE : Le Client (Responsable de Traitement)

ET : HECTOR.LEGAL (Sous-traitant)

Il est convenu ce qui suit :

1 - Objet, Durée, Nature et Finalité du Traitement :

Le Sous-traitant est autorisé à traiter les données à caractère personnel pour le compte du Responsable de Traitement aux seules fins de fournir le Service SaaS d'intelligence artificielle juridique.

La durée du traitement est limitée à la durée du contrat principal.

Les traitements consistent en :

  • L'hébergement sécurisé des Données du Client ;
  • Le traitement par des algorithmes d'intelligence artificielle générative ;
  • La sauvegarde et la restauration des Données du Client ;
  • La fourniture des fonctionnalités du Service (génération de documents, analyse juridique,
etc.).

Les traitements réalisés par le Sous-traitant pour le compte du Responsable de Traitement portent sur deux ensembles de données :

(a) Les données relatives aux Utilisateurs du Service (avocats « Client », collaborateurs et personnels autorisés du Client) : données d'identification (nom, prénom, qualité professionnelle), coordonnées professionnelles (adresse électronique, numéro de téléphone, cabinet de rattachement) et données techniques de connexion et d'utilisation (identifiants de compte, journaux de connexion, adresse IP).

(b) Les données contenues dans les Données du Client que l'Utilisateur choisit de téléverser, saisir ou traiter via le Service (actes, écritures, pièces, courriers et tout document du dossier).

Le contenu, la nature et l'étendue de ces données sont déterminés librement et exclusivement par le Client et ses Utilisateurs, sans intervention ni maîtrise du Sous-traitant. Ces données sont susceptibles de comprendre des données d'identification et des coordonnées. Les personnes concernées par ces données sont notamment les clients finaux du Client, les parties adverses, les tiers, témoins et toute personne physique mentionnée dans les documents traités.

Le Client, en sa qualité de Responsable de Traitement, garantit qu'il dispose d'une base légale appropriée et qu'il satisfait à ses obligations d'information et, le cas échéant, de recueil du consentement à l'égard des personnes concernées, pour l'ensemble des Données du Client qu'il traite via le Service.

2 - Instructions Documentées du Client :

Le Sous-traitant ne traite les données que sur instruction documentée du Responsable de Traitement.

Les instructions initiales sont celles définies dans le présent DPA et le contrat principal. Toute instruction complémentaire devra être formulée par écrit.

Il est formellement et contractuellement interdit au Sous-traitant d'utiliser les Données du Client pour quelque raison que ce soit en dehors du strict cadre de la fourniture du Service, y compris et notamment pour :

  • L'entraînement de ses propres modèles d'IA ou de ceux de tiers ;
  • L'amélioration de ses algorithmes ou services ;
  • Toute finalité commerciale, marketing ou de recherche. Toute utilisation sortant du strict cadre de la fourniture du Service est prohibée.

    • 3 - Obligation de Confidentialité :

    Le Sous-traitant garantit que toutes les personnes autorisées à traiter les données (ses salariés, prestataires, sous-traitants) se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

    Le Sous-traitant s'engage à faire signer à l'ensemble de son personnel des clauses spécifiques de confidentialité relatives au traitement des données à caractère personnel.

    4 - Mesures de Sécurité :

    Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, incluant notamment :

    Mesures techniques

  • Chiffrement des données en transit (protocole TLS 1.3 minimum) et au repos (norme AES-256 minimum) ;
  • Pseudonymisation des données lorsque cela est techniquement possible ;
  • Contrôle d'accès strict avec authentification multi-facteurs pour les accès administratifs ;
  • Journalisation des accès et des opérations sur les données ;
  • Sauvegardes quotidiennes chiffrées avec test régulier de restauration.

    • Mesures organisationnelles

  • Politique de gestion des habilitations et des droits d'accès (principe du moindre privilège) ;
  • Procédures de gestion des incidents de sécurité et des violations de données ;
  • Tests de sécurité réguliers (audits de code, tests d'intrusion) ;
  • Formation du personnel aux bonnes pratiques de sécurité et de protection des données ;
  • Plan de continuité d'activité et de reprise après sinistre.

    • 5 - Recours à des Sous-traitants Ultérieurs :

    Le Sous-traitant peut faire appel à des sous-traitants ultérieurs pour certaines opérations de traitement, notamment pour l'hébergement des données, la fourniture de modèles d'intelligence artificielle générative, et l'infrastructure technique du Service.

    Le Client autorise expressément le Sous-traitant à recourir à des sous-traitants ultérieurs pour l'exécution de ses obligations.

    Le Sous-traitant s'engage à :

  • N'engager que des sous-traitants ultérieurs présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées conformes au RGPD;
  • Conclure avec chaque sous-traitant ultérieur un contrat écrit imposant les mêmes obligations de protection des données que celles prévues dans le présent DPA ;• Informer préalablement le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, par courrier électronique adressé au moins trente (30) jours avant le changement ;

    • En cas d'objection justifiée du Client, les Parties rechercheront ensemble une solution alternative. Si aucune solution n'est trouvée, le Client pourra résilier le contrat sans pénalité dans un délai de trente (30) jours.

    Le Sous-traitant demeure pleinement responsable envers le Client de l'exécution par le sous-traitant ultérieur de ses obligations en matière de protection des données.

    6 - Transferts de Données Hors UE :

    Le Sous-traitant garantit que l'intégralité des traitements et du stockage des Données du Client est effectuée exclusivement au sein de l'Union Européenne. Les datacenters principaux utilisés sont situés en France et/ou dans d'autres États membres de l'Union Européenne.

    Aucun transfert de données à caractère personnel en dehors de l'Espace Économique Européen (EEE) n'est autorisé sans l'accord préalable écrit du Client.

    Dans l'hypothèse où un transfert serait nécessaire et autorisé par le Client, le Sous-traitant s'engage à mettre en place les garanties appropriées prévues par les articles 44 et suivants du RGPD (clauses contractuelles types de la Commission européenne, règles d'entreprise contraignantes, ou tout autre mécanisme validé).

    7 - Politique de Rétention de Données :

    7.1 Rétention par les Modèles d'IA

    Le Fournisseur s'engage à implémenter une politique de zéro rétention pour toutes les données transitant par les modèles d'intelligence artificielle générative fournis par ses sous-traitants.

    Concrètement, cela signifie que :

  • Les requêtes et les données envoyées aux modèles d'IA ne sont pas conservées par ces sous- traitants au-delà du temps strictement nécessaire au traitement de la requête ;
  • Ces données ne sont pas utilisées pour l'entraînement ou l'amélioration des modèles d'IA ;
  • Le Fournisseur s'assure contractuellement que ses sous-traitants respectent cette politique de zéro rétention.

    • 7.2 Rétention sur l'Infrastructure du Service

    Les Données du Client stockées sur l'infrastructure du Service (documents, prompts personnalisés, historiques de génération) sont conservées uniquement pendant la durée du contrat pour permettre aux Utilisateurs d'accéder, éditer et gérer leurs données.

    Ces données sont supprimées conformément à l'article 11 «Sort des Données en Fin de Contrat» du présent DPA.

    8 - Aide au Responsable de Traitement :

    Le Sous-traitant s'engage à aider le Responsable de Traitement, dans la mesure du possible et compte tenu de la nature du traitement, à s'acquitter de ses propres obligations RGPD, notamment :

    a) Exercice des droits des personnes concernées :

    Le Sous-traitant assistera le Client pour donner suite aux demandes d'exercice des droits des personnes concernées (droit d'accès, de rectification, d'effacement, d'opposition, de limitation du traitement, de portabilité des données).

    Si une personne concernée adresse directement une demande au Sous-traitant, celui-ci redirigera immédiatement cette demande vers le Client et s'abstiendra de répondre directement, sauf instruction contraire écrite du Client.

    Le Sous-traitant fournira au Client, dans un délai raisonnable n'excédant pas quinze (15) jours, toutes les informations nécessaires pour répondre à la demande.

    b) Analyses d'Impact relatives à la Protection des Données (AIPD) :

    Le Sous-traitant mettra à disposition du Client, sur demande, toutes les informations nécessaires pour effectuer une analyse d'impact relative à la protection des données (AIPD) lorsque le type de traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

    c) Consultations préalables :

    Le Sous-traitant assistera le Client pour les consultations préalables avec l'autorité de contrôle (CNIL) si l'AIPD indique que le traitement présenterait un risque élevé en l'absence de mesures pour atténuer le risque.

    9 - Notification des Violations de Données :

    En cas de violation de données à caractère personnel (accès non autorisé, perte, destruction, altération ou divulgation de données), le Sous-traitant s'engage à :

  • Notifier le Responsable de Traitement dans les meilleurs délais et au plus tard dans les quarante-huit (48) heures suivant la découverte de la violation ;
  • Fournir au Client toutes les informations pertinentes disponibles, notamment la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d'enregistrements de données concernés, les conséquences probables de la violation, ainsi que les mesures prises ou proposées pour remédier à la violation et atténuer ses effets négatifs.

    • Le Sous-traitant coopérera pleinement avec le Client pour permettre à ce dernier de satisfaire à ses obligations de notification à la CNIL et aux personnes concernées conformément aux articles 33 et 34 du RGPD.

    Le Sous-traitant documentera toute violation de données, y compris les faits, les effets et les mesures prises, et conservera cette documentation à disposition du Client et de l'autorité de contrôle.

    10 - Audits et Inspections :

    Le Responsable de Traitement (ou un mandataire dûment habilité) a le droit de réaliser des audits, y compris des inspections, pour vérifier la conformité du Sous-traitant avec le présent DPA et le RGPD.

    Ces audits seront réalisés dans les conditions suivantes :• Moyennant un préavis raisonnable de quinze (15) jours ouvrés, sauf en cas de violation de données nécessitant une intervention immédiate ;

  • Durant les heures ouvrées du Sous-traitant ;
  • Sans affecter indûment l'activité du Sous-traitant ni la confidentialité des données d'autres clients ;
  • Par un auditeur soumis à des obligations de confidentialité strictes ;
  • À une fréquence raisonnable (en principe, maximum un audit par an, sauf incident justifiant un audit supplémentaire).

    • Le Sous-traitant s'engage à mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent DPA et à permettre la réalisation d'audits.

    Les frais d'audit sont à la charge du Client, sauf si l'audit révèle un manquement grave du Sous-traitant à ses obligations, auquel cas les frais seront partagés ou à la charge du Sous-traitant selon la gravité du manquement.

    11 - Sort des Données en Fin de Contrat :

    Au terme du contrat, quelle qu'en soit la cause (résiliation, non-renouvellement, résolution), le Sous- traitant s'engage à, au choix du Responsable de Traitement :

  • Option A - Restitution : Renvoyer au Responsable de Traitement l'intégralité des données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, DOCX, PDF selon la nature des données), permettant leur réutilisation ;
  • Option B - Suppression : Supprimer de manière sécurisée et irrécupérable toutes les données à caractère personnel, y compris toutes les copies existantes, sauf obligation légale de conservation.

    • Cette opération sera effectuée dans un délai de trente (30) jours suivant la cessation du contrat.

    Sur demande du Client, le Sous-traitant fournira un certificat de destruction ou de restitution attestant de l'accomplissement de cette obligation.

    Après restitution ou suppression, le Sous-traitant ne conservera aucune copie des données, sauf obligation légale contraire (par exemple, conservation pour les besoins de la comptabilité), auquel cas le Sous-traitant informera le Client des données conservées, de la base légale et de la durée de conservation.