Légal · Article 28 RGPD

Data Processing Agreement

Accord de traitement des données conclu entre Toile de Fond (le « Sous-traitant ») et tout Client utilisant Eliott (le « Responsable du traitement »), pour les données personnelles traitées dans le cadre du Service.

Version en vigueur au 1er décembre 2026

1. Objet et champ d'application

Le présent DPA s'applique automatiquement à tout Client souscrivant à Eliott qui traite, via le Service, des données personnelles pour lesquelles il est responsable au sens du RGPD (par exemple : prompts contenant des informations sur ses propres clients ou collaborateurs).

Il complète les CGU / CGV et la Politique de confidentialité. En cas de contradiction, le présent DPA prévaut pour les seules questions relatives au traitement de données personnelles pour le compte du Client.

2. Description du traitement

  • Nature: génération de contenu par IA (texte, image, code, recherche augmentée), stockage de l'historique des échanges, gestion des comptes utilisateurs.
  • Finalités : fournir le Service au Client conformément aux CGV.
  • Catégories de personnes : utilisateurs du Client, personnes mentionnées dans les prompts soumis par le Client.
  • Catégories de données : identifiants (email), contenu des prompts et fichiers, métadonnées techniques (logs, horodatage).
  • Durée: durée de l'abonnement, plus délai de conservation légal (cf. § 3 ci-dessous).

3. Obligations du Sous-traitant

Toile de Fond s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client (les CGV et les paramètres du Service constituent ces instructions).
  • Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
  • Mettre en œuvre les mesures techniques et organisationnelles décrites au § 5 ci-dessous.
  • Aider le Client à répondre aux demandes d'exercice de droits (accès, rectification, effacement, portabilité) dans la mesure du possible.
  • Notifier toute violation de données dans les 72 heures suivant sa découverte.
  • Supprimer ou restituer les données à la fin du contrat, conformément aux modalités du § 6.

4. Sous-traitants ultérieurs

Le Client autorise Toile de Fond à recourir aux sous-traitants ultérieurs listés dans notre Politique de confidentialité (§ 4). Tout ajout ou remplacement est notifié au Client par email au moins 30 jours à l'avance. Le Client peut s'opposer pour motif légitime ; à défaut d'accord, il pourra résilier sans pénalité.

Chaque sous-traitant ultérieur est lié par un contrat imposant des garanties équivalentes à celles du présent DPA.

5. Mesures techniques et organisationnelles

  • Chiffrement TLS 1.3 pour les communications réseau
  • Chiffrement au repos sur la base de données et le stockage de fichiers
  • Authentification sans mot de passe (magic link, lien à usage unique 15 min)
  • Cloisonnement entre comptes (séparation logique en base)
  • Sauvegardes quotidiennes chiffrées, hébergées en France
  • Journalisation des accès administratifs
  • Revue d'accès trimestrielle pour le personnel autorisé
  • Tests de pénétration annuels (à compter de 2027)

6. Fin du contrat et restitution

À la résiliation, le Client peut exporter ses données au format JSON depuis son tableau de bord pendant 30 jours. Au-delà, les données du compte sont irréversiblement supprimées, à l'exception des factures conservées 10 ans en application de l'article L123-22 du Code de commerce.

7. Transferts hors Union européenne

Certains sous-traitants ultérieurs sont situés hors UE (notamment Anthropic, OpenAI, Perplexity aux États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Typesadoptées par la Commission européenne (décision d'exécution 2021/914), assorties le cas échéant de mesures techniques supplémentaires (chiffrement, pseudonymisation).

8. Audit

Toile de Fond met à disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA. À la demande du Client, et sous réserve d'un préavis de 30 jours, Toile de Fond accepte un audit annuel (sur pièces ou sur site) conduit par le Client ou un tiers indépendant soumis à confidentialité, dans des conditions et des coûts raisonnables.

9. Responsabilité

La responsabilité du Sous-traitant au titre du présent DPA est régie par les limitations prévues à l'article 9 des CGU / CGV, sous réserve des dispositions impératives du RGPD.

10. Acceptation

L'acceptation des CGU / CGV emporte acceptation du présent DPA. Les Clients qui souhaitent disposer d'une version signée peuvent en faire la demande à support@askeliott.fr (une version PDF signable leur sera adressée).

Pour toute question, écrivez à support@askeliott.fr.