Accord de sous-traitance (DPA)
Article 28 du Règlement (UE) 2016/679 (RGPD)
Le présent accord (le « DPA ») encadre les conditions dans lesquelles Net It Be (SARL, 120 avenue Georges Clemenceau, 40100 Dax, France — SIREN 100 717 032), en qualité de sous-traitant, traite des données à caractère personnel (les « Données ») pour le compte et sur instructions du Client, en qualité de responsable de traitement, dans le cadre de la fourniture du service « Collaboria » (le « Service »). Il fait partie intégrante du contrat conclu entre les parties.
1. Objet et rôles des parties
Le Responsable détermine les finalités et les moyens du traitement des Données qu'il introduit dans le Service ; il garantit disposer d'une base légale et avoir satisfait à ses obligations d'information envers les personnes concernées. Le Sous-traitant traite les Données uniquement pour fournir le Service et exécuter les instructions documentées du Responsable. Pour certains traitements qui lui sont propres (facturation, sécurité, statistiques agrégées), le Sous-traitant agit en qualité de responsable de traitement indépendant ; ces traitements relèvent de sa politique de confidentialité.
2. Obligations du Sous-traitant
- Instructions documentées : ne traiter les Données que sur instructions du Responsable (y compris les transferts), sauf obligation légale.
- Confidentialité : veiller à ce que les personnes autorisées à traiter les Données soient soumises à une obligation de confidentialité.
- Sécurité (art. 32) : mettre en œuvre les mesures techniques et organisationnelles appropriées décrites en Annexe 2.
- Sous-traitants ultérieurs : le Responsable autorise le recours aux sous-traitants ultérieurs listés en Annexe 3 ; le Sous-traitant informe de tout changement avec un préavis raisonnable permettant au Responsable de s'opposer pour un motif légitime, et impose à chaque sous-traitant des obligations équivalentes.
- Droits des personnes : aider le Responsable à donner suite aux demandes d'exercice des droits (accès, rectification, effacement, limitation, portabilité, opposition).
- Assistance : aider le Responsable au titre de la sécurité, des notifications de violation, des analyses d'impact et consultations préalables (art. 32 à 36).
- Notification de violation : notifier toute violation de Données dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance.
- Sort des Données : au choix du Responsable, supprimer ou restituer les Données en fin de prestation (export disponible pendant 30 jours, puis suppression/anonymisation), sauf obligation légale de conservation.
- Registre et audit : tenir un registre des activités de traitement (art. 30.2) et permettre un audit annuel dans des conditions raisonnables.
3. Obligations du Responsable
Le Responsable s'engage à : (a) ne fournir que des Données licitement collectées ; (b) disposer d'une base légale et avoir informé les personnes concernées ; (c) documenter ses instructions ; (d) ne pas introduire dans le Service de catégories particulières de données (art. 9) ou de données hautement sensibles sans avoir évalué les risques et mis en place les garanties nécessaires.
4. Transferts hors Union européenne
L'hébergement principal des Données du Service est assuré dans l'Union européenne (Supabase — région Francfort, Allemagne). Certains sous-traitants ultérieurs (notamment des fournisseurs de modèles d'IA) peuvent être établis hors de l'UE/EEE. Pour ces transferts, le Sous-traitant met en œuvre les garanties appropriées du chapitre V du RGPD, notamment les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et, le cas échéant, des mesures supplémentaires. La localisation de chaque sous-traitant et le mécanisme de transfert applicable figurent en Annexe 3.
5. Durée et responsabilité
Le présent DPA produit ses effets pendant toute la durée du contrat et tant que le Sous-traitant traite des Données pour le compte du Responsable. Chaque partie répond des dommages causés par un traitement non conforme au RGPD dans les conditions de l'article 82, dans les limites de responsabilité prévues aux conditions générales de vente.
Annexe 1 — Description du traitement
- Finalité : fourniture du service Collaboria (assistant IA, projets, réunions, génération de médias, administration) pour le compte du Responsable.
- Nature des opérations : collecte, enregistrement, organisation, conservation, consultation, utilisation, transmission à des modèles d'IA tiers, effacement.
- Durée : durée du contrat + 30 jours (réversibilité), sous réserve des obligations légales de conservation.
- Personnes concernées : Utilisateurs du Client ; personnes figurant dans les contenus soumis par le Responsable.
- Catégories de Données : données d'identification et de compte (nom, email, rôle, organisation) ; contenus soumis (textes, documents, fichiers, audio/vidéo et transcriptions, images) ; données d'usage et journaux techniques ; données de facturation (gérées via Stripe).
- Données sensibles : non requises ni sollicitées par le Service.
Annexe 2 — Mesures de sécurité (art. 32)
- Chiffrement en transit (HTTPS/TLS) ; redirection HTTP→HTTPS forcée.
- Chiffrement au repos des bases de données et du stockage (hébergeur UE).
- Cloisonnement multi-locataires par politiques de sécurité au niveau des lignes (Row-Level Security) ; principe du moindre privilège ; rôles différenciés.
- Authentification gérée par Supabase Auth ; mots de passe hachés (jamais en clair) ; connexion via fournisseurs tiers (Google, Microsoft).
- Secrets et clés d'API stockés côté serveur, jamais exposés au client.
- Journalisation des actions sensibles ; sauvegardes régulières ; gestion des correctifs de sécurité.
- Contrôles d'autorisation côté serveur, vérification de propriété des ressources (anti-IDOR), vérification de signature des webhooks de paiement.
Annexe 3 — Sous-traitants ultérieurs
Liste des principaux sous-traitants ultérieurs, leur finalité et leur localisation :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Supabase | Base de données, authentification, stockage, fonctions serveur (hébergement principal) | UE — Francfort (DE) |
| OVHcloud | Serveur dédié (hébergement du site collaboria.fr, traitements vidéo/médias) | UE — France |
| Stripe | Traitement des paiements | UE / États-Unis (CCT) |
| Mailjet (Sinch) | Emails transactionnels | UE — France |
| OpenAI | Modèles de langage, synthèse vocale, transcription, images | États-Unis (CCT) |
| Anthropic | Modèles de langage (Claude) | États-Unis (CCT) |
| Modèles de langage (Gemini) | États-Unis / UE (CCT) | |
| Mistral AI | Modèles de langage | UE — France |
| OpenRouter | Routage vers modèles de langage tiers | États-Unis (CCT) |
| Nebius AI Studio | Inférence de modèles open-weights | UE/EEE |
| Moonshot AI (Kimi) | Modèles de langage | Hors UE — Chine (CCT et mesures supplémentaires) |
| BytePlus / ByteDance | Génération d'images et de vidéos | Hors UE — Singapour (CCT) |
| AssemblyAI | Transcription audio | États-Unis (CCT) |
| Autres fournisseurs de modèles (Perplexity, xAI, Hugging Face, Gamma) | Fonctionnalités optionnelles | États-Unis / UE (CCT) |
Cette liste peut évoluer ; toute modification fait l'objet d'une information préalable. Pour exercer vos droits ou pour toute question relative à la protection des données, contactez contact@collaboria.fr.
Dernière mise à jour : 6 juin 2026.