← Retour à l'accueil

Accord de sous-traitance des données (DPA)

Conforme à l'article 28 du Règlement (UE) 2016/679 — RGPD

Dernière mise à jour : 17 mai 2026 — Version 1.1

Le présent accord (le « DPA ») fait partie intégrante des Conditions Générales de Vente souscrites par le Client. Il s'applique dès lors que l'Éditeur traite des données à caractère personnel pour le compte du Client, agissant alors en qualité de sous-traitant au sens de l'article 4-8 du RGPD.

1. Parties

  • Responsable du traitement : le Client, tel que défini dans les CGV.
  • Sous-traitant : Arnaud GAGET, micro-entrepreneur exerçant sous le nom commercial « Cosmos IA — Cadence IA », SIRET 849 838 289 00023, siège 7 rue Duphot, 69003 Lyon, France (l'« Éditeur »). Contact RGPD : new-spark@hotmail.fr. Coordonnées complètes dans les mentions légales.

2. Description du traitement

ObjetFourniture d'un service SaaS de rédaction assistée par IA et de publication multi-canal sur les réseaux sociaux.
NatureCollecte, stockage, structuration, consultation, transmission, archivage, suppression.
FinalitéExécution du contrat de service : authentification, génération de contenu, publication, historisation, facturation.
DuréeDurée de l'abonnement, augmentée d'une période de réversibilité de 30 jours.
Catégories de personnes concernéesUtilisateurs du compte Client (collaborateurs, responsables communication, administrateurs), et incidemment les destinataires des publications via les commentaires reçus sur les réseaux sociaux.
Catégories de donnéesDonnées d'identification (nom, prénom, email), données de connexion (logs, IP horodatée), contenus rédigés par le Client (brouillons, publications), jetons d'accès aux réseaux sociaux (chiffrés AES-256-GCM), données de facturation (gérées par Stripe — voir §5).
Aucune donnée sensible (art. 9 RGPD) n'est traitée.

3. Obligations de l'Éditeur (sous-traitant)

L'Éditeur s'engage à :

  • traiter les données personnelles uniquement sur instruction documentée du Client, y compris en cas de transfert hors UE ;
  • garantir la confidentialité des données et imposer cette même obligation à son personnel et à ses sous-traitants ultérieurs ;
  • mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'§4 ;
  • aider le Client à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) ;
  • aider le Client à respecter ses obligations en matière d'analyses d'impact (AIPD) et de notifications de violation ;
  • notifier au Client toute violation de données dans un délai maximal de soixante-douze (72) heures après en avoir eu connaissance ;
  • supprimer ou restituer toutes les données au terme du contrat, selon le choix du Client ;
  • tenir un registre des traitements et le mettre à disposition du Client sur demande.

4. Mesures techniques et organisationnelles

  • Chiffrement en transit : TLS 1.3 sur toutes les connexions web et API.
  • Chiffrement au repos : AES-256-GCM sur les jetons OAuth des réseaux sociaux. Disques chiffrés au niveau hébergeur.
  • Authentification : mots de passe hashés (Supabase Auth), sessions en cookies httpOnly, support de l'authentification Google OAuth.
  • Cloisonnement : Row Level Security PostgreSQL sur toutes les tables — isolation stricte entre organisations.
  • Audit : journalisation immuable des actions sensibles (création, modification, suppression, exports RGPD).
  • Sauvegardes : sauvegardes quotidiennes automatisées, rétention 7 jours, restauration testée.
  • Sécurité applicative : validation Zod sur les entrées API, protection SSRF sur les webhooks sortants, en-têtes HTTP de sécurité (CSP, HSTS, X-Frame-Options).
  • Mise à jour : dépendances suivies via npm audit et alertes Dependabot. Patches de sécurité appliqués sous 30 jours pour les CVE haute sévérité.
  • Personnel : accès aux données restreint au strict nécessaire, soumis à une obligation contractuelle de confidentialité.

5. Sous-traitants ultérieurs

Le Client autorise par les présentes l'Éditeur à faire appel aux sous-traitants ultérieurs listés ci-dessous. Toute modification (ajout ou remplacement) fera l'objet d'une notification préalable par email permettant au Client de s'y opposer dans un délai raisonnable.

Sous-traitantFinalitéLocalisationGaranties
Supabase Inc.Base de données, authentification, stockageUE (Francfort)DPA Supabase, certif. SOC 2 Type II
Hostinger Ltd.Hébergement VPS (application, workers, Redis, n8n)UE (Lituanie / Pays-Bas)DPA Hostinger, ISO 27001
Stripe Payments Europe Ltd.Encaissement, facturation, gestion abonnementsUE (Irlande)DPA Stripe, certif. PCI-DSS niveau 1
Anthropic PBCModèle d'IA Claude — génération de contenuÉtats-UnisClauses contractuelles types (CCT 2021/914) — pas d'entraînement sur les données client
OpenAI Ireland Ltd.Modèle DALL-E 3 (génération d'images), modération de contenu, scoring de sentiment, embeddingsIrlande (entité UE) / États-Unis (infra)DPA OpenAI, CCT 2021/914 — politique "Zero Data Retention" sur API entreprise (pas d'entraînement, suppression sous 30j)
GNews API (Greenview Inc.)Récupération d'articles d'actualité publics (veille thématique)Canada / États-UnisNe reçoit que des requêtes-mots-clés ; aucune donnée personnelle transmise
Cloudinary Ltd.Stockage et transformation d'imagesÉtats-Unis (CDN mondial)Clauses contractuelles types, certif. SOC 2 Type II
Resend Inc.Emails transactionnelsÉtats-Unis (relais UE)Clauses contractuelles types
Sentry Inc.Monitoring d'erreurs (traces techniques anonymisées)UE (Allemagne)DPA Sentry, certif. ISO 27001
Meta, LinkedIn, X, TelegramPublication sur les réseaux sociaux à la demande du ClientVariableTraitements distincts par leurs CGU — le Client conserve son propre lien avec ces plateformes

6. Transferts hors UE

Certains sous-traitants ultérieurs sont établis hors de l'Union européenne (Anthropic, OpenAI infra US, Cloudinary, Resend, GNews). Pour encadrer ces transferts, l'Éditeur s'appuie sur les clauses contractuelles types adoptées par la Commission européenne le 4 juin 2021 (décision 2021/914/UE). Une évaluation de transfert (TIA) a été réalisée et est disponible sur demande à contact@cadence-ia.fr. En ce qui concerne Anthropic, les conditions d'utilisation API stipulent l'absence d'entraînement de modèles sur les données soumises via l'API entreprise.

7. Droits des personnes concernées

Les utilisateurs peuvent exercer leurs droits directement depuis leur espace personnel (« Paramètres > Mes données ») :

  • Droit d'accès et de portabilité (Art. 15 et 20) : export JSON complet via la fonction « Exporter mes données ».
  • Droit à l'effacement (Art. 17) : suppression du compte via la fonction « Supprimer mon compte ». Anonymisation des publications passées.
  • Droit de rectification (Art. 16) : édition directe depuis le profil utilisateur.
  • Droit d'opposition et de limitation (Art. 18 et 21) : à exercer par email à contact@cadence-ia.fr.

L'Éditeur s'engage à transmettre au Client toute demande reçue directement d'une personne concernée, et à l'assister dans sa réponse sous un délai d'un (1) mois.

8. Violations de données

En cas de violation de données personnelles, l'Éditeur notifie le Client sans délai injustifié, et au plus tard dans les soixante-douze (72) heures, en fournissant : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées pour atténuer les effets négatifs.

9. Audit

Le Client dispose d'un droit d'audit sur le respect du présent DPA, à exercer par écrit avec un préavis de soixante (60) jours, à raison d'une fois par an au plus, et uniquement pendant les heures ouvrées. Les audits sont réalisés aux frais du Client. L'Éditeur peut substituer à l'audit la fourniture des rapports d'audit indépendants de ses sous-traitants ultérieurs (SOC 2, ISO 27001).

10. Fin du contrat — Suppression des données

Au terme du contrat : pendant trente (30) jours, le Client peut récupérer ses données via la fonction d'export. Passé ce délai, l'ensemble des données est supprimé des bases actives sous quatorze (14) jours et des sauvegardes sous quatre-vingt-dix (90) jours, à l'exception des données conservées en vertu d'une obligation légale (notamment factures : dix ans, journaux comptables : article L.123-22 Code de commerce).

11. Contact DPO

Pour toute question relative au présent DPA ou à la protection des données :
dpo@cadence-ia.fr — ou par voie postale à l'adresse de l'éditeur (voir mentions légales).