Annexe RGPD — Accord de sous-traitance (DPA)

1. Objet et valeur contractuelle

La présente annexe a pour objet d’encadrer les traitements de données personnelles réalisés par LABOxIA by Smartisia pour le compte du Client dans le cadre de l’utilisation de la plateforme LABOxIA.

Elle constitue un accord de sous-traitance de données personnelles au sens de la réglementation applicable, notamment du Règlement général sur la protection des données, lorsqu’un Client utilise LABOxIA pour traiter des données personnelles dont il détermine les finalités et les moyens essentiels.

Cette annexe complète les Conditions Générales d’Utilisation, les Conditions Générales de Vente, la Politique de confidentialité, les mentions légales, le devis accepté, le bon de commande ou tout contrat d’abonnement conclu avec le Client.

En cas de contradiction entre cette annexe et les autres documents contractuels, la présente annexe prévaut uniquement pour les questions relatives à la protection des données personnelles traitées par LABOxIA en qualité de sous-traitant.

2. Définitions

Les termes Responsable de traitement, Sous-traitant, Données personnelles, Traitement, Personne concernée, Violation de données personnelles, Sous-traitant ultérieur et Autorité de contrôle ont le sens qui leur est donné par le RGPD.

Pour l’application de la présente annexe :

Client désigne l’entreprise, l’organisme ou le professionnel utilisant LABOxIA pour ses besoins internes ou ceux de son activité.

LABOxIA désigne la plateforme SaaS éditée sous la marque LABOxIA by Smartisia, incluant ses modules, assistants IA, espaces documentaires, workflows, déclencheurs, interfaces, connecteurs et services associés.

Données Client désigne les données, documents, contenus, prompts, messages, fichiers, métadonnées, historiques, paramètres et informations importés, créés ou traités par le Client ou ses utilisateurs dans LABOxIA.

Instructions documentées désigne les instructions données par le Client à LABOxIA par les documents contractuels, le paramétrage de l’espace, les actions des utilisateurs autorisés, les demandes de support et les fonctionnalités activées.

3. Rôles des parties

Pour les données personnelles contenues dans les documents, workflows, demandes, messages, prompts, paramètres et espaces de travail du Client, le Client agit en principe comme responsable de traitement.

LABOxIA agit comme sous-traitant lorsqu’elle héberge, organise, analyse, structure, classe, extrait, affiche, transmet ou supprime ces données pour fournir le service SaaS demandé par le Client.

LABOxIA peut agir comme responsable de traitement distinct pour ses propres traitements, notamment la gestion du site internet, des comptes, de la relation commerciale, de la facturation, du support, de la prospection B2B, de la sécurité générale et de l’amélioration du service. Ces traitements sont décrits dans la Politique de confidentialité LABOxIA.

La qualification juridique réelle dépend des finalités et moyens effectivement déterminés par chaque partie. Lorsque le Client impose ses finalités métier et utilise LABOxIA comme outil technique, LABOxIA n’agit pas comme responsable des traitements métier du Client.

4. Description des traitements

LABOxIA est autorisée à traiter les données personnelles nécessaires à la fourniture des services souscrits ou testés par le Client.

4.1 Objet, durée, nature et finalités

4.2 Catégories de personnes concernées

Les traitements peuvent concerner notamment :

les utilisateurs autorisés du Client : dirigeants, administrateurs, collaborateurs, managers, comptables, responsables métier, prestataires habilités ;

les personnes mentionnées dans les documents ou processus du Client : salariés, candidats, clients, prospects, fournisseurs, partenaires, sous-traitants, maîtres d’ouvrage, contacts chantier, contacts administratifs ou commerciaux ;

les personnes concernées par des demandes internes traitées via LABOxIA : demandeurs, validateurs, intervenants, bénéficiaires, interlocuteurs et destinataires ;

toute autre personne dont les données sont légalement intégrées par le Client dans son espace LABOxIA.

4.3 Catégories de données personnelles

Les données traitées peuvent notamment comprendre :

données d’identification : nom, prénom, fonction, société, service, rôle, identifiant utilisateur ;

données de contact : adresse email professionnelle, numéro de téléphone professionnel, coordonnées figurant dans les documents ;

données professionnelles : service, habilitations, validations, affectations, rôles dans les processus, responsabilités, historique d’actions ;

données documentaires : contenus de fichiers, pièces jointes, images, notes, courriers, factures, devis, demandes, bons, comptes rendus, justificatifs, contrats et documents métier ;

données de workflow : statuts, commentaires, décisions, horodatages, validations, refus, relances, affectations et historiques ;

données techniques : logs, identifiants techniques, traces de connexion, adresse IP, navigateur, horodatages, données nécessaires à la sécurité et au support ;

données issues de l’IA : prompts, instructions, extraits nécessaires à l’analyse, réponses générées, propositions de structure, synthèses, classifications, extractions et résultats.

5. Instructions documentées du Client

LABOxIA traite les données personnelles uniquement sur instruction documentée du Client, sauf obligation légale contraire applicable à LABOxIA.

Les instructions du Client résultent notamment :

des CGU, CGV, devis, bons de commande, contrats, annexes et politiques acceptés ;

du paramétrage de l’espace LABOxIA par les administrateurs du Client ;

des workflows, rôles, permissions, déclencheurs et automatisations configurés ;

des fichiers et documents importés ;

des prompts, messages, demandes et actions envoyés par les utilisateurs autorisés ;

des demandes adressées au support ou aux équipes LABOxIA.

Si LABOxIA estime qu’une instruction constitue une violation manifeste de la réglementation applicable, elle en informe le Client dans la mesure permise par la loi. LABOxIA peut suspendre l’exécution d’une instruction présentant un risque sérieux pour la sécurité, les droits des personnes ou la conformité de la plateforme.

6. Obligations de LABOxIA comme sous-traitant

Dans le cadre des traitements réalisés pour le compte du Client, LABOxIA s’engage à :

traiter les données personnelles uniquement pour les finalités prévues par les documents contractuels et les instructions documentées du Client ;

ne pas vendre les données du Client ;

ne pas utiliser les documents, prompts ou contenus du Client pour entraîner des modèles d’intelligence artificielle tiers sans accord préalable lorsque cette utilisation ne relève pas de la fourniture du service ;

mettre en œuvre des mesures techniques et organisationnelles raisonnables pour protéger les données ;

limiter l’accès aux données aux personnes autorisées qui en ont besoin pour fournir, maintenir, sécuriser ou assister le service ;

s’assurer que les personnes autorisées sont soumises à une obligation de confidentialité ;

aider raisonnablement le Client à répondre aux demandes d’exercice de droits des personnes concernées ;

informer le Client des violations de données personnelles dans les conditions prévues par la présente annexe ;

encadrer le recours à des sous-traitants ultérieurs ;

supprimer, anonymiser ou restituer les données en fin de contrat selon les modalités prévues ;

mettre à disposition les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant.

7. Obligations du Client

Le Client demeure responsable de la conformité des traitements qu’il décide de réaliser avec LABOxIA.

À ce titre, le Client s’engage notamment à :

déterminer les finalités et moyens essentiels de ses traitements ;

s’assurer de l’existence d’une base légale appropriée pour les données importées ou traitées ;

informer les personnes concernées lorsque cela est nécessaire ;

limiter les données importées à ce qui est nécessaire ;

ne pas importer de données sensibles, réglementées ou excessives sans base légale adaptée et sans mesures appropriées ;

configurer correctement les rôles, permissions, processus, déclencheurs et automatisations ;

vérifier les résultats générés par l’IA avant toute utilisation engageante ;

administrer les comptes utilisateurs et retirer les accès des personnes qui ne doivent plus accéder à LABOxIA ;

traiter les demandes d’exercice de droits des personnes concernées ;

tenir sa documentation de conformité, notamment registre des traitements, analyses d’impact si nécessaires et politiques internes.

8. Confidentialité et personnel autorisé

LABOxIA limite l’accès aux Données Client aux personnes autorisées intervenant pour la fourniture, la maintenance, la sécurité, l’assistance, l’administration ou l’amélioration technique du service.

Ces personnes sont soumises à une obligation de confidentialité appropriée, qu’elle résulte d’un contrat de travail, d’un engagement contractuel, d’une charte interne ou de règles professionnelles équivalentes.

LABOxIA veille à ce que les accès internes soient proportionnés aux missions exercées et retirés lorsque la personne n’a plus besoin d’accéder aux données.

9. Sécurité des traitements

LABOxIA met en œuvre des mesures techniques et organisationnelles adaptées au risque, compte tenu de l’état de l’art, des coûts de mise en œuvre, de la nature du service, des données traitées et des risques pour les droits et libertés des personnes.

Le Client reconnaît qu’aucun système ne peut garantir une sécurité absolue. Il doit appliquer ses propres mesures de sécurité sur ses terminaux, réseaux, comptes, procédures internes, habilitations et usages métier.

10. Sous-traitants ultérieurs

Le Client autorise LABOxIA à recourir à des sous-traitants ultérieurs nécessaires à la fourniture du service, notamment pour l’hébergement, le stockage, l’infrastructure, les services d’intelligence artificielle, l’OCR, l’email, le support, la sécurité, la supervision, la facturation ou les outils techniques associés.

LABOxIA s’engage à sélectionner des sous-traitants présentant des garanties raisonnables en matière de confidentialité, sécurité et protection des données personnelles.

LABOxIA impose à ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes, dans leur substance, à celles prévues dans la présente annexe pour les traitements concernés.

La liste des catégories de sous-traitants ultérieurs et, lorsque disponible, la liste nominative des prestataires essentiels peuvent être communiquées ou rendues accessibles au Client via la documentation contractuelle, l’espace client, la politique de confidentialité, le registre de sous-traitants ou tout canal approprié.

En cas de changement substantiel de sous-traitant ultérieur ayant un impact significatif sur les données du Client, LABOxIA peut informer le Client par tout moyen approprié. Le Client peut formuler une objection motivée pour des raisons sérieuses de conformité ou de sécurité. Les parties rechercheront alors une solution raisonnable. À défaut de solution, le Client pourra cesser d’utiliser la fonctionnalité concernée ou résilier selon les conditions contractuelles applicables.

11. Transferts hors Union européenne

LABOxIA privilégie, lorsque cela est possible et pertinent, des traitements et hébergements situés dans l’Union européenne ou l’Espace économique européen.

Certains services techniques, notamment d’intelligence artificielle, d’infrastructure, de support ou de sécurité, peuvent impliquer un transfert ou un accès depuis un pays situé hors Union européenne ou hors Espace économique européen.

Lorsqu’un tel transfert est nécessaire, LABOxIA veille à ce qu’il soit encadré par un mécanisme de transfert reconnu par la réglementation applicable, tel qu’une décision d’adéquation, des clauses contractuelles types, des garanties appropriées ou toute autre mesure légalement admise.

Le Client reconnaît que certaines fonctionnalités avancées, notamment IA, OCR, email ou connecteurs, peuvent dépendre de prestataires tiers et de leurs propres localisations techniques. LABOxIA s’efforce d’en tenir compte dans son choix de prestataires et dans son information contractuelle.

12. Gestion des demandes de droits

Le Client est responsable de la réponse aux demandes des personnes concernées portant sur les données qu’il traite via LABOxIA.

Lorsque LABOxIA reçoit directement une demande relative à des Données Client traitées pour le compte du Client, LABOxIA peut transmettre la demande au Client ou inviter la personne concernée à s’adresser au Client, sauf obligation légale contraire.

LABOxIA fournit une assistance raisonnable au Client, compte tenu de la nature du traitement et des fonctionnalités disponibles, pour l’aider à répondre aux demandes d’accès, rectification, effacement, limitation, opposition ou portabilité lorsque ces demandes concernent des données traitées dans l’espace LABOxIA du Client.

Cette assistance peut consister notamment en la mise à disposition de fonctionnalités d’export, de recherche, de consultation, de rectification, de suppression ou d’informations techniques nécessaires à l’instruction de la demande.

13. Violation de données personnelles

LABOxIA informe le Client dans les meilleurs délais après avoir pris connaissance d’une violation de données personnelles affectant les Données Client traitées par LABOxIA en qualité de sous-traitant.

La notification contient, lorsque les informations sont disponibles :

la nature de la violation ;

les catégories de données et de personnes concernées ;

le nombre approximatif de personnes ou d’enregistrements concernés lorsqu’il est connu ;

les conséquences probables de la violation ;

les mesures prises ou proposées pour y remédier ;

les mesures recommandées au Client lorsque cela est pertinent.

Lorsque toutes les informations ne sont pas immédiatement disponibles, LABOxIA peut les communiquer de manière progressive.

Le Client demeure responsable, en qualité de responsable de traitement, d’apprécier si la violation doit être notifiée à l’autorité de contrôle ou communiquée aux personnes concernées, sauf si une obligation légale impose directement une action à LABOxIA.

14. Assistance et conformité

Compte tenu de la nature du traitement et des informations dont elle dispose, LABOxIA aide raisonnablement le Client à respecter ses obligations en matière de sécurité, notification de violation, analyse d’impact, consultation préalable éventuelle et réponse aux demandes des personnes concernées.

Cette assistance est fournie dans la limite des informations accessibles à LABOxIA, des fonctionnalités de la plateforme, de l’offre souscrite et de la nature de la demande.

Lorsque l’assistance demandée dépasse le support standard ou nécessite des recherches, extractions, développements, expertises ou interventions spécifiques, elle peut faire l’objet d’une facturation complémentaire raisonnable, après information du Client, sauf obligation légale contraire.

15. Audits et informations de conformité

LABOxIA met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant, notamment au moyen de documents de sécurité, attestations, réponses écrites, politiques internes, registres, éléments techniques ou rapports disponibles.

Le Client peut solliciter des informations complémentaires en cas de besoin raisonnable de conformité. LABOxIA peut refuser ou encadrer toute demande manifestement excessive, non proportionnée, portant atteinte à la sécurité de la plateforme, à la confidentialité d’autres clients ou à ses secrets d’affaires.

Tout audit sur site ou audit technique approfondi doit être préalablement accepté par LABOxIA, réalisé pendant les heures ouvrées, par des personnes soumises à confidentialité, avec un préavis raisonnable, et sans porter atteinte à la sécurité, à la disponibilité du service ou aux droits d’autres clients.

Les audits peuvent être remplacés ou complétés par des audits documentaires, questionnaires, certifications, rapports de sécurité ou attestations raisonnablement équivalentes.

16. Sort des données en fin de contrat

À la fin de la relation contractuelle ou de l’accès au service, le Client peut demander l’export, la restitution, la suppression ou l’anonymisation des Données Client dans les conditions prévues par les CGV, la politique de confidentialité, l’espace client ou les modalités techniques disponibles.

LABOxIA peut conserver certaines données pendant une durée limitée lorsque cela est nécessaire pour respecter une obligation légale, assurer la preuve d’un droit ou d’un contrat, gérer la facturation, prévenir un litige, sécuriser la plateforme ou conserver des sauvegardes temporaires.

Les sauvegardes techniques peuvent être supprimées selon un cycle progressif. Pendant cette période, les données ne sont pas destinées à être réutilisées activement, sauf nécessité de restauration, sécurité, preuve ou obligation légale.

Le Client est invité à effectuer ses exports avant la suppression définitive de son espace ou la fin de la période de réversibilité applicable.

17. Traitements liés à l’intelligence artificielle

LABOxIA intègre des fonctionnalités d’intelligence artificielle permettant notamment de générer des structures de processus, proposer des statuts, analyser des documents, classer des fichiers, extraire des informations, répondre à des questions ou assister l’utilisateur dans l’exploitation de ses données.

Lorsque le Client utilise ces fonctionnalités, les données nécessaires au traitement peuvent être transmises à des services d’IA internes ou tiers, dans la limite nécessaire à la génération du résultat demandé et selon les garanties contractuelles applicables.

Sauf accord exprès ou mention contractuelle contraire, LABOxIA n’autorise pas l’utilisation des contenus, documents, prompts ou données du Client pour entraîner des modèles d’intelligence artificielle tiers à des fins générales indépendantes de la fourniture du service au Client.

Le Client reconnaît que les résultats générés par IA peuvent comporter des erreurs, approximations ou interprétations inexactes. Le Client doit maintenir un contrôle humain approprié avant d’utiliser ces résultats dans un contexte engageant, juridique, financier, RH, technique, contractuel ou réglementaire.

Le Client est responsable de ne pas transmettre à l’IA des données inutiles, excessives, sensibles ou interdites, et de paramétrer ses workflows de manière conforme à ses obligations internes et réglementaires.

18. Données sensibles et usages interdits

LABOxIA n’est pas destinée, par défaut, à traiter des données sensibles ou hautement réglementées, sauf accord spécifique, configuration adaptée et base légale appropriée du Client.

Le Client s’interdit d’importer ou de faire traiter via LABOxIA des données de santé, données biométriques, données génétiques, données relatives aux infractions, données concernant des mineurs, données couvertes par un secret professionnel strict ou données hautement confidentielles, sauf si cet usage est légal, nécessaire, documenté et compatible avec l’offre souscrite.

Le Client s’interdit également d’utiliser LABOxIA pour mettre en place une surveillance abusive de personnes, produire des décisions automatisées interdites, discriminer des personnes, contourner une obligation légale ou traiter des données personnelles sans base légale.

LABOxIA peut suspendre ou refuser un traitement lorsqu’elle identifie un risque manifeste pour les droits des personnes, la sécurité de la plateforme, la conformité légale ou les droits de tiers.

19. Responsabilité

Chaque partie est responsable du respect des obligations qui lui incombent au titre de la réglementation applicable et de la présente annexe.

Le Client demeure responsable des données qu’il choisit d’importer, des finalités poursuivies, des bases légales, de l’information des personnes, des durées de conservation, du paramétrage des accès, des validations internes, des décisions prises à partir des résultats générés et de la conformité de ses usages métier.

LABOxIA est responsable des traitements qu’elle réalise comme sous-traitant dans les limites de ses obligations contractuelles, de ses propres manquements prouvés et des règles impératives applicables.

Les limitations de responsabilité prévues aux CGV ou au contrat d’abonnement s’appliquent à la présente annexe dans la mesure autorisée par la loi, sans préjudice des droits impératifs des personnes concernées et des pouvoirs des autorités compétentes.

20. Durée, modification et priorité contractuelle

La présente annexe s’applique pendant toute la durée pendant laquelle LABOxIA traite des données personnelles pour le compte du Client.

Elle continue de produire effet après la fin du contrat pour les obligations qui, par nature, doivent survivre, notamment confidentialité, sécurité, preuve, restitution, suppression, conservation légale et gestion des litiges.

LABOxIA peut modifier la présente annexe afin de tenir compte des évolutions légales, réglementaires, techniques, organisationnelles, fonctionnelles ou de sécurité. Les modifications substantielles peuvent être portées à la connaissance du Client par tout moyen approprié.

La poursuite de l’utilisation de LABOxIA après l’entrée en vigueur d’une version modifiée vaut acceptation de cette version, sauf dispositions contraires prévues par le contrat applicable.

La version applicable de la présente annexe est celle publiée ou mise à disposition par LABOxIA à la date d’utilisation du service, sauf accord écrit spécifique entre les parties.

Fin de l’annexe RGPD / DPA LABOxIA by Smartisia