Aller au contenu principal
EXIOR
Pilot
document légal

DPA — Data Processing Agreement

Accord de sous-traitance RGPD article 28. Standard Contractual Clauses incluses.

DATA PROCESSING AGREEMENT — ACCORD DE TRAITEMENT DE DONNÉES

Conformité : Article 28 du Règlement (UE) 2016/679 (RGPD) Version : 1.0 Date d'entrée en vigueur : 2026-04-28 Document : DPA-EXIOR-FR-V1

Préambule

Le présent Data Processing Agreement (« DPA ») est conclu entre :

  • Le Responsable de traitement : le Client, tel qu'identifié dans le contrat principal (ci-après le « Responsable ») ;
  • Le Sous-traitant : EXIOR SAS, RCS Paris [NUMERO_RCS_A_COMPLETER], siège social [ADRESSE_SIEGE_A_COMPLETER], représentée par son Président Guillaume BAUCHART (ci-après « Exior »).

Il complète les CGV (docs/legal/CGV.md) et les CGU (docs/legal/CGU.md) et a pour objet de définir les conditions dans lesquelles Exior, en sa qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données à caractère personnel pour le compte du Responsable.

En cas de contradiction entre le présent DPA et les autres documents contractuels concernant les données personnelles, le présent DPA prévaut.

Article 1 — Objet et nature du traitement

1.1 Description

Exior fournit un exocortex organisationnel — couche cognitive externe qui ingère, structure, source-tagge et raisonne sur des données de l'organisation cliente. Cette ingestion peut comprendre des données à caractère personnel concernant les salariés, mandataires, fournisseurs, clients, prospects ou tiers en relation avec le Responsable.

1.2 Nature des opérations

Les opérations de traitement effectuées par Exior peuvent inclure :

  • collecte automatisée via connecteurs read-only (FEC, INPI, BODACC, DECP, DSN, ERP, CRM…) ;
  • structuration, normalisation, enrichissement, calibration ;
  • stockage chiffré au repos (AES-256-GCM) ;
  • transmission chiffrée en transit (TLS 1.3) ;
  • analyse, scoring, simulation, recommandation ;
  • restitution dans le dashboard ou via API ;
  • archivage pour la durée contractuelle ;
  • destruction à la résiliation conformément à la politique de rétention.

1.3 Finalité

Le traitement est strictement limité à l'exécution des prestations souscrites au catalogue Exior et à la conformité des obligations légales d'Exior (facturation, lutte contre la fraude, archivage légal).

Article 2 — Durée

Le DPA prend effet à la date de signature ou de souscription électronique du contrat principal, et reste en vigueur pour toute la durée d'exécution du contrat, augmentée des périodes de rétention légale et des durées de prescription applicables.

Les obligations de confidentialité, de sécurité et de notification de violation survivent à la résiliation.

Article 3 — Catégories de données et de personnes concernées

3.1 Catégories de personnes concernées

  • salariés et mandataires sociaux du Responsable ;
  • candidats et anciens collaborateurs ;
  • clients et prospects du Responsable ;
  • fournisseurs, sous-traitants, partenaires du Responsable ;
  • toute autre personne identifiée ou identifiable mentionnée dans les données ingérées.

3.2 Catégories de données traitées

  • Identification : nom, prénom, fonction, e-mail professionnel, téléphone professionnel ;
  • Données financières : éléments de paie agrégés, factures, encaissements, FEC ;
  • Données économiques : chiffre d'affaires, ratios, KPIs sectoriels ;
  • Données contractuelles : conventions, devis, bons de commande ;
  • Données de connexion : logs d'accès au dashboard, IP, user-agent, horodatage.

3.3 Données sensibles

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, religion, orientation sexuelle, données biométriques) n'est ingérée par défaut. Pour les modules Santé, des dispositions spécifiques HDS s'appliquent (docs/security/hds_readiness.md).

Les données relatives aux infractions et condamnations (article 10 RGPD) sont exclues du périmètre.

Article 4 — Obligations d'Exior en tant que sous-traitant

Conformément à l'article 28.3 du RGPD, Exior s'engage à :

4.1 Traiter sur instruction documentée

Ne traiter les données personnelles que sur instruction documentée du Responsable, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale. Toute instruction qui paraîtrait constituer une violation du RGPD ou d'une autre disposition de l'Union ou d'un État membre fera l'objet d'une notification immédiate au Responsable.

4.2 Garantir la confidentialité

Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent au respect de la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. Tous les collaborateurs d'Exior signent un engagement de confidentialité dont les obligations survivent à la fin du contrat de travail.

4.3 Mesures techniques et organisationnelles

Mettre en œuvre toutes les mesures requises en vertu de l'article 32 du RGPD, notamment :

| Mesure | Implémentation Exior | |---|---| | Chiffrement au repos | AES-256-GCM via KMS (docs/security/encryption_policy.md) | | Chiffrement en transit | TLS 1.3, HSTS, certificate pinning Augment+ | | Pseudonymisation | Identifiants techniques, hashing SHA-256 sel par tenant | | Contrôle d'accès | IAM granulaire, MFA obligatoire, RBAC, just-in-time pour priv esc (docs/security/access_control_policy.md) | | Résilience | RTO/RPO documentés (docs/security/business_continuity_plan.md) | | Tests de sécurité | Pentest annuel externe, scan continu (docs/security/pentests_plan.md) | | Journalisation | Audit log immutable signé GPG (docs/legal/charte_audit_log.md) | | Formation | Formation sécurité annuelle obligatoire pour 100 % des accédants |

4.4 Sous-traitance ultérieure

Exior peut recourir à des sous-traitants ultérieurs dans les conditions de l'article 28.2 et 28.4 du RGPD. La liste actualisée figure à l'Annexe 1 du présent DPA.

Toute substitution ou ajout est notifié au Responsable avec préavis de 30 jours, ouvrant un droit d'opposition motivé. Exior impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA.

4.5 Aide au respect des droits des personnes

Exior aide le Responsable, dans la mesure du possible, à donner suite aux demandes des personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité, profil automatisé). Réponse sous 5 jours ouvrés à toute requête.

4.6 Aide aux obligations 32-36 RGPD

Exior aide le Responsable à respecter ses obligations en matière de :

  • sécurité (article 32) ;
  • notification de violation à la CNIL (article 33) ;
  • communication aux personnes concernées (article 34) ;
  • analyse d'impact (AIPD, article 35) ;
  • consultation préalable de la CNIL (article 36).

4.7 Sort des données à la fin

À la fin de la prestation, Exior, au choix du Responsable :

  • restitue toutes les données personnelles dans un format structuré ouvert (CSV, JSON, Parquet) sous 30 jours ;
  • ou détruit toutes les données et copies, sauf obligation légale contraire d'Exior, et en délivre une attestation signée GPG.

4.8 Démonstration de conformité

Exior met à disposition du Responsable toutes les informations nécessaires pour démontrer le respect du présent DPA, et permet la réalisation d'audits — en ce compris des inspections — par le Responsable ou un tiers mandaté, sous réserve d'un préavis raisonnable (15 jours ouvrés) et dans le respect des obligations de sécurité et de confidentialité d'Exior.

Article 5 — Notification de violation de données

En cas de violation de données personnelles affectant les données du Responsable, Exior :

  1. notifie le Responsable dans les 24 heures suivant la prise de connaissance ;
  2. communique : nature de la violation, catégories et nombre approximatif de personnes concernées et d'enregistrements affectés, conséquences probables, mesures prises ou proposées pour remédier ;
  3. coopère pleinement avec le Responsable pour permettre la notification CNIL dans les 72 heures (article 33 RGPD) et la communication aux personnes concernées le cas échéant (article 34) ;
  4. consigne la violation dans un registre interne immutable.

Le Plan de Réponse aux Incidents (docs/security/incident_response_plan.md) détaille les procédures opérationnelles.

Article 6 — Localisation et transferts

6.1 Localisation par défaut

Toutes les données personnelles traitées par Exior sont hébergées exclusivement en France ou dans l'Union européenne, sur des infrastructures opérées par OVH, Scaleway, Outscale ou équivalent UE.

6.2 Sous-traitants tiers

Le sous-traitant ultérieur Anthropic (compute LLM) opère dans des datacenters AWS situés en Europe (Frankfurt, Dublin) avec engagement contractuel d'isolation européenne. Pour les Clients Sovereign exigeant zéro transfert hors UE, un déploiement on-premise ou sur cloud souverain (NumSpot, Cloud Bleu, S3NS) est proposé.

6.3 Aucune dépendance Schrems II

Aucun transfert vers les États-Unis ou pays tiers non couvert par une décision d'adéquation n'est effectué pour le compte du Responsable, sauf instruction contraire et expresse de ce dernier.

Article 7 — Registre des activités de traitement

Exior tient un registre des activités de traitement effectuées en qualité de sous-traitant, conformément à l'article 30.2 du RGPD, accessible sur demande motivée du Responsable ou de la CNIL.

Article 8 — Délégué à la protection des données

Exior a désigné un Délégué à la Protection des Données (DPO) joignable à : [DPO_EMAIL_A_COMPLETER].

Le DPO est le point de contact privilégié pour toute question relative au présent DPA, à la sécurité des données, ou aux droits des personnes concernées.

Article 9 — Documentation et auditabilité

Exior maintient une documentation à jour des mesures techniques et organisationnelles, des analyses d'impact, des registres de violation, des contrats sous-traitants. Cette documentation est mise à disposition du Responsable sur demande motivée et dans des délais raisonnables.

Pour les niveaux Augment et Sovereign, un rapport annuel de conformité est délivré, attestant : conformité ISO 27001 (docs/security/iso27001_readiness.md), tests pentest, exercices de continuité, formation des équipes.

Article 10 — Responsabilité

10.1 Répartition

Chaque partie est responsable des dommages causés par un traitement non conforme, dans les limites de l'article 82 du RGPD.

10.2 Plafond

Sauf faute lourde ou intentionnelle, la responsabilité d'Exior au titre du présent DPA est plafonnée au montant des sommes effectivement encaissées au titre du contrat principal sur les 12 mois précédant le fait générateur, plafond commun avec les CGV (article 8).

10.3 Sanctions administratives

Si une sanction administrative est prononcée contre l'une des parties au titre du RGPD, et que cette sanction est imputable à un manquement de l'autre partie, cette dernière indemnisera la première à hauteur de la sanction effectivement payée, dans la limite du plafond mentionné en 10.2.

Article 11 — Droits des personnes concernées

Exior facilite l'exercice des droits suivants :

  • Accès (article 15 RGPD) — extraction sous 5 jours ouvrés ;
  • Rectification (article 16) — propagation immédiate dans le tenant ;
  • Effacement (article 17) — suppression sous 5 jours ouvrés sauf obligation légale contraire ;
  • Limitation (article 18) — gel temporaire ;
  • Portabilité (article 20) — export CSV/JSON/Parquet ;
  • Opposition (article 21) ;
  • Droits relatifs aux décisions automatisées (article 22) — Exior n'effectue aucune décision purement automatisée produisant des effets juridiques ; les recommandations exocortex sont toujours soumises à la décision humaine du Client (cf. lignes rouges P7 — docs/legal/lignes_rouges.md).

Article 12 — Audit

12.1 Audit Responsable

Le Responsable peut auditer la conformité d'Exior une fois par an, sur préavis de 15 jours ouvrés, dans le respect des obligations de sécurité d'Exior.

12.2 Audit tiers

Pour les niveaux Augment et Sovereign, un audit tiers (cabinet de sécurité au choix du Responsable, sous réserve d'accord raisonnable d'Exior) peut être diligenté annuellement aux frais du Responsable. Pour Sovereign, l'audit annuel est inclus.

12.3 Confidentialité de l'audit

Tous les rapports d'audit sont strictement confidentiels et ne peuvent être communiqués à des tiers sans accord exprès d'Exior, sauf injonction d'autorité publique.

Article 13 — Modification

Toute modification du présent DPA doit faire l'objet d'un avenant écrit signé des deux parties, sauf modification résultant d'une évolution réglementaire (RGPD, lignes directrices CEPD, jurisprudence CJUE), auquel cas Exior peut adapter unilatéralement le DPA avec notification 30 jours avant entrée en vigueur.

Article 14 — Conformité aux normes

Exior s'engage à maintenir un niveau de conformité aligné avec :

  • ISO/IEC 27001:2022 (docs/security/iso27001_readiness.md) ;
  • ISO/IEC 27701:2019 (privacy information management) ;
  • recommandations CNIL (sécurité des données personnelles, AIPD) ;
  • lignes directrices CEPD pertinentes ;
  • pour les modules sectoriels : HDS (santé), DORA (finance), NIS2 (entités essentielles), SecNumCloud (Sovereign).

Article 15 — Loi applicable et juridiction

Le présent DPA est régi par le droit français et le droit de l'Union européenne. Les juridictions compétentes du ressort de la Cour d'appel de Paris sont seules compétentes en cas de litige.

Article 16 — Dispositions finales

16.1 Intégralité et hiérarchie

Le présent DPA, l'Annexe 1 (sous-traitants ultérieurs) et l'Annexe 2 (mesures techniques et organisationnelles) forment un ensemble indissociable. En cas de contradiction avec d'autres documents contractuels concernant la protection des données, le DPA prévaut.

16.2 Coopération

Les parties coopèrent loyalement pour l'exécution du présent DPA, dans le respect du principe d'imputation et des objectifs de protection des données.

16.3 Notifications

Toute notification au titre du présent DPA est valablement effectuée à : [DPO_EMAIL_A_COMPLETER] pour Exior, et à l'adresse du DPO ou contact RGPD désigné par le Responsable.

Annexe 1 — Sous-traitants ultérieurs

| Sous-traitant | Finalité | Localisation | Garanties | |---|---|---|---| | Anthropic PBC | Compute LLM (Claude API) | AWS Europe (Frankfurt, Dublin) | DPA Anthropic, ISO 27001, SOC 2 Type II | | OVHcloud | Hébergement infra & stockage | France (Roubaix, Strasbourg) | HDS, ISO 27001, SecNumCloud (offres dédiées) | | Scaleway (alternative) | Hébergement infra & stockage | France (Paris) | ISO 27001, ISO 27701 | | Stripe Payments Europe | Paiement (carte, SEPA) | Irlande | DPA Stripe, PCI-DSS L1 | | Sentry (Functional Software) | Monitoring erreurs | UE | DPA Sentry, ISO 27001 | | Postmark / Brevo | E-mails transactionnels | UE | DPA fournisseur, ISO 27001 | | Cloudflare (WAF/DDoS) | Sécurité réseau | UE (POPs) | DPA Cloudflare |

Cette liste est mise à jour au fil des évolutions opérationnelles. La version courante est accessible sur le dashboard.

Annexe 2 — Mesures techniques et organisationnelles (synthèse)

| Domaine | Mesure | Référence interne | |---|---|---| | Chiffrement | AES-256-GCM repos / TLS 1.3 transit | docs/security/encryption_policy.md | | IAM | MFA obligatoire, RBAC, just-in-time | docs/security/access_control_policy.md | | Continuité | RTO/RPO documentés par tier | docs/security/business_continuity_plan.md | | Tests | Pentest annuel externe | docs/security/pentests_plan.md | | Modélisation menaces | STRIDE | docs/security/threat_model.md | | Réponse incidents | Plan IRP 5 phases | docs/security/incident_response_plan.md | | Rétention | Politique par catégorie de données | docs/security/data_retention_policy.md | | Conformité ISO | ISO 27001:2022 readiness | docs/security/iso27001_readiness.md | | Conformité NIS2 | NIS2 directive 2022/2555 | docs/security/nis2_readiness.md | | Conformité DORA | DORA règlement 2022/2554 | docs/security/dora_readiness.md | | Conformité HDS | HDS santé | docs/security/hds_readiness.md | | Conformité SecNumCloud | ANSSI référentiel 3.2 (Sovereign) | docs/security/secnumcloud_readiness.md |

Fait à Paris, version 1.0 — 2026-04-28

EXIOR SAS — RCS Paris [NUMERO_RCS_A_COMPLETER] DPO : [DPO_EMAIL_A_COMPLETER]