Accord de traitement des donnees (DPA)
- Ce DPA est conclu entre vous (le Responsable du traitement) et ZEVRA (le Sous-traitant), conformement a l'article 28 du RGPD.
- Il s'applique a tous les outils du Store Zevra et aux services Studio impliquant des donnees personnelles de tiers.
- ZEVRA ne traite vos donnees que sur vos instructions documentees et dans le cadre strict des services contractes.
- Vos donnees sont protegees par chiffrement TLS 1.2+, controle d'acces (RBAC), sauvegardes chiffrees et journalisation.
- Toute violation de donnees vous est notifiee sous 72 heures.
- A la fin du contrat, vos donnees sont restituees ou detruites de maniere securisee, avec attestation.
- Les sous-traitants ulterieurs (Vercel, Anthropic, OpenAI, Google, DILA) sont listes en Annexe A avec leurs garanties de transfert.
Preambule — Parties et champ d'application
Le present Accord de Traitement des Donnees Personnelles (ci-apres le « DPA ») est conclu entre les parties suivantes :
Identification des parties
- Responsable du traitement
- Le Client, personne physique ou morale ayant souscrit aux services Zevra.
- Sous-traitant
- ZEVRA, SAS au capital de 1 000 euros
- Immatriculation
- RCS Toulon — SIREN 101 202 216
- Siege social
- Le Pradet (83), France
- Contact
- contact@zevra.tech
- Representant legal
- Alexis Deborde, President
Champ d'application
Le present DPA s'applique a l'ensemble des services suivants lorsqu'ils impliquent le traitement de donnees personnelles de tiers :
- Outils du Store : MCP Factory, Supernovia, My Legal Assistant, Ma JP de Reve, Lexform Pro, Assistant IA cabinet
- Developpement sur mesure : tout projet de developpement realise par ZEVRA pour le compte du Client
- Services Studio : prestations impliquant le traitement de donnees personnelles de tiers
Le present DPA complete les Conditions Generales de Vente et d'Utilisation (CGVU) de ZEVRA et en est indissociable.
Article 1 — Definitions
Au sens du present DPA, les termes suivants ont la signification qui leur est donnee ci-apres :
- Donnees personnelles
- Toute information se rapportant a une personne physique identifiee ou identifiable, au sens de l'article 4.1 du RGPD.
- Traitement
- Toute operation ou ensemble d'operations effectuees sur des donnees personnelles, au sens de l'article 4.2 du RGPD (collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, effacement, destruction, etc.).
- Violation de donnees personnelles
- Toute violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l'alteration, la divulgation non autorisee ou l'acces non autorise a des donnees personnelles transmises, conservees ou traitees.
- Sous-traitant ulterieur
- Tout tiers sous-traitant auquel ZEVRA fait appel pour executer tout ou partie des traitements effectues pour le compte du Client.
- RGPD
- Reglement (UE) 2016/679 du Parlement europeen et du Conseil du 27 avril 2016 relatif a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel.
Article 2 — Objet et duree
2.1 Objet
Le present DPA definit les conditions dans lesquelles ZEVRA traite les donnees personnelles pour le compte du Client, dans le cadre exclusif de l'execution des services prevus au Contrat principal.
ZEVRA agit en qualite de sous-traitant au sens de l'article 28 du RGPD. Elle ne traite les donnees personnelles que sur instruction documentee du Client, sauf obligation legale contraire.
2.2 Duree
Le present DPA prend effet a la date de souscription aux services et reste en vigueur pendant toute la duree du Contrat principal.
A l'expiration ou a la resiliation du Contrat principal, ZEVRA procede a la suppression ou a la restitution des donnees personnelles selon les modalites prevues a l'article 9.
ZEVRA ne fait rien avec vos donnees en dehors de ce qui est necessaire pour vous fournir les services. Des la fin du contrat, vos donnees disparaissent — sauf si vous demandez une restitution.
Article 3 — Nature, finalites, types de donnees et categories de personnes
Le tableau ci-dessous decrit les caracteristiques des traitements realises par ZEVRA pour le compte du Client :
| Dimension | Detail |
|---|---|
| Nature des operations | Stockage, analyse, transformation, generation, pseudonymisation, recherche |
| Finalites du traitement | Fourniture des services contractes : analyse de documents juridiques, generation de contenu, recherche juridique, pseudonymisation de pieces, assistance par intelligence artificielle |
| Types de donnees traitees | Identite des parties a des litiges ou actes, donnees de procedure, dossiers juridiques, donnees relatives a des salaries ou a des tiers, coordonnees professionnelles |
| Categories particulieres (art. 9 RGPD) | Infractions et condamnations penales, donnees de sante, donnees syndicales — le Client demeure seul responsable de la liceiete de ces traitements sensibles |
| Categories de personnes concernees | Parties a des procedures judiciaires, clients du Client, salaries, tiers mentionnes dans des actes ou documents juridiques |
Si vos dossiers contiennent des donnees de categories particulieres (donnees de sante, infractions penales, appartenance syndicale — art. 9 RGPD), vous etes seul responsable de la base juridique autorisant leur traitement. ZEVRA ne verifie pas la liceiete de ces traitements et n'est pas en mesure de s'y substituer.
Article 4 — Obligations de ZEVRA
En sa qualite de sous-traitant, ZEVRA s'engage a respecter les huit obligations fondamentales suivantes :
4.1 Instructions documentees
ZEVRA ne traite les donnees personnelles que sur la base d'instructions documentees du Client. En l'absence d'instruction, aucun traitement n'est effectue, sauf obligation legale.
4.2 Confidentialite du personnel
ZEVRA veille a ce que les personnes autorisees a traiter les donnees personnelles soient soumises a une obligation de confidentialite appropriee ou soient liees par une obligation legale de confidentialite.
4.3 Mesures de securite
ZEVRA met en oeuvre les mesures techniques et organisationnelles prevues a l'article 5 pour garantir un niveau de securite adapte au risque.
4.4 Sous-traitants ulterieurs
ZEVRA respecte les conditions relatives au recours a des sous-traitants ulterieurs prevues a l'article 6, notamment l'information prealable et le droit d'opposition du Client.
4.5 Aide aux droits des personnes
ZEVRA assiste le Client, dans la mesure du possible, pour l'exercice des droits des personnes concernees : droit d'acces, de rectification, d'effacement, de portabilite, d'opposition.
4.6 Aide securite et conformite
ZEVRA aide le Client a assurer le respect des obligations relatives a la securite, aux analyses d'impact (AIPD) et a la consultation prealable de la CNIL si requise.
4.7 Audits et informations
ZEVRA met a disposition du Client toutes les informations necessaires pour demontrer le respect de ses obligations. Tout audit requiert un preavis ecrit de 30 jours ouvrables.
4.8 Alerte conformite
ZEVRA informe immediatement le Client si, de son point de vue, une instruction viole le RGPD ou toute autre disposition applicable en matiere de protection des donnees.
Article 5 — Mesures de securite
ZEVRA met en oeuvre les mesures suivantes pour assurer la securite, la confidentialite et l'integrite des donnees personnelles traitees.
Mesures techniques
- Chiffrement en transit : toutes les communications sont chiffrees via TLS 1.2 minimum
- Controle d'acces (RBAC) : acces aux donnees limite selon le role et le besoin d'en connaitre
- Journalisation : traçabilite des acces et des operations sur les donnees
- Pseudonymisation : mise en oeuvre dans le cadre de Lexform Pro pour les documents juridiques sensibles
- Separation des environnements : environnements de developpement, test et production strictement isoles
- Sauvegardes chiffrees : copies de securite regulieres avec chiffrement au repos
- Gestion des vulnerabilites : surveillance continue, application des correctifs de securite dans les meilleurs delais
Mesures organisationnelles
- Politique de confidentialite interne : regles internes documentees sur la gestion des donnees personnelles
- Formation du personnel : sensibilisation reguliere aux enjeux de protection des donnees
- Procedure violations : processus formels de detection, d'analyse et de notification des incidents de securite
- Acces limite : principe du moindre privilege applique a l'ensemble des acces aux donnees
- Selection des sous-traitants : evaluation des garanties offertes par les sous-traitants ulterieurs avant tout engagement
Article 6 — Sous-traitants ulterieurs
6.1 Liste actuelle
Le Client autorise ZEVRA a faire appel aux sous-traitants ulterieurs listes en Annexe A. Cette autorisation vaut pour toute la duree du Contrat principal.
6.2 Modification de la liste
Avant tout ajout ou remplacement d'un sous-traitant ulterieur, ZEVRA notifie le Client par ecrit avec un preavis de 30 jours calendaires. Cette notification precise :
- L'identite du nouveau sous-traitant
- Le pays d'etablissement et le lieu de traitement
- La nature des activites sous-traitees
- Le mecanisme de transfert applicable si les donnees quittent l'EEE
Le Client dispose d'un droit d'opposition motive dans le delai de 30 jours. En cas d'opposition non resolue, le Client peut resilier le Contrat sans frais au titre de cette modification.
6.3 Responsabilite de ZEVRA
ZEVRA impose a chaque sous-traitant ulterieur des obligations equivalentes a celles du present DPA en matiere de protection des donnees. ZEVRA demeure pleinement responsable envers le Client du respect de ces obligations par ses sous-traitants ulterieurs.
Si ZEVRA change un fournisseur technique qui touche a vos donnees, vous en etes informe 30 jours a l'avance. Vous pouvez refuser — et si le desaccord persiste, vous pouvez partir sans penalite.
Article 7 — Transferts hors Union europeenne
Certains sous-traitants ulterieurs de ZEVRA sont etablis en dehors de l'Espace economique europeen (EEE), notamment aux Etats-Unis. Ces transferts sont encadres par les mecanismes suivants, conformement au Chapitre V du RGPD :
- Clauses contractuelles types (CCT) adoptees par la Commission europeenne par la decision 2021/914 du 4 juin 2021, applicables a tous les transferts vers des pays tiers sans decision d'adequation
- Data Privacy Framework UE-Etats-Unis (DPF) lorsque le sous-traitant est certifie, en complement des CCT
Le detail des mecanismes de transfert applicables a chaque sous-traitant ulterieur figure dans le tableau de l'Annexe A.
Quand vos donnees passent par des serveurs americains (ex. Anthropic pour les modeles d'IA), des contrats conformes au RGPD s'appliquent. Ces garanties sont imposees avant tout echange de donnees.
Article 8 — Notification des violations de donnees
8.1 Delai de notification
En cas de violation de donnees personnelles, ZEVRA notifie le Client dans un delai de 72 heures apres en avoir pris connaissance, par voie electronique a l'adresse communiquee lors de la souscription.
8.2 Contenu de la notification
La notification contient, dans la mesure du possible au moment de sa transmission, les informations suivantes :
- La nature de la violation : type d'incident, cause probable, vecteur d'attaque identifie
- Les categories et nombre approximatif de personnes concernees
- Les categories et nombre approximatif d'enregistrements de donnees personnelles en cause
- Les consequences probables de la violation
- Les mesures prises ou envisagees pour remedier a la violation et en attenuer les effets
- Les coordonnees du point de contact chez ZEVRA
8.3 Communication echelonnee
Lorsque toutes les informations ne sont pas disponibles dans le delai de 72 heures, ZEVRA peut communiquer les informations de maniere echelonnee, sans retard injustifie, en precisant les raisons du retard.
8.4 Responsabilite du Client
Il appartient au Client, en sa qualite de Responsable du traitement, d'evaluer si la violation doit etre notifiee a l'autorite de controle competente (CNIL) et/ou aux personnes concernees, conformement aux articles 33 et 34 du RGPD.
Si quelque chose tourne mal avec vos donnees, vous etes prevenu en moins de 72 heures avec tout ce qu'on sait. C'est vous qui decidez ensuite si la CNIL et vos clients doivent etre informes.
Article 9 — Sort des donnees a l'issue du contrat
A l'expiration ou a la resiliation du Contrat principal, le Client dispose d'un delai de 30 jours calendaires pour exercer son droit de choix :
- Option 1 — Restitution
- ZEVRA restitue l'integralite des donnees personnelles du Client dans un format structure et couramment utilise (JSON ou CSV), permettant la portabilite vers un autre service.
- Option 2 — Destruction securisee
- ZEVRA procede a la suppression securisee et definitive de toutes les donnees personnelles ainsi que de toutes les copies existantes, et remet au Client une attestation de destruction.
- Option par defaut
- En l'absence de demande expresse dans le delai de 30 jours, ZEVRA procede a la suppression definitive des donnees sans attestation automatique.
- Exception legale
- ZEVRA peut conserver certaines donnees au-dela de ce delai uniquement si une obligation legale ou reglementaire l'y contraint, et pour la duree strictement necessaire au respect de cette obligation.
Quand vous partez, vous choisissez : recupérer vos donnees (format JSON ou CSV) ou les faire effacer avec une attestation. Si vous ne dites rien dans les 30 jours, on efface tout.
Article 10 — Responsabilites
10.1 Responsabilite du Client
Le Client est seul responsable de la conformite des traitements de donnees personnelles qu'il confie a ZEVRA, notamment :
- La determination des bases juridiques des traitements
- L'information et, le cas echeant, le recueil du consentement des personnes concernees
- La liceiete du traitement de categories particulieres de donnees (art. 9 RGPD)
- Le respect des droits des personnes concernees en tant que Responsable du traitement
10.2 Responsabilite de ZEVRA
La responsabilite de ZEVRA en tant que sous-traitant est engagee conformement aux dispositions de l'article 82 du RGPD, dans les limites et conditions prevues a l'article 7.5 des CGVU.
ZEVRA n'est pas responsable des dommages causes par le Client ou par des instructions non conformes au RGPD transmises par le Client.
Article 11 — Droit applicable et competence
Le present DPA est regi par le droit francais, sans prejudice des dispositions imperatives du RGPD applicables dans l'Union europeenne.
En cas de litige relatif a l'interpretation ou a l'execution du present DPA, les parties conviennent d'appliquer les regles de competence definies a l'article 16 des CGVU de ZEVRA.
Le present DPA est redige en langue francaise. En cas de traduction dans une autre langue, la version francaise prevaut.
Annexe A — Liste des sous-traitants ulterieurs
La liste ci-dessous recense les sous-traitants ulterieurs auxquels ZEVRA a recours au moment de la signature du present DPA, conformement a l'article 6.1.
| Sous-traitant | Pays | Activite | Mecanisme de transfert |
|---|---|---|---|
| Vercel Inc. | Etats-Unis | Hebergement et infrastructure d'execution des applications | CCT (2021/914) + DPF UE-USA |
| Anthropic PBC | Etats-Unis | Modeles de langage Claude (inference IA) | CCT (2021/914) |
| OpenAI LLC | Etats-Unis | Modeles de langage GPT (inference IA) | CCT (2021/914) + DPF UE-USA |
| Google LLC | Etats-Unis | Modeles de langage Gemini (inference IA) | CCT (2021/914) + DPF UE-USA |
| DILA | France | API Legifrance — acces en lecture aux textes officiels | UE — aucun transfert hors EEE |
Ces fournisseurs nous permettent de faire tourner les outils IA et d'heberger l'application. Chacun est lie par un contrat garantissant la protection de vos donnees. La DILA (Legifrance) est francaise : vos donnees ne quittent pas l'Europe via ce canal.
Signature et acceptation
Le present DPA est accepte sans reserve par le Client au moment de la souscription aux services Zevra. Cette acceptation en ligne vaut signature electronique au sens de l'article 1366 du Code civil.
Pour les prestations de developpement sur mesure, une signature formelle du present DPA peut etre requise par l'une ou l'autre des parties. Dans ce cas, ZEVRA est representee par :
- Representant
- Alexis Deborde, President de ZEVRA SAS
- contact@zevra.tech
Une question sur ce DPA ou sur la protection de vos donnees ?
ZEVRA SAS — Alexis Deborde, President — Le Pradet (83)