Accord de Traitement des Données (DPA)
Conformément à l’article 28 du Règlement (UE) 2016/679 (RGPD)
Version 1.0 — Avril 2026
Ce DPA est signé séparément avec chaque Client professionnel utilisant Audityo. Il constitue une condition indispensable à l’accès au Service. Pour obtenir la version PDF signable, contactez privacy@audityo.eu.
Parties
Le Responsable du traitement(ci-après « le Responsable ») :
- Nom/Raison sociale : ___________________________
- Adresse : ___________________________
- Numéro d’entreprise : ___________________________
- Représenté par : ___________________________
- Email DPO/Contact RGPD : ___________________________
Le Sous-traitant(ci-après « Audityo ») :
- AInspiration, division de Distr’Action SRL
- BCE 0462.122.648
- Rue de Mons 35, 7041 Enghien, Belgique
- Contact RGPD : privacy@audityo.eu
Ensemble désignés « les Parties ».
Article 1 — Objet et durée
1.1Le présent Accord de Traitement des Données (ci-après « DPA ») définit les conditions dans lesquelles Audityo, en qualité de sous-traitant au sens de l’article 4(8) du RGPD, traite des données à caractère personnel pour le compte du Responsable dans le cadre de la fourniture du Service audityo.eu.
1.2Le présent DPA entre en vigueur à la date de signature et demeure en vigueur pendant toute la durée de l’abonnement au Service, et jusqu’à la suppression complète des données conformément à l’article 9 ci-dessous.
Article 2 — Nature et finalité des traitements
2.1 Audityo traite les données à caractère personnel uniquement pour les finalités suivantes, selon les instructions documentées du Responsable :
| Catégorie de données | Finalité | Base légale côté Responsable |
|---|---|---|
| Données d’identification (nom, email, fonction) | Gestion des comptes utilisateurs | Exécution du contrat |
| Données relatives aux Systèmes IA audités | Génération des rapports d’audit | Exécution du contrat / Intérêt légitime |
| Données de journal (logs d’accès) | Sécurité et maintenance | Intérêt légitime |
| Données de facturation | Gestion comptable | Obligation légale |
2.2Audityo ne traite pas de catégories particulières de données au sens de l’article 9 du RGPD dans le cadre du Service, sauf instruction expresse et documentée du Responsable.
2.3 Audityo ne traite pas les données à des fins propres, notamment à des fins de marketing direct, de profilage commercial ou de revente à des tiers.
Article 3 — Obligations d’Audityo en qualité de sous-traitant
Audityo s’engage à :
3.1 Ne traiter les données à caractère personnel que sur instruction documentée du Responsable, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf obligation légale contraire.
3.2 Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée.
3.3Mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l’article 32 du RGPD, incluant notamment :
- Chiffrement des données en transit (TLS 1.2 minimum) et au repos (AES-256) ;
- Contrôle d’accès basé sur les rôles (RBAC) avec authentification forte ;
- Journalisation des accès et des traitements ;
- Plan de reprise d’activité et de continuité (RTO 4h, RPO 24h) ;
- Tests de sécurité réguliers (au minimum annuels).
3.4 Respecter les conditions applicables au recours à un autre sous-traitant (voir Article 5).
3.5Tenir compte de la nature du traitement et aider le Responsable, dans la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées.
3.6 Aider le Responsable à garantir le respect des obligations découlant des articles 32 à 36 du RGPD (sécurité, notification de violations, AIPD, consultation préalable).
3.7 Selon le choix du Responsable, supprimer toutes les données à caractère personnel ou les renvoyer au Responsable au terme de la prestation de services relatifs au traitement, et détruire les copies existantes.
3.8 Mettre à la disposition du Responsable toutes les informations nécessaires pour apporter la preuve du respect des obligations du présent article et contribuer aux audits, y compris les inspections, réalisés par le Responsable ou un autre auditeur mandaté.
Article 4 — Localisation des données
4.1L’ensemble des données à caractère personnel traitées dans le cadre du Service sont hébergées et traitées exclusivement au sein de l’Union Européenne, chez Hostinger International Ltd, avec des centres de données en Lituanie (UE).
4.2Aucun transfert de données vers un pays tiers hors UE/EEE n’est effectué sans l’accord préalable écrit du Responsable et la mise en place des garanties appropriées au sens du Chapitre V du RGPD.
4.3 Exception :Audityo utilise l’API Claude d’Anthropic pour la génération des analyses. Anthropic est certifié dans le cadre du mécanisme de transfert applicable (Clauses Contractuelles Types de la Commission européenne). Un DPA est conclu avec Anthropic préalablement à tout envoi de données (voir Article 5).
Article 5 — Sous-traitants ultérieurs
5.1Audityo est autorisé à recourir aux sous-traitants ultérieurs suivants pour l’exécution du Service :
| Sous-traitant | Rôle | Localisation | Garantie transfert |
|---|---|---|---|
| Hostinger International Ltd | Hébergement infrastructure | Lituanie (UE) | Hébergement UE |
| Anthropic PBC | API de génération IA (Claude) | USA | CCT Commission UE + DPA Anthropic |
| Stripe Inc. (si applicable) | Paiement en ligne | UE/USA | CCT Commission UE |
5.2Audityo informera le Responsable de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants ultérieurs, donnant ainsi au Responsable la possibilité d’émettre des objections.
5.3En cas d’objection justifiée du Responsable, Audityo s’efforcera de trouver une solution alternative. À défaut, chaque partie pourra résilier le présent DPA avec un préavis de 30 jours.
Article 6 — Droits des personnes concernées
6.1Audityo s’engage à transmettre au Responsable, sans délai et au plus tard dans les 5 jours ouvrables, toute demande reçue directement de personnes concernées relative à l’exercice de leurs droits (accès, rectification, effacement, opposition, portabilité, limitation).
6.2Audityo n’est pas autorisé à répondre directement aux demandes des personnes concernées, sauf instruction expresse du Responsable.
Article 7 — Violation de données à caractère personnel
7.1 Audityo notifiera au Responsable toute violation de données à caractère personnel dans les meilleurs délais et, dans la mesure du possible, 72 heures au plus après en avoir pris connaissance.
7.2 La notification comprendra au minimum :
- la description de la nature de la violation ;
- les catégories et le nombre approximatif de personnes concernées et d’enregistrements affectés ;
- les coordonnées du point de contact ;
- les conséquences probables de la violation ;
- les mesures prises ou envisagées pour remédier à la violation.
7.3Il appartient au Responsable d’évaluer si la violation doit être notifiée à l’autorité de contrôle compétente (APD en Belgique) et/ou aux personnes concernées.
Article 8 — Audit et contrôle
8.1 Le Responsable a le droit de procéder, à sa charge et après préavis de 30 jours ouvrables, à des audits ou inspections des traitements effectués par Audityo, ou de mandater un auditeur tiers à cet effet.
8.2Audityo peut refuser un audit dont la fréquence, le périmètre ou les modalités seraient déraisonnables ou incompatibles avec les obligations de confidentialité vis-à-vis d’autres clients, et proposera alors des mesures alternatives équivalentes.
8.3 Audityo mettra à disposition du Responsable, sur demande, son registre de traitement pertinent et tout document attestant de sa conformité RGPD.
Article 9 — Durée de conservation et suppression des données
9.1Audityo conserve les données à caractère personnel pendant la durée de l’abonnement actif.
9.2À l’expiration ou résiliation de l’abonnement :
- Les données sont conservées 30 jours supplémentaires pour permettre une éventuelle réactivation ;
- Passé ce délai, les données sont supprimées de manière sécurisée dans les 30 jours suivants, sauf obligation légale de conservation.
9.3 Sur demande expresse du Responsable, Audityo peut procéder à la suppression anticipée des données dans un délai de 15 jours ouvrables.
9.4 Audityo délivre une attestation de suppression sur demande du Responsable.
Article 10 — Responsabilité
10.1 Chaque partie est responsable de ses propres manquements aux obligations du présent DPA et du RGPD.
10.2La responsabilité d’Audityo au titre du présent DPA est soumise aux limitations prévues à l’Article 7 des CGV.
Article 11 — Droit applicable et juridiction
Le présent DPA est régi par le droit belge. Tout litige relatif à son interprétation ou son exécution sera soumis aux tribunaux de l’arrondissement judiciaire de Mons.
Article 12 — Signatures
Pour le Responsable du traitement :
- Nom : ___________________________
- Fonction : ___________________________
- Date : ___________________________
- Signature : ___________________________
Pour Audityo (AInspiration / Distr’Action SRL) :
- Nom : ___________________________
- Fonction : ___________________________
- Date : ___________________________
- Signature : ___________________________
Ces éléments sont informatifs et ne remplacent pas un avis juridique professionnel.