Accord de traitement des données (DPA)
Arc OS — Modèle conforme à l'Art. 28 du RGPD
Version : 1.0
Date : 2026-05-28
Ticket : #166
Statut : Modèle — compléter les espaces réservés avant signature
Mode d'emploi : remplacez tous les
[PLACEHOLDERS]par les valeurs réelles. Les deux parties signent et datent. Conservez une copie signée dans vos dossiers. Révisez chaque année ou lorsque Arc OS met à jour sa liste de sous-traitants ultérieurs.
Accord
Le présent Accord de traitement des données (« DPA ») est conclu entre :
Responsable du traitement (Client) :
Dénomination sociale : [CUSTOMER LEGAL NAME]
Numéro d'immatriculation : [REG NUMBER]
Adresse : [REGISTERED ADDRESS]
Contact (protection des données) : [DPO EMAIL OR RESPONSIBLE PERSON]
(le « Responsable du traitement »)
Sous-traitant :
Arc OS, exploité par [ARC OS LEGAL ENTITY — pending registration]
Adresse : [REGISTERED ADDRESS — pending e-Residency / Diia.City]
Contact : [email protected]
(le « Sous-traitant »)
Les parties ont conclu un Contrat-cadre de services (« MSA ») / un abonnement à arc-os.co en date du [DATE OF MSA] (le « Contrat principal »), en vertu duquel le Sous-traitant fournit des services de gestion d'effectifs IA (les « Services »).
Le présent DPA complète le Contrat principal et en fait partie intégrante. En cas de conflit entre le présent DPA et le Contrat principal, le présent DPA prévaut pour les questions relatives à la protection des données.
1. Définitions
| Terme | Signification |
|---|---|
| Données à caractère personnel | Toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'Art. 4(1) du RGPD |
| Traitement | Toute opération effectuée sur des Données à caractère personnel, telle que définie à l'Art. 4(2) du RGPD |
| Personne concernée | Personne physique dont les Données à caractère personnel sont traitées |
| Sous-traitant ultérieur | Tiers engagé par le Sous-traitant pour traiter des Données à caractère personnel pour le compte du Responsable du traitement |
| RGPD | Règlement général sur la protection des données de l'UE 2016/679 |
| Clauses contractuelles types (CCT) | Décision de la Commission européenne 2021/914/UE |
2. Objet et durée
2.1 Le Sous-traitant traite des Données à caractère personnel pour le compte du Responsable du traitement dans le cadre des Services décrits dans le Contrat principal.
2.2 Le présent DPA prend effet à la date du Contrat principal et reste en vigueur jusqu'à la résiliation du Contrat principal ou jusqu'à ce que le DPA soit remplacé par une version révisée signée par les deux parties.
3. Nature, finalité et catégories de traitement
3.1 Nature du traitement :
Collecte, stockage, consultation, transmission, suppression de Données à caractère personnel dans le cadre de l'exploitation de la plateforme de gestion d'effectifs IA Arc OS.
3.2 Finalité :
Fournir au Responsable du traitement l'orchestration d'agents IA, la gestion de projets et des sessions IA à contexte persistant telles que décrites dans le Contrat principal.
3.3 Catégories de Données à caractère personnel :
| Catégorie | Exemples | Obligatoire ? |
|---|---|---|
| Identifiants de compte | Adresse email, ID OAuth (Google/GitHub) | ✅ Obligatoire |
| Données d'authentification | Mot de passe haché (bcrypt), tokens JWT | ✅ Obligatoire |
| Données d'utilisation | Consommation de tokens IA, durées de sessions | ✅ Obligatoire |
| Logs d'activité | Événements projet, activité des tickets | ✅ Obligatoire |
| Contenu des chats | Messages de conversations IA (chiffrés au repos) | ✅ Obligatoire |
| Événements d'authentification | Horodatages de connexion, adresse IP, user agent | ✅ Obligatoire |
| Données d'utilisateurs finaux soumises par le Responsable du traitement | Dépend du cas d'usage du Responsable du traitement | ⚠️ Responsabilité du Responsable du traitement |
3.4 Catégories de Personnes concernées :
Employés, prestataires ou utilisateurs du Responsable du traitement auxquels celui-ci accorde l'accès à Arc OS.
4. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
4.1 Traiter les Données à caractère personnel uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de Données à caractère personnel vers un pays tiers, à moins qu'il n'y soit tenu par le droit de l'Union ou d'un État membre auquel le Sous-traitant est soumis (auquel cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, sauf si ce droit interdit une telle information pour des motifs importants d'intérêt public).
4.2 Veiller à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
4.3 Prendre toutes les mesures requises en vertu de l'Art. 32 du RGPD (sécurité technique et organisationnelle), notamment :
- Chiffrement AES-256-GCM des messages de chat au repos
- Authentification JWT HMAC-SHA256 avec TTL de 24 h
- E2EE zero-knowledge via WebCrypto PBKDF2 pour les champs sensibles
- TLS 1.2+ pour toutes les données en transit
- Contrôles d'accès et barrières d'authentification sur tous les endpoints API
- Sauvegardes quotidiennes automatisées avec vérification d'intégrité
- Revues de sécurité annuelles et tests d'intrusion
4.4 Respecter les conditions de recours à des Sous-traitants ultérieurs (voir la Section 6).
4.5 Assister le Responsable du traitement pour garantir le respect des obligations du RGPD relatives à la sécurité (Art. 32), à la notification des violations (Art. 33–34), aux analyses d'impact relatives à la protection des données (Art. 35–36) et à la consultation préalable (Art. 36), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.
4.6 Au choix du Responsable du traitement, supprimer ou restituer toutes les Données à caractère personnel à l'issue des Services, et supprimer les copies existantes, à moins que le droit de l'Union ou d'un État membre n'exige leur conservation.
4.7 Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'Art. 28 du RGPD, et permettre la réalisation d'audits et d'inspections, et y contribuer, effectués par le Responsable du traitement ou un auditeur tiers mandaté par celui-ci (avec préavis raisonnable, au plus une fois par an, aux frais du Responsable du traitement).
4.8 Notifier au Responsable du traitement, sans délai injustifié après en avoir pris connaissance, toute Violation de données à caractère personnel — dans les 72 heures dans la mesure du possible — à l'adresse : [CONTROLLER DPO EMAIL].
5. Obligations du Responsable du traitement
Le Responsable du traitement s'engage à :
5.1 S'assurer qu'il dispose d'une base juridique (Art. 6 du RGPD) pour le traitement des Données à caractère personnel transmises au Sous-traitant.
5.2 Fournir au Sous-traitant des instructions claires et complètes concernant le traitement des Données à caractère personnel.
5.3 S'assurer que les Personnes concernées ont été informées du traitement de leurs Données à caractère personnel (ou qu'une autre base juridique s'applique) avant de soumettre leurs données à Arc OS.
5.4 Ne pas donner instruction au Sous-traitant de traiter des catégories particulières de données (Art. 9 du RGPD) — données de santé, données biométriques, origine raciale, etc. — sans accord préalable explicite et garanties appropriées.
6. Sous-traitants ultérieurs
6.1 Le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale de recourir aux sous-traitants ultérieurs listés en Annexe B.
6.2 Le Sous-traitant notifie au Responsable du traitement tout changement envisagé concernant les sous-traitants ultérieurs (ajouts ou remplacements) par email à [CONTROLLER DPO EMAIL] avec un préavis de 14 jours, donnant au Responsable du traitement la possibilité de s'y opposer.
6.3 Le Sous-traitant impose par contrat à tous les sous-traitants ultérieurs des obligations de protection des données équivalentes à celles prévues dans le présent DPA.
6.4 Le Sous-traitant demeure pleinement responsable envers le Responsable du traitement de l'exécution des obligations des sous-traitants ultérieurs.
7. Transferts internationaux
7.1 Les Données à caractère personnel sont traitées sur des serveurs situés dans l'Union européenne (Contabo GmbH, Munich, Allemagne ; Hetzner Online GmbH, Gunzenhausen, Allemagne).
7.2 Lorsque des sous-traitants ultérieurs traitent des données en dehors de l'EEE, le Sous-traitant garantit la mise en place de garanties appropriées, notamment les Clauses contractuelles types (CCT) conformément à la Décision de la Commission 2021/914/UE ou des décisions d'adéquation au titre de l'Art. 45 du RGPD.
7.3 Le Responsable du traitement autorise les transferts internationaux de données décrits en Annexe B, sous réserve des garanties qui y sont énumérées.
8. Droits des Personnes concernées
8.1 Le Sous-traitant assiste le Responsable du traitement dans le traitement des demandes des Personnes concernées (Art. 15–22 du RGPD) — accès, rectification, effacement, limitation, portabilité, opposition — via :
GET /api/auth/export— portabilité des données, Art. 20 du RGPD (limité à 3/24 h)DELETE /api/auth/account— droit à l'effacement, Art. 17 du RGPD (cascade sur 15+ tables)
8.2 Le Sous-traitant ne répond pas directement aux demandes des Personnes concernées pour le compte du Responsable du traitement sans autorisation préalable, sauf pour accuser réception et rediriger vers le Responsable du traitement.
9. Responsabilité et indemnisation
9.1 Chaque partie est responsable des dommages causés par un traitement contraire au RGPD, conformément à l'Art. 82 du RGPD.
9.2 Le Sous-traitant est exonéré de responsabilité s'il prouve qu'il n'est nullement responsable du fait qui a provoqué le dommage.
9.3 La responsabilité totale du Sous-traitant au titre du présent DPA est limitée aux montants payés par le Responsable du traitement au titre du Contrat principal au cours des 12 mois précédant le fait générateur de la réclamation.
10. Droit applicable et juridiction
Le présent DPA est régi par le droit de [GOVERNING LAW — e.g. EU / EE / DE]. Les litiges sont réglés devant [JURISDICTION].
Signatures
| Responsable du traitement | Sous-traitant | |
|---|---|---|
| Nom | [AUTHORISED SIGNATORY] |
[ARC OS REPRESENTATIVE] |
| Fonction | [TITLE] |
[TITLE] |
| Date | [DATE] |
[DATE] |
| Signature | _________________ | _________________ |
Annexe A — Résumé des détails du traitement
| Champ | Valeur |
|---|---|
| Objet | Plateforme de gestion d'effectifs IA |
| Durée | Durée du Contrat principal |
| Nature | Collecte, stockage, consultation, suppression |
| Finalité | Orchestration d'agents IA, contexte projet persistant |
| Types de données | Compte, authentification, utilisation, activité, chat (chiffré) |
| Personnes concernées | Employés / utilisateurs finaux du Responsable du traitement |
Annexe B — Sous-traitants ultérieurs autorisés
| Sous-traitant ultérieur | Finalité | Localisation | Garantie |
|---|---|---|---|
| Contabo GmbH | Hébergement serveur principal (API, DB) | Munich, DE 🇩🇪 | Basé dans l'UE, pas de transfert |
| Hetzner Online GmbH | Hébergement de conteneurs cloud (Starter Cloud) | Nuremberg, DE 🇩🇪 | Basé dans l'UE, pas de transfert |
| Cloudflare, Inc. | CDN, protection DDoS, DNS | US 🇺🇸 | CCT (2021/914/UE) |
| Resend, Inc. | Email transactionnel (auth, invitations) | US 🇺🇸 | CCT |
| Anthropic, PBC | Inférence de modèles IA (API Claude — crédits d'essai uniquement) | US 🇺🇸 | CCT + DPA avec Anthropic |
| Backblaze, Inc. | Stockage de sauvegardes DB hors site | US 🇺🇸 | CCT |
Note : le Client apporte sa propre clé API Anthropic (Claude Pro). Dans ce cas, Anthropic est le sous-traitant ultérieur du Client, pas celui d'Arc OS.
Annexe C — Mesures techniques et organisationnelles (TOM)
| Mesure | Mise en œuvre |
|---|---|
| Chiffrement au repos | AES-256-GCM pour les messages de chat et les secrets du vault |
| Chiffrement en transit | TLS 1.2+ imposé via nginx ; HSTS activé |
| E2EE | WebCrypto PBKDF2 (100k itérations) → clé maîtresse AES-256-GCM en sessionStorage |
| Authentification | JWT HMAC-SHA256 (TTL 24 h), hachage de mots de passe bcrypt |
| Contrôle d'accès | Garde canAccessProject() par projet sur chaque route API |
| Sécurité API | En-têtes CSP, X-Frame-Options: DENY, nosniff, Permissions-Policy |
| Réseau interne | Le serveur API n'écoute que sur 127.0.0.1 ; nginx en proxy |
| Sauvegarde | Sauvegardes quotidiennes automatisées ; contrôle d'intégrité (PRAGMA integrity_check) ; upload hors site |
| Détection de violations | Journalisation des événements d'auth ; fail2ban sur SSH ; alertes d'anomalies prévues (#223) |
| Suppression de données | Suppression en cascade Art. 17 du RGPD sur 15+ tables ; cron de rétention des données |
| Journal d'audit | Tables immuables activity_log + platform_audit_log |
| Tests d'intrusion | Objectif de revue annuelle ; sprint Sentinel Phase 53 terminé en 2026-05 |
| Accès à la prod | Clé SSH uniquement ; pas d'auth par mot de passe ; MFA sur GitHub |