Data Processing Agreement

Article 1 — Objet et cadre juridique

Le présent Accord de Traitement des Données (« DPA ») est conclu entre le Client (« Responsable de traitement ») et Say Digital SAS (« Sous-traitant »), en application de l'article 28 du Règlement (UE) 2016/679 (RGPD).

Il définit les conditions dans lesquelles le Sous-traitant traite les données personnelles pour le compte du Responsable de traitement dans le cadre des services Amplify.md.

Article 2 — Définitions

• Responsable de traitement : le Client, qui détermine les finalités et moyens du traitement
• Sous-traitant : Say Digital SAS, qui traite les données pour le compte du Client
• Données personnelles : toute information relative à une personne physique identifiée ou identifiable
• Violation de données : tout incident de sécurité entraînant la destruction, perte, altération ou divulgation non autorisée de données personnelles

Article 3 — Description du traitement

Article 4 — Obligations du sous-traitant

Le Sous-traitant s'engage à :

• Traiter les données uniquement sur instruction documentée du Responsable de traitement
• Garantir la confidentialité des données traitées
• Veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité
• Mettre en œuvre les mesures techniques et organisationnelles appropriées
• Assister le Responsable de traitement dans le respect de ses obligations RGPD

Article 5 — Mesures de sécurité

Article 6 — Sous-traitance ultérieure

Liste exhaustive des sous-traitants ultérieurs :

Article 7 — Transferts hors UE

L'infrastructure est hébergée exclusivement au sein de l'Union européenne (Hetzner, Allemagne). Les seuls transferts hors UE concernent les requêtes LLM vers Anthropic (USA), encadrés par des clauses contractuelles types conformes à la décision de la Commission européenne.

Article 8 — Droits des personnes concernées

Le Sous-traitant assiste le Responsable de traitement dans la réponse aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

Article 9 — Notification de violation

En cas de violation de données personnelles, le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais et au plus tard dans les 72 heures suivant la détection, en précisant la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises.

Article 10 — Droit d'audit

Le Responsable de traitement dispose d'un droit d'audit sur les mesures de sécurité mises en œuvre, exercé par un tiers de confiance indépendant, sous réserve d'un préavis de 30 jours.

Article 11 — Réversibilité

À la fin du contrat, le Sous-traitant procède à l'export complet des données dans un format standard sous 30 jours, puis à leur suppression définitive, sauf obligation légale de conservation.

Article 12 — Durée et résiliation

Le présent DPA prend effet à la date de signature du contrat de services et reste en vigueur pendant toute la durée du traitement. Il prend fin automatiquement à la résiliation du contrat de services.