Retour à l'accueil

Accord de traitement des données

Dernière mise à jour : mars 2026

1. Champ d'application

Le présent Accord de traitement des données (« DPA ») fait partie intégrante du contrat entre le client (« Responsable du traitement ») et Amphelyx (« Sous-traitant ») et s'applique au traitement des données personnelles dans le cadre du Service.

Le présent DPA est conclu en application de l'article 28 du Règlement général sur la protection des données (RGPD).

2. Détails du traitement des données

  • Finalité : fourniture des services de plateforme IA tels que décrits dans le contrat de service.
  • Nature du traitement : stockage, récupération, vectorisation et inférence IA sur les documents téléchargés et les interactions de chat.
  • Catégories de personnes concernées : employés et utilisateurs autorisés du Responsable du traitement.
  • Types de données personnelles : noms, adresses e-mail, documents téléchargés par les utilisateurs, messages de chat et résultats générés par l'IA.
  • Durée : pendant la durée du contrat de service, plus la période de conservation des données.

3. Mesures de sécurité

Amphelyx met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des données au repos (AES-256) et en transit (TLS 1.3).
  • Contrôle d'accès basé sur les rôles avec le principe du moindre privilège.
  • Inférence LLM sur nos propres serveurs européens par défaut — les données ne sont envoyées à des fournisseurs d'IA tiers que si le Responsable de traitement le configure explicitement.
  • Évaluations de sécurité et analyses de vulnérabilités régulières.
  • Journalisation d'audit de tous les accès aux données et activités de traitement.
  • Contrôles de sécurité physique dans les installations des centres de données (UE et Suisse).

Si le Responsable de traitement configure un fournisseur d'IA tiers (par ex. OpenAI, Anthropic, Google), les requêtes et les résultats générés par l'IA peuvent être traités par ce fournisseur. Dans ce cas, le fournisseur agit en tant que sous-traitant ultérieur supplémentaire et le Responsable de traitement est responsable de s'assurer d'une base juridique adéquate pour le transfert.

4. Sous-traitants ultérieurs

Pour notre offre hébergée dans le cloud, nous faisons appel aux sous-traitants ultérieurs suivants, tous situés au sein de l'Union européenne ou en Suisse :

  • Fournisseur d'infrastructure : hébergement cloud européen pour les serveurs et les bases de données (UE et Suisse).
  • Supabase : services d'authentification (région UE).

Pour les déploiements auto-hébergés, aucun sous-traitant ultérieur n'est impliqué — toutes les données restent sur l'infrastructure du Responsable du traitement.

5. Droits des personnes concernées

Amphelyx assistera le Responsable du traitement dans la réponse aux demandes des personnes concernées exerçant leurs droits au titre du RGPD (accès, rectification, effacement, portabilité, limitation et opposition).

6. Notification de violation de données

En cas de violation de données personnelles, Amphelyx notifiera le Responsable du traitement dans les meilleurs délais, et en tout état de cause dans les 48 heures suivant la prise de connaissance de la violation, en fournissant toutes les informations nécessaires pour que le Responsable du traitement puisse remplir ses obligations de notification au titre de l'article 33 du RGPD.

7. Suppression des données

À la fin du contrat de service, Amphelyx supprimera ou restituera toutes les données personnelles au Responsable du traitement dans un délai de 30 jours, sauf si la conservation est requise par la loi applicable.

8. Contact

Pour demander une copie signée de ce DPA ou pour discuter de questions relatives au traitement des données, veuillez utiliser notre formulaire de contact.