RGPD · AI Act · Art. 28Accord de Traitement
des Données (DPA)
Dernière mise à jour : 1er mars 2026 · Conforme RGPD Art. 28 & AI Act UE 2024/1689
Ce DPA est conclu entre CoreCtic AI SAS (sous-traitant) et vous (responsable du traitement). Il encadre le traitement des données personnelles effectué par CoreCtic AI dans le cadre de la fourniture du service de proxy IA analytique, conformément à l'article 28 du RGPD et au Règlement européen sur l'IA (AI Act).
Article 1 — Objet et parties
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre : • Le Responsable du traitement : toute personne physique ou morale, autorité publique, service ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (ci-après « le Client »). • Le Sous-traitant : CoreCtic AI SAS, société par actions simplifiée, dont le siège social est situé en France, immatriculée au RCS de Paris (ci-après « CoreCtic AI »). Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation (CGU) acceptées par le Client lors de la création de son compte. Il encadre le traitement des données personnelles effectué par CoreCtic AI pour le compte du Client dans le cadre de la fourniture du service de proxy IA analytique.
Article 2 — Nature du traitement
CoreCtic AI traite les données personnelles pour le compte du Client aux fins suivantes : • Acheminement des requêtes API du Client vers les fournisseurs d'intelligence artificielle tiers (OpenAI, Anthropic, Google, Mistral, etc.) • Enregistrement des métadonnées d'usage (modèle utilisé, nombre de tokens, coût, latence, timestamp) • Application des règles de filtrage configurées par le Client (guardrails, mots bloqués, détection de PII) • Mise en cache sémantique des réponses pour réduire les coûts du Client • Génération de statistiques et rapports d'utilisation accessibles via le dashboard • Déclenchement des alertes de coût configurées par le Client Ce traitement est réalisé uniquement sur instruction du Client, conformément à l'article 28 du RGPD.
Article 3 — Catégories de données traitées
Dans le cadre du service, CoreCtic AI est susceptible de traiter les catégories de données personnelles suivantes : • Données d'identification : nom, prénom, adresse email, dénomination sociale, numéro SIRET • Données d'usage API : prompts envoyés aux modèles IA (si le Client n'a pas désactivé l'option « Log des prompts »), réponses générées, nombre de tokens, coût en USD, modèle utilisé, timestamp • Données techniques : adresse IP pseudonymisée (hachée SHA-256 — jamais stockée en clair), User-Agent, identifiants de session et de requête • Données de facturation : coordonnées de facturation, historique des transactions (traitées par Stripe) Les données relatives aux personnes physiques contenues dans les prompts relèvent de la responsabilité exclusive du Client. CoreCtic AI ne contrôle pas le contenu des prompts et ne peut en garantir l'absence de données personnelles.
Article 4 — Durée du traitement
Le présent DPA s'applique pendant toute la durée de la relation contractuelle entre le Client et CoreCtic AI. À l'expiration ou résiliation du contrat, CoreCtic AI s'engage à : • Supprimer ou anonymiser l'intégralité des données personnelles du Client dans un délai de 30 jours • Remettre au Client, sur demande formulée avant expiration du délai, une copie de ses données dans un format standard (JSON ou CSV) • Conserver uniquement les données nécessaires au respect des obligations légales et comptables (jusqu'à 10 ans pour les données de facturation, conformément au Code de commerce) Durant l'exécution du contrat, les logs d'usage sont conservés 24 mois glissants. Les guardrails logs (incidents de filtrage) sont supprimés après 90 jours. Les notifications sont purgées après 30 jours.
Article 5 — Obligations de CoreCtic AI (Sous-traitant)
CoreCtic AI s'engage à : • Traiter les données personnelles uniquement sur instruction documentée du Responsable du traitement • Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité • Prendre toutes les mesures de sécurité appropriées (article 32 du RGPD) • Ne pas recruter un autre sous-traitant sans autorisation préalable écrite du Responsable du traitement, sauf pour les sous-traitants listés à l'Article 6 • Aider le Responsable du traitement, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées • Aider le Responsable du traitement à s'acquitter des obligations prévues aux articles 32 à 36 du RGPD • Notifier toute violation de données personnelles dans un délai de 72 heures après en avoir pris connaissance • Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA • Permettre la réalisation d'audits et y contribuer
Article 6 — Sous-traitants ultérieurs
Le Client autorise CoreCtic AI à faire appel aux sous-traitants ultérieurs suivants dans le cadre de la fourniture du service : • Supabase Inc. — Hébergement de la base de données (serveurs AWS EU-West-1, Francfort). DPA disponible. • Vercel Inc. — Hébergement de l'application Next.js (CDN mondial, serveurs EU disponibles). DPA disponible. • Stripe Inc. — Traitement des paiements. Certifié PCI-DSS niveau 1. DPA disponible. • Tinybird S.L. — Analytique temps réel (ClickHouse managé, serveurs AWS EU-West-1). DPA disponible. • Upstash Inc. — Cache Redis et base vectorielle (serveurs EU disponibles, clauses contractuelles types UE-USA). DPA disponible. • Cloudflare Inc. — Infrastructure proxy Edge (réseau mondial, DPA et clauses SCC disponibles). • Fournisseurs IA tiers (OpenAI, Anthropic, Google, Mistral, etc.) — Ces fournisseurs reçoivent les prompts du Client uniquement dans le cadre de l'exécution des requêtes. Chaque fournisseur dispose de ses propres politiques de traitement des données. En cas de modification de cette liste, CoreCtic AI informera le Client par email avec un préavis de 30 jours. Le Client pourra s'y opposer dans ce délai.
Article 7 — Mesures de sécurité (Art. 32 RGPD)
CoreCtic AI met en œuvre les mesures techniques et organisationnelles suivantes : • Chiffrement des données en transit : HTTPS/TLS 1.3 sur toutes les communications • Chiffrement des données sensibles au repos : clés API tierces chiffrées avec AES-256-GCM (HKDF-SHA256, vecteur d'initialisation unique par chiffrement) • Pseudonymisation des IPs : adresses IP stockées sous forme de hash SHA-256 irréversible • Contrôle d'accès par ligne : Row Level Security (RLS) Supabase — chaque utilisateur ne peut accéder qu'à ses propres données • Séparation des rôles : rôle proxy_worker limité en écriture seule sur usage_logs • Authentification multifacteur disponible pour les comptes administrateurs • Journalisation des accès : toutes les actions critiques sont enregistrées dans audit_logs • Tests de sécurité réguliers : revue de code, tests de pénétration annuels • Plan de continuité : sauvegardes automatiques Supabase, RPO < 1 heure • Détection PII : filtrage automatique des données personnelles dans les prompts (configurable par le Client)
Article 8 — Transferts hors Union Européenne
CoreCtic AI s'efforce de maintenir le traitement des données au sein de l'Union Européenne. Certains sous-traitants (Cloudflare, Upstash, Vercel) peuvent effectuer des transferts vers des pays tiers (notamment les États-Unis) dans le cadre de leur infrastructure. Ces transferts sont encadrés par : • Les clauses contractuelles types (CCT/SCC) adoptées par la Commission européenne le 4 juin 2021 • Les garanties supplémentaires requises post-arrêt Schrems II • Le cadre EU-US Data Privacy Framework (DPF) lorsque le sous-traitant y est certifié Sur demande, CoreCtic AI peut fournir au Client la liste détaillée des transferts hors UE et les mécanismes de protection applicables.
Article 9 — Droits des personnes concernées
Le Client, en qualité de Responsable du traitement, est seul responsable de répondre aux demandes d'exercice de droits formulées par les personnes concernées (droit d'accès, rectification, effacement, portabilité, opposition, limitation). CoreCtic AI met à disposition du Client les outils suivants pour faciliter l'exercice de ces droits : • Export des données (API GET /api/gdpr/export) — format JSON structuré • Suppression du compte et anonymisation des logs (API DELETE /api/gdpr/delete) • Accès aux décisions automatisées (API GET /api/gdpr/ai-decisions) — conformément à l'article 22 RGPD • Désactivation du logging des prompts (paramètre « Log des prompts » dans Profil → Paramètres) En cas de demande reçue directement par CoreCtic AI de la part d'une personne concernée, CoreCtic AI s'engage à en informer le Client sans délai et à lui transférer la demande.
Article 10 — Notification des violations de données
En cas de violation de la sécurité des données personnelles au sens de l'article 4(12) du RGPD, CoreCtic AI s'engage à : • Notifier le Client dans un délai de 72 heures après en avoir pris connaissance • Fournir dans la notification : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les données compromises, les conséquences probables et les mesures prises • Coopérer pleinement avec le Client pour les démarches auprès des autorités compétentes (CNIL) La notification sera effectuée à l'adresse email du compte administrateur du Client enregistré sur la plateforme.
Article 11 — Conformité AI Act
CoreCtic AI agit en qualité de déployeur de systèmes d'IA au sens du Règlement européen sur l'intelligence artificielle (AI Act — Règlement UE 2024/1689), applicable à partir d'août 2026. Dans ce cadre, CoreCtic AI s'engage à : • Ne pas utiliser les données des Clients pour entraîner ses propres modèles d'IA • Informer les utilisateurs finaux lorsque le contenu est généré par un système d'IA (via l'interface et les métadonnées de l'API) • Mettre à disposition les logs de décisions automatisées (conformément aux droits d'explication) • Appliquer les guardrails de filtrage de contenus illicites configurés par le Client • Maintenir un journal des incidents de guardrails à des fins d'auditabilité Le Client, en tant qu'opérateur déployant des systèmes d'IA auprès de ses utilisateurs finaux, est responsable du respect des obligations qui lui incombent au titre de l'AI Act.
Article 12 — Audit et conformité
Le Client a le droit de vérifier le respect par CoreCtic AI de ses obligations au titre du présent DPA. À cet effet : • CoreCtic AI met à disposition les informations nécessaires sur demande écrite à privacy@corectic.ai • Le Client peut mandater un auditeur tiers indépendant, à ses frais, avec un préavis de 30 jours ouvrés • CoreCtic AI peut satisfaire à cette obligation d'audit en fournissant des certifications ou rapports d'audit reconnus (ISO 27001, SOC 2 Type II) lorsqu'ils sont disponibles
Article 13 — Loi applicable et juridiction
Le présent DPA est soumis au droit français et au droit européen, notamment le RGPD (Règlement UE 2016/679) et, dès son entrée en vigueur, le Règlement sur l'IA (AI Act — Règlement UE 2024/1689). Tout litige relatif à l'interprétation ou à l'exécution du présent DPA sera soumis à la compétence exclusive des tribunaux de Paris, sauf disposition impérative contraire du droit applicable. En cas de conflit entre le présent DPA et les CGU, les dispositions du DPA prévalent en ce qui concerne le traitement des données personnelles. Dernier mise à jour : 1er mars 2026.
Acceptation du DPA
En créant un compte ou en utilisant le service CoreCtic AI, le Client accepte les termes du présent DPA. Cette acceptation est enregistrée avec un horodatage dans notre système de conformité. Pour toute question relative à ce DPA, contactez notre Délégué à la Protection des Données : privacy@corectic.ai