← Tous les documents légaux

Data Processing Agreement (DPA)

Accord de sous-traitance RGPD · Version V1 du 7 mai 2026.

Comment l'utiliser :ce DPA s'applique automatiquement à tout abonnement Memvalt souscrit. Il est intégré aux CGV par référence. Pour une signature formelle (audit interne, conformité ISO, secteur réglementé), envoyez la demande à adlaneould@gmail.com — DocuSign sous cinq jours ouvrés.

1. Parties

Le Sous-traitant : Adlane OULD MOHAND, Auto-Entrepreneur, SIRET 904 120 102 00028, 5B Rue Montebello, 94400 Vitry-sur-Seine, France.

Le Responsable de traitement: l'Organisation cliente identifiée par le compte administrateur Memvalt.

2. Objet

Le présent DPA précise les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable, les données à caractère personnel nécessaires à la fourniture du Service Memvalt, conformément à l'article 28 du RGPD.

3. Nature et finalité du traitement

NatureStockage, indexation vectorielle, restitution conversationnelle
FinalitéMémoire structurée d'entreprise consultable par IA
DuréeDurée de l'abonnement + 30 jours de grâce post-résiliation
Catégories de personnesSalariés et collaborateurs du Responsable invités sur le compte
Catégories de donnéesIdentifiants (email, nom), contenu professionnel volontairement saisi par le Responsable, métadonnées techniques

4. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  1. Ne traiter les données que sur instruction documentée du Responsable
  2. Garantir la confidentialité des données et l'engagement de confidentialité de ses sous-traitants
  3. Mettre en œuvre les mesures techniques et organisationnelles décrites en section 7
  4. Aider le Responsable à répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité)
  5. Notifier toute violation de données personnelles dans un délai de 72 heures après en avoir pris connaissance
  6. Supprimer ou restituer les données à la fin du contrat, au choix du Responsable
  7. Mettre à disposition tous les éléments permettant de démontrer le respect des obligations

5. Sous-traitants ultérieurs autorisés

Le Responsable autorise expressément le Sous-traitant à recourir aux sous-traitants ultérieurs suivants. Toute modification de cette liste est notifiée par email avec un préavis de 30 jours, durant lequel le Responsable peut s'opposer en résiliant son abonnement sans pénalité.

Sous-traitantRôleRégion
Vercel Inc.Hébergement applicatifFrankfurt (UE)
Supabase Inc.Base de données + pgvectorFrankfurt (UE)
Clerk Inc.AuthentificationUSA (SCC)
Stripe Inc.PaiementsUSA (SCC)
Anthropic PBCModèle Claude (non utilisé pour entraînement)USA (SCC)
OpenAI LLCModèle GPT-4o + embeddings (non utilisés pour entraînement)USA (SCC)

6. Transferts hors UE

Les transferts vers des sous-traitants hors UE sont encadrés par les Standard Contractual Clauses (SCC) de la Commission Européenne (décision 2021/914) ainsi que par les Data Processing Addendums spécifiques de chaque fournisseur, disponibles sur leurs sites :

7. Mesures de sécurité (Annexe technique)

  • Chiffrement en transit : TLS 1.3 obligatoire
  • Chiffrement au repos : AES-256 sur PostgreSQL Supabase
  • Cloisonnement multi-tenant : Row Level Security PostgreSQL filtré par clerk_org_id
  • Authentification : Clerk avec MFA disponible, sessions JWT signées
  • Sauvegardes : automatiques quotidiennes, rétention 7 jours, restauration testée trimestriellement
  • Logs d'accès : conservés 30 jours
  • Aucun accès humain aux données client sans demande explicite (debug uniquement, traçé)
  • Aucun usage des données pour entraînement de modèles d'IA, contractuellement interdit aux sous-traitants IA

8. Notification des violations

En cas de violation de données à caractère personnel, le Sous-traitant notifie le Responsable par email à l'adresse de l'administrateur du compte sous 72 heures, en précisant : la nature de la violation, les catégories et le volume approximatif de personnes et données concernées, les conséquences probables, les mesures prises ou envisagées pour y remédier.

9. Audit

Le Responsable peut demander, une fois par an et avec un préavis de 30 jours, des éléments de preuve du respect des obligations RGPD (rapports d'audit, attestations de conformité des sous-traitants). Pour les audits sur site, des frais raisonnables peuvent être facturés au Responsable.

10. Sort des données en fin de contrat

Pendant trente (30) jours après la résiliation, le Responsable peut exporter l'intégralité de ses données au format Markdown via le tableau de bord. Au-delà, sauf demande contraire écrite, les données sont supprimées définitivement de tous les systèmes du Sous-traitant et de ses sous-traitants ultérieurs sous 60 jours supplémentaires (purge backups inclus).