ACFACF ComplianceAI Governance
ProduitCouvertureACF StandardTarifsDiagnostic FlashContactSe connecter
Démarrer gratuitement
Retour à l'accueil

Data Processing Agreement (DPA)

Dernière mise à jour : 2026-05-17

Le présent DPA est un avenant aux Conditions Générales de Vente. Il régit le traitement des données personnelles par ACF Compliance (Sous-traitant) pour le compte du Client (Responsable de traitement), conformément à l'article 28 du RGPD.

1. Parties

Responsable de traitement : le Client souscripteur d'un plan ACF Compliance. Sous-traitant : Vincent Dorange (Éditeur ACF Compliance), SIREN [à compléter]. DPO : dpo@acf-compliance.com.

2. Objet

Le sous-traitant fournit au responsable les services de gouvernance et conformité IA décrits dans les CGV. Dans ce cadre, le sous-traitant traite des données personnelles pour le compte du responsable.

3. Données concernées et personnes

Catégories de données : données d'identification, données professionnelles, données techniques (logs), données soumises par le responsable (inventaire systèmes IA, fiches, documents). Personnes concernées : collaborateurs du responsable, personnes mentionnées dans les inventaires (sans données sensibles par défaut).

4. Obligations du sous-traitant

Le sous-traitant : (1) traite les données uniquement sur instruction documentée du responsable ; (2) garantit la confidentialité (NDA équipe) ; (3) prend les mesures techniques et organisationnelles de l'art. 32 RGPD ; (4) assiste le responsable pour les demandes des personnes concernées ; (5) notifie toute violation sous 72h ; (6) supprime ou restitue les données en fin de contrat ; (7) tient un registre de ses activités de sous-traitance.

5. Sous-traitants ultérieurs

Le sous-traitant utilise les sous-traitants suivants (liste actualisée sur demande) : Vercel, Supabase, Anthropic, Stripe, Resend, Plausible. Le responsable est informé par email de toute modification 30 jours avant la mise en œuvre.

6. Transferts internationaux

Les transferts hors UE (notamment vers Anthropic USA) sont encadrés par les Clauses Contractuelles Types Commission européenne 2021/914.

7. Audit

Le responsable peut réaliser un audit annuel (sur préavis 30 jours, frais à sa charge), ou s'appuyer sur les certifications du sous-traitant (ISO 27001 / SOC 2 en cours).

8. Fin du contrat

À la fin du contrat, le sous-traitant restitue ou supprime l'ensemble des données personnelles (au choix du responsable) sous 30 jours. Les copies de sauvegarde sont supprimées après 30 jours supplémentaires.

9. Responsabilité

Chaque partie supporte les conséquences de ses propres manquements au RGPD. Le sous-traitant répond des actes de ses sous-traitants ultérieurs.

Data Processing Agreement (DPA) | ACF Compliance