Contrat de sous-traitance
au titre de l'art. 28 RGPD – entre le responsable du traitement et AX1S / AIGOY (sous-traitant)
Responsable du traitement
[Société / Nom][Rue, n°]
[Code postal, Ville], [Pays]
représenté par : [Nom]
« Responsable du traitement »
Sous-traitant
Thomas Brandt, entrepreneur individuelexerçant sous la marque AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hambourg, Allemagne
« Sous-traitant »
§ 1 Objet et durée
Traitement de données à caractère personnel par le sous-traitant pour le compte du responsable du traitement dans le cadre de la fourniture de la plateforme AIGOY (gouvernance de l'IA, gestion des risques et conformité). La durée correspond à celle du contrat principal et prend fin à sa résiliation.
§ 2 Nature, portée et finalité
Fourniture de la plateforme AIGOY et de ses modules (inventaire IA, gestion des risques, gestion des politiques, reporting de conformité, portail du conseil, hub de formation, lancement d'alerte) et préparation assistée par IA des politiques et évaluations des risques par le Compliance CoWorker « Felix » selon le principe du double contrôle. Le traitement est effectué uniquement pour fournir les services et sur la base des instructions documentées du responsable du traitement.
§ 3 Types de données et catégories de personnes concernées
Types de données à caractère personnel (typiques) :
- Données de base / de contact (nom, e-mail professionnel, service, fonction)
- Données d'authentification (mot de passe haché, horodatage de connexion, jeton de session)
- Données d'utilisation et de journalisation de la plateforme (incl. piste d'audit)
- Données de formation / de compétence (progression des modules, certificats)
- Données de contenu saisies par le responsable du traitement (p. ex. politiques, risques, rapports)
Catégories de personnes concernées : les employés, cadres et dirigeants du responsable du traitement, les utilisateurs de la plateforme et, le cas échéant, les tiers dont le responsable du traitement saisit les données dans le cadre de ses processus de conformité.
Les catégories particulières (art. 9 RGPD) ne font pas partie de l'usage prévu ; leur saisie relève de la seule responsabilité du responsable du traitement et doit être évitée.
§ 4 Obligations du sous-traitant
Conformément à l'art. 28, paragraphe 3, RGPD, le sous-traitant s'engage notamment à :
- traiter les données uniquement sur la base des instructions documentées du responsable du traitement (incl. les transferts vers des pays tiers, sauf obligation légale).
- veiller à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité.
- mettre en œuvre les mesures techniques et organisationnelles requises au titre de l'art. 32 RGPD (annexe 1).
- respecter les conditions de recours à d'autres sous-traitants ultérieurs (art. 28, paragraphes 2 et 4) (§ 6, annexe 2).
- aider le responsable du traitement à satisfaire aux droits des personnes concernées (art. 12 à 23).
- aider le responsable du traitement à respecter ses obligations au titre des art. 32 à 36 (sécurité, notification de violation, AIPD).
- supprimer ou restituer les données à caractère personnel à la fin du traitement, au choix du responsable du traitement (§ 10).
- fournir la preuve du respect des obligations et permettre des audits (§ 9).
§ 5 Mesures techniques et organisationnelles (MTO)
Les MTO figurant à l'annexe 1 (art. 32 RGPD) s'appliquent. Les mesures peuvent être adaptées au progrès technique à condition que le niveau de protection ne soit pas réduit.
§ 6 Sous-traitants ultérieurs
Le responsable du traitement accorde une autorisation générale pour les sous-traitants ultérieurs énumérés à l'annexe 2. Le sous-traitant conclut avec eux des accords au titre de l'art. 28 RGPD imposant des obligations équivalentes. Les modifications sont notifiées à l'avance ; le responsable du traitement peut s'y opposer pour des motifs importants liés à la protection des données. Pour les transferts vers des pays tiers, des garanties appropriées s'appliquent (clauses contractuelles types au titre de l'art. 46, paragraphe 2, point c), RGPD, ou cadre de protection des données UE-États-Unis).
§ 7 Droits des personnes concernées
Le sous-traitant aide le responsable du traitement à répondre aux demandes des personnes concernées et lui transmet sans retard indu toute demande qui lui serait directement adressée.
§ 8 Notification des violations de données à caractère personnel
Le sous-traitant notifie au responsable du traitement, sans retard indu après en avoir pris connaissance, toute violation de données à caractère personnel, avec les informations requises au titre de l'art. 33 RGPD, afin que le responsable du traitement puisse satisfaire à ses obligations au titre des art. 33 et 34 RGPD.
§ 9 Droits d'audit et de preuve
La preuve est principalement apportée au moyen d'une documentation appropriée (p. ex. SOC 2 Type II de l'infrastructure utilisée, rapports d'audit, documentation des MTO). Lorsque cela est nécessaire, le sous-traitant permet des audits moyennant un préavis raisonnable et sans perturbation disproportionnée.
§ 10 Suppression et restitution
À la fin du traitement, le sous-traitant supprime ou restitue toutes les données à caractère personnel, au choix du responsable du traitement, et détruit les copies, sauf si une obligation légale de conservation s'applique. La suppression est confirmée sur demande.
§ 11 Responsabilité
La responsabilité est régie par l'art. 82 RGPD et le contrat principal.
§ 12 Dispositions finales
Les modifications requièrent la forme écrite. En cas de conflit, les dispositions du présent contrat relatives à la protection des données prévalent sur le contrat principal. Le droit allemand s'applique.
Nom / fonction
Thomas Brandt
Annexe 1 – Mesures techniques & organisationnelles (art. 32 RGPD)
AIGOY est développé en Allemagne, hébergé en Allemagne et pris en charge depuis l'Allemagne.
| Objectif | Mesure |
|---|---|
| Confidentialité | Chiffrement en transit (TLS 1.2+) et au repos (AES-256) ; Row Level Security (RLS) ; accès basé sur les rôles, selon le principe du moindre privilège. |
| Intégrité | Piste d'audit en INSERT uniquement ; cockpit d'approbation à double contrôle – chaque action d'écriture de Felix ne prend effet qu'après approbation. |
| Disponibilité & résilience | Sauvegardes régulières au sein de la région UE ; infrastructure durcie (Supabase / AWS eu-central-1 Francfort, SOC 2 Type II). |
| Localisation des données | Traitement / stockage dans l'UE (Francfort/Allemagne). Inférence IA : aucun entraînement sur les données ; inférence UE (AWS Bedrock Francfort) en préparation. |
| Séparation | Séparation logique des locataires (tenant_id) appliquée via RLS. |
| Contrôle du recours | Accords au titre de l'art. 28 avec tous les sous-traitants ultérieurs ; CCT/DPF pour les transferts vers des pays tiers. |
Annexe 2 – Sous-traitants ultérieurs approuvés
| Sous-traitant ultérieur | Localisation | Service / finalité | Remarque |
|---|---|---|---|
| IONOS SE | Montabaur, Allemagne 🇩🇪 | Hébergement web | Accord art. 28 |
| Supabase Inc. | AWS eu-central-1, Francfort 🇩🇪 (UE) | Backend, base de données, authentification, Edge Functions | Accord art. 28 ; SOC 2 Type II |
| Anthropic PBC | États-Unis 🇺🇸 | Service IA (modèle Claude) pour les analyses / CoWorker Felix | Aucun entraînement sur les données ; CCT + DPF UE-États-Unis ; accord art. 28 |
| Stripe Payments Europe, Ltd. | Dublin, Irlande 🇮🇪 (UE) | Traitement des paiements | Forfaits Business / Enterprise uniquement |
Dernière mise à jour : mai 2026. Ce modèle constitue un point de départ et ne constitue pas un conseil juridique. Veuillez l'adapter au cas d'espèce et le faire examiner juridiquement avant utilisation. Une liste à jour des sous-traitants ultérieurs est publiée sur la page Confiance & Sécurité.