Retour à l’accueilFILTREIA
Document en cours de validation juridique. Ce texte est un projet fondé sur les modèles CNIL et les standards B2B SaaS. Il sera revu par un avocat RGPD partenaire avant publication définitive. Pour toute question pendant cette phase, contactez contact@filtreia.com.

Dernière mise à jour : 30 avril 2026

Accord de sous-traitance (DPA)

Encadre le traitement par Filtreia des données personnelles pour le compte de ses clients, conformément à l'article 28 du RGPD.

Le présent Accord de Sous-Traitance (ci-après le « DPA ») est annexé aux Conditions Générales conclues entre __RAISON_SOCIALE__ (ci-après « Filtreia » ou « le Sous-Traitant  ») et le Client (ci-après le « Responsable du Traitement »). Il définit les obligations respectives des parties au titre de l'article 28 du Règlement (UE) 2016/679 (RGPD).

1. Objet du traitement

ÉlémentDescription
Nature du traitementDétection, alerte et blocage des données sensibles transmises à des services d'IA générative externes par les utilisateurs du Responsable du Traitement
FinalitéConformité RGPD du Responsable du Traitement, prévention des fuites de données, traçabilité documentée pour audit CNIL ou contrôle interne
DuréeDurée du contrat principal (CG)
Catégories de donnéesMétadonnées techniques anonymes (hash de prompt, type de finding, provider, action, timestamp, identifiant machine). Aucun contenu de prompt en clair.Aucun identifiant personnel direct (nom, e-mail).
Catégories de personnes concernéesUtilisateurs (salariés, prestataires) du Responsable du Traitement

2. Engagements du Sous-Traitant

Filtreia s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable du Traitement, y compris pour les transferts hors UE (article 28.3.a RGPD)
  • Garantir la confidentialité en s'assurant que les personnes habilitées à traiter les données s'engagent à la confidentialité ou sont soumises à une obligation légale appropriée (article 28.3.b)
  • Mettre en œuvre les mesures de sécurité requises par l'article 32 RGPD (article 28.3.c) — voir section 4
  • Respecter les conditions de recours à un sous-traitant ultérieur(article 28.3.d) — voir section 5
  • Aider le Responsable du Traitement à répondre aux demandes d'exercice de droits (article 28.3.e) et à respecter ses obligations (article 28.3.f)
  • Restituer ou supprimer les données en fin de contrat selon le choix du Responsable (article 28.3.g)
  • Mettre à disposition les informations nécessaires pour démontrer le respect des obligations et permettre les audits (article 28.3.h)

3. Engagements du Responsable du Traitement

Le Responsable du Traitement s'engage à :

  • Documenter par écrit toute instruction donnée à Filtreia concernant le traitement des données
  • Veiller au respect des obligations qui lui incombent au titre du RGPD, notamment : inscription au registre des traitements (article 30), information préalable du CSE (article L.2312-38 Code du travail), information des personnes concernées (article 13), et réalisation d'une AIPD si requise (article 35)
  • S'assurer que toute instruction donnée à Filtreia respecte le RGPD

4. Sécurité des données

Filtreia met en œuvre les mesures techniques et organisationnelles suivantes (article 32 RGPD) :

  • Chiffrement TLS 1.2+ pour toutes les communications réseau
  • Chiffrement au repos (AES-256) pour la base de données
  • Hash SHA-256 irréversible appliqué aux contenus de prompts (le contenu en clair n'est jamais transmis ni stocké)
  • Cloisonnement multi-tenant par row-level security PostgreSQL — chaque client n'accède qu'à ses propres données
  • Authentification multi-facteurs obligatoire pour les accès administrateur Filtreia
  • Journalisation des accès et opérations sensibles, conservée 12 mois
  • Sauvegardes chiffrées quotidiennes, restauration testée trimestriellement
  • Procédure de notification d'incident conforme aux articles 33-34 RGPD

5. Sous-traitance ultérieure

Filtreia peut faire appel à des sous-traitants ultérieurs pour la fourniture du Service. La liste des sous-traitants ultérieurs autorisés est tenue à jour dans la politique de confidentialité.

Filtreia informe le Responsable du Traitement de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, lui donnant ainsi la possibilité d'émettre des objections motivées dans un délai de 30 jours.

Filtreia impose contractuellement à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles qui lui incombent.

6. Transferts hors Union européenne

Lorsqu'un transfert hors UE est nécessaire (par exemple vers un sous-traitant américain), il est encadré par les Clauses Contractuelles Typesadoptées par la Commission Européenne (décision d'exécution 2021/914 du 4 juin 2021), complétées par les mesures techniques et organisationnelles supplémentaires recommandées par le Comité Européen de la Protection des Données (recommandations 01/2020).

7. Droits des personnes concernées

Filtreia assiste le Responsable du Traitement dans le traitement des demandes d'exercice de droits (accès, rectification, effacement, limitation, portabilité, opposition).

Si une demande est adressée directement à Filtreia, le Sous-Traitant la transmet au Responsable du Traitement dans les meilleurs délais, et au plus tard sous 5 jours ouvrés.

8. Notification de violation de données

En cas de violation de données personnelles (article 4.12 RGPD), Filtreia en informe le Responsable du Traitement dans les meilleurs délais et au plus tard sous 24 heures après en avoir pris connaissance.

La notification précise notamment :

  • La nature de la violation
  • Les catégories et nombre approximatif de personnes concernées
  • Les conséquences probables
  • Les mesures prises ou proposées pour y remédier
  • Le point de contact (DPO Filtreia)

Le Responsable du Traitement reste seul compétent pour décider d'une éventuelle notification à la CNIL (article 33) ou aux personnes concernées (article 34).

9. Audit

Le Responsable du Traitement peut, à ses frais, mener un audit (au plus une fois par an et après préavis de 30 jours) pour vérifier le respect des obligations contractuelles de Filtreia. L'audit ne doit pas perturber l'activité normale de Filtreia ni compromettre la confidentialité des données d'autres clients.

À la demande, Filtreia peut fournir des attestations de conformité (ISO 27001, SOC 2, ou équivalent) en lieu et place d'un audit sur site.

10. Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, Filtreia procède, au choix du Responsable du Traitement :

  • Soit à la restitution des données dans un format standard (JSON ou CSV) sous 30 jours
  • Soit à la suppression irréversible de toutes les données, sauf obligation légale de conservation

Une attestation de restitution ou de suppression est fournie sur demande.

11. Délégué à la Protection des Données

Le DPO de Filtreia est joignable à dpo@filtreia.com.

12. Responsabilité

La responsabilité de Filtreia au titre du présent DPA est encadrée par les dispositions de l'article « Limitation de responsabilité » des Conditions Générales.

13. Droit applicable

Le présent DPA est régi par le droit français. Tout litige sera soumis aux tribunaux compétents conformément aux Conditions Générales.