Accord de Sous-Traitance des Données
Data Processing Agreement (DPA) — Article 28 du RGPD — Analivia — analivia.fr
Dernière mise à jour : avril 2026
Le présent Accord de Sous-Traitance des Données (ci-après « DPA ») est conclu entre :
— L'utilisateur du service Analivia (ci-après « le Responsable de traitement »), qui soumet des entretiens au service pour traitement ;
— NPIA Lab, SAS au capital de 1 000 €, SIREN 100 113 141, dont le siège social est situé Boulevard Albert 1er, M3E La Cité Grossetti, 20000 Ajaccio (ci-après « le Sous-traitant »).
Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation (CGU) du service Analivia. Il s'applique automatiquement dès lors que le Responsable de traitement soumet des données contenant des données personnelles au service.
1. Objet et périmètre
1.1 Rôles
Le Responsable de traitement détermine les finalités et les moyens du traitement des données personnelles contenues dans les entretiens qu'il soumet au service. Le Sous-traitant traite ces données uniquement pour le compte du Responsable de traitement, conformément aux instructions documentées de celui-ci et dans le cadre du présent DPA.
1.2 Opérations de traitement
Le Sous-traitant effectue les opérations de traitement suivantes :
- Transcription de fichiers audio en texte via l'API Deepgram Nova-3
- Anonymisation des entités nommées (personnes, lieux, organisations) par remplacement par des tokens neutres
- Envoi du texte anonymisé au modèle de langage Claude (API Anthropic) pour nettoyage, structuration et remplissage de grille
- Restauration des données originales dans les résultats finaux à partir de la table de correspondance
- Stockage des résultats sur les serveurs européens du Sous-traitant
1.3 Catégories de données
Les données personnelles susceptibles d'être traitées incluent :
- Données d'identification des personnes interviewées (noms, prénoms)
- Données de localisation (lieux, adresses)
- Données relatives aux organisations (employeurs, institutions)
- Potentiellement des données sensibles au sens de l'article 9 du RGPD (opinions politiques, données de santé, orientation sexuelle, convictions religieuses, etc.) selon le contenu des entretiens
1.4 Personnes concernées
Les personnes concernées sont les individus dont les données personnelles apparaissent dans les entretiens soumis au service par le Responsable de traitement (personnes interviewées, personnes mentionnées dans les entretiens).
1.5 Durée
Le traitement des données est effectué pour la durée d'utilisation du service par le Responsable de traitement, dans les conditions définies à l'article 4 du présent DPA.
2. Obligations du Sous-traitant
2.1 Instructions documentées
Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, sauf si le droit de l'Union ou le droit de l'État membre auquel le Sous-traitant est soumis l'y oblige.
2.2 Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
2.3 Sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées suivantes :
- Chiffrement des communications (HTTPS / TLS)
- Mots de passe stockés sous forme de hash bcrypt
- Accès aux serveurs restreint par clé SSH
- Base de données non exposée publiquement (accès réseau Docker interne uniquement)
- Anonymisation systématique des entités nommées avant tout envoi de données textuelles au modèle de langage — le LLM ne reçoit jamais de données personnelles réelles
- Table de correspondance (token → donnée réelle) stockée exclusivement sur les serveurs du Sous-traitant, jamais transmise à un tiers
- Sauvegardes régulières chiffrées de la base de données
- Hébergement sur VPS européen (Hostinger, UE)
2.4 Sous-traitants ultérieurs
Le Responsable de traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Traitement | Données transmises | Localisation |
|---|---|---|---|
| Deepgram Inc. | Transcription audio (API Nova-3) | Audio brut | Endpoint européen (api.eu.deepgram.com) |
| Anthropic PBC | Traitement IA (API Claude) | Texte anonymisé uniquement | États-Unis |
| Hostinger International Ltd. | Hébergement VPS | Toutes les données de l'application | Union Européenne |
Le Sous-traitant s'assure que chaque sous-traitant ultérieur présente des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.
En cas de changement de sous-traitant ultérieur, le Sous-traitant en informe le Responsable de traitement au moins quinze (15) jours avant la mise en œuvre du changement. Le Responsable de traitement peut émettre des objections dans ce délai. En cas d'objection non résolue, le Responsable de traitement peut résilier le contrat.
2.5 Transferts hors UE
Les transferts de données hors de l'Union Européenne sont encadrés comme suit :
- Deepgram : l'audio est traité via un endpoint européen (api.eu.deepgram.com). En mode confidentiel, l'option MIP opt-out est activée.
- Anthropic : seul le texte anonymisé (sans données personnelles réelles) est transmis aux serveurs Anthropic (États-Unis). Les transferts sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne, intégrées au DPA d'Anthropic.
2.6 Assistance
Le Sous-traitant aide le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition), dans la mesure du possible et compte tenu de la nature du traitement.
2.7 Notification de violation
En cas de violation de données à caractère personnel au sens de l'article 33 du RGPD, le Sous-traitant notifie le Responsable de traitement dans les meilleurs délais et au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance.
La notification comprend au minimum :
- La nature de la violation (catégories et nombre approximatif de personnes et d'enregistrements concernés)
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets
2.8 Suppression ou restitution
Au terme de la prestation de services, le Sous-traitant supprime ou restitue toutes les données personnelles au Responsable de traitement, selon le choix de celui-ci, et détruit les copies existantes, sauf obligation légale de conservation.
3. Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
- S'assurer qu'il dispose d'une base légale appropriée pour le traitement des données personnelles contenues dans les entretiens soumis au service, et notamment qu'il a recueilli le consentement explicite des personnes interviewées lorsque des données sensibles (article 9 du RGPD) sont traitées
- Fournir au Sous-traitant des instructions licites et conformes au RGPD
- Informer le Sous-traitant de toute contrainte réglementaire spécifique applicable au traitement (exigences d'un comité d'éthique, obligations sectorielles, etc.)
- Vérifier les résultats produits par le service et s'assurer qu'aucune donnée personnelle résiduelle ne subsiste dans les résultats exportés
4. Sort des données en fin de contrat
4.1 Suppression du compte
À la suppression du compte du Responsable de traitement, le Sous-traitant supprime l'ensemble des données personnelles traitées pour le compte du Responsable de traitement dans un délai de trente (30) jours, sauf obligation légale de conservation.
4.2 Données de transaction
Les données de transaction sont conservées pendant la durée légale requise (10 ans pour les obligations comptables), conformément à la Politique de Confidentialité.
4.3 Fichiers audio
Les fichiers audio sont supprimés automatiquement dans les 30 jours suivant la fin du traitement, indépendamment de la durée de vie du compte.
5. Audit
Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'article 28 du RGPD et pour permettre la réalisation d'audits.
Le Responsable de traitement peut, à ses frais, réaliser ou faire réaliser des audits pour vérifier le respect du présent DPA, sous réserve d'un préavis raisonnable de trente (30) jours et dans le respect de la confidentialité des informations du Sous-traitant et de ses autres clients.
6. Responsabilité
Chaque partie est responsable du respect de ses obligations au titre du présent DPA. La responsabilité du Sous-traitant est limitée conformément aux dispositions de l'article 8 des Conditions Générales d'Utilisation.
7. Modification du DPA
Le Sous-traitant se réserve le droit de modifier le présent DPA en cas de changement de la réglementation applicable. Les modifications substantielles seront notifiées au Responsable de traitement par email au moins quinze (15) jours avant leur entrée en vigueur.
8. Contact
Pour toute question relative au présent DPA :
contact@npia-lab.com