Contrat de Sous-Traitance

• « Données Clients » — les données personnelles que le Client ou ses utilisateurs autorisés téléchargent, saisissent ou génèrent dans le Service, notamment les entrées d'inventaire de systèmes d'IA, les éléments de check-list, les documents, les réponses aux questionnaires fournisseurs, les conversations avec l'assistant et les journaux d'audit.
• « Données personnelles », « Personne concernée », « Traitement », « Responsable du traitement », « Sous-traitant », « Sous-traitant ultérieur », « Autorité de contrôle » et « Violation de données à caractère personnel » ont le sens que leur donne le RGPD (Règlement (UE) 2016/679).
• « CCT » — les Clauses Contractuelles Types adoptées par la Commission européenne (Décision d'exécution (UE) 2021/914), telles que modifiées ou remplacées.
• « Service » — le workspace de conformité Complair tel que décrit dans le Contrat.

Le Client est Responsable du traitement des Données Clients. Complair est Sous-traitant. Complair traite les Données Clients uniquement pour fournir le Service et tel que décrit plus avant dans le présent DPA.

Pour les données personnelles collectées directement par Complair (données d'inscription, de facturation, journaux techniques), Complair agit en qualité de Responsable autonome. Ce traitement est régi par notre Politique de confidentialité.

• Complair traite les Données Clients uniquement sur instructions documentées du Client, telles qu'énoncées dans le présent DPA et le Contrat.
• Si Complair estime qu'une instruction enfreint le RGPD ou toute autre loi applicable en matière de protection des données, il en informe sans délai le Client.
• Le Client peut émettre des instructions complémentaires raisonnables et conformes au Contrat en écrivant à privacy@complair.eu.
• Complair n'utilise pas les Données Clients à ses propres fins — notamment pour entraîner des modèles d'apprentissage automatique — sauf instruction expresse du Client.

Complair met en œuvre et maintient des mesures techniques et organisationnelles appropriées pour protéger les Données Clients, notamment :

• Chiffrement — TLS 1.2+ en transit ; AES-256 au repos (base de données, sauvegardes, stockage d'objets).
• Authentification — mots de passe hachés avec bcrypt ; jetons de session limités au workspace ; authentification à deux facteurs optionnelle.
• Contrôle d'accès — accès fondé sur les rôles (politiques Pundit) ; contrôleurs limités au tenant et certains garde-fous modèle via acts_as_tenant ; accès à privilège minimal pour le personnel Complair.
• Infrastructure — hébergement chez Hetzner à Francfort, Allemagne (UE). Serveurs durcis, filtrés et mis à jour régulièrement.
• Sauvegardes — sauvegardes quotidiennes chiffrées avec procédures de restauration testées ; rotation hors stockage froid sous 35 jours.
• Supervision — journalisation centralisée, alertes d'anomalies, analyse des dépendances et supervision des erreurs (Sentry, UE).
• Personnel — vérification des antécédents, accords de confidentialité, formation annuelle de sensibilisation à la sécurité pour l'ensemble du personnel ayant accès aux Données Clients.

Une description plus détaillée de notre posture de sécurité est disponible sur notre page Sécurité.

Le Client autorise Complair à recourir aux sous-traitants ultérieurs listés ci-dessous. Chacun est lié par un contrat écrit de sous-traitance imposant des obligations au moins aussi protectrices que celles du présent DPA.

Modifications des sous-traitants ultérieurs

• Complair informera le Client au moins 30 jours avant l'ajout ou le remplacement d'un sous-traitant ultérieur, par e-mail à l'adresse du propriétaire du workspace.
• Si le Client s'y oppose pour des motifs raisonnables de protection des données, les parties rechercheront de bonne foi une alternative. À défaut de solution dans les 30 jours, le Client pourra résilier sans pénalité le composant de Service concerné.
• Complair demeure pleinement responsable des actes et omissions de ses sous-traitants ultérieurs comme des siens.

Les Données Clients sont stockées à Francfort, Allemagne (UE). Lorsqu'un sous-traitant ultérieur est situé hors de l'EEE (voir section 6), Complair s'assure qu'un mécanisme de transfert adéquat est en place :

• Clauses Contractuelles Types (Module 3 : sous-traitant à sous-traitant ultérieur) adoptées par la Commission européenne.
• Mesures supplémentaires — chiffrement en transit et au repos, minimisation des données, restrictions contractuelles concernant l'accès des autorités et analyses d'impact de transfert.

Des copies des CCT signées sont disponibles sur demande à privacy@complair.eu.

Compte tenu de la nature du traitement, Complair aide le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir ses obligations relatives à :

• Répondre aux demandes d'accès, de rectification, d'effacement, de portabilité, de limitation et d'opposition des personnes concernées (articles 15 à 22 du RGPD).
• Réaliser des analyses d'impact sur la protection des données et des consultations préalables le cas échéant (articles 35 et 36 du RGPD).
• Se conformer aux obligations relatives à la sécurité du traitement (article 32 du RGPD).
• Notifier les violations de données à caractère personnel (articles 33 et 34 du RGPD).

Lorsque l'assistance requiert un effort substantiel dépassant le support courant, Complair peut facturer des coûts raisonnables aux tarifs de prestations en vigueur, convenus à l'avance.

• Complair met à la disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA et permet et contribue à des audits, y compris des inspections, menés par le Client ou par un auditeur mandaté.
• Les audits sont réalisés avec un préavis raisonnable (au moins 30 jours), pendant les heures ouvrables, pas plus d'une fois par an, et sous réserve d'obligations raisonnables de confidentialité.
• Lorsque Complair dispose de certifications SOC 2 Type II, ISO 27001 ou équivalentes en cours de validité, il peut proposer ces rapports en alternative à un audit sur site. Le Client peut les accepter à sa discrétion.

• Durant l'abonnement, le Client peut exporter ses données à tout moment via les fonctionnalités d'export intégrées au Service (PDF, Excel, JSON).
• À la résiliation du Contrat, Complair conservera les Données Clients pendant 30 jours pour permettre un export final, puis les supprimera définitivement de tous les systèmes de production.
• Les sauvegardes chiffrées contenant des Données Clients sortent du stockage froid dans les 35 jours suivant la suppression en production.
• Lorsque la conservation est imposée par la loi (p. ex. les factures en vertu du droit comptable roumain — Loi n° 82/1991), les données concernées seront isolées et protégées, puis supprimées à l'expiration de la période de conservation.

La responsabilité totale et cumulée de chaque partie découlant du présent DPA ou s'y rapportant est soumise aux limitations de responsabilité énoncées dans le Contrat. Le présent DPA ne limite pas la responsabilité d'une partie pour manquement à ses obligations de confidentialité ni pour faute intentionnelle.

Le présent DPA prend effet à la date à laquelle le Client accepte le Contrat et reste en vigueur tant que Complair traite des Données Clients. Les sections qui, par leur nature, doivent survivre (définitions, suppression, responsabilité, confidentialité) survivent à la résiliation.

Questions sur le présent DPA, demandes de copie contresignée ou questions relatives à la protection des données :