Data Processing Agreement
Accord de traitement des donnees personnelles au sens de l'article 28 du RGPD.
1. Objet et cadre juridique
Le present accord de traitement des donnees (DPA) est conclu entre le Client (responsable de traitement) et Chatbotaurus S.a r.l. (sous-traitant), conformement a l'article 28 du Reglement (UE) 2016/679 (RGPD).
Ce DPA fait partie integrante des Conditions Generales de Vente et s'applique a tout traitement de donnees personnelles effectue par Chatbotaurus pour le compte du Client.
2. Categories de donnees traitees
| Categorie | Exemples | Base legale |
|---|---|---|
| Identification | Nom, email, identifiant | Execution du contrat |
| Connexion | Logs, IP, user-agent | Interet legitime |
| Contenu metier | Documents, workflows, conversations | Execution du contrat |
| Facturation | Adresse, IBAN (via Mollie) | Obligation legale |
Chatbotaurus ne traite aucune donnee sensible (Art. 9 RGPD) sauf instruction explicite et documentee du Client.
3. Mesures de securite techniques et organisationnelles
Chatbotaurus met en oeuvre les mesures suivantes (Art. 32 RGPD) :
- Chiffrement des donnees en transit (TLS 1.3) et au repos (AES-256)
- Chiffrement de bout en bout (E2E) pour les conversations sensibles
- Cryptographie post-quantique (Kyber768/Dilithium3) pour les donnees a long terme
- Authentification Zero Trust triple (mTLS + JWT + HMAC)
- Gestion des secrets via HashiCorp Vault (Shamir 3/5, AppRole auth)
- Isolation des conteneurs (AppArmor, Seccomp BPF, nftables)
- Journalisation immutable des acces (SecurityAuditLogger + Wazuh)
- Backups quotidiens chiffres avec tests de restauration mensuels
- Controle d'acces base sur les roles (RBAC via Authentik)
- Scan de vulnerabilites continu (Trivy, Suricata IDS, CrowdSec)
4. Sous-traitants ulterieurs
Conformement a l'article 28(2) du RGPD, le Client autorise le recours aux sous-traitants ulterieurs suivants, tous etablis dans l'UE/EEE :
| Sous-traitant | Pays | Fonction |
|---|---|---|
| Hostinger International | Lituanie / Luxembourg | Hebergement infrastructure |
| OVHcloud | France | Services complementaires |
| Scaleway (Iliad) | France | Entrainement IA |
| Hetzner Online | Allemagne | Backups |
| Mollie | Pays-Bas | Paiements |
Tout changement de sous-traitant est notifie au Client 30 jours a l'avance. Le Client dispose d'un droit d'opposition motive.
5. Transferts internationaux
Chatbotaurus ne transfere aucune donnee personnelle en dehors de l'Union Europeenne et de l'Espace Economique Europeen.
Tous les sous-traitants sont etablis dans l'UE/EEE. Aucun service cloud americain (AWS, Azure, GCP) n'est utilise en production.
En cas de necessite future de transfert hors UE (non prevu), les mecanismes de l'article 46 du RGPD seraient mis en oeuvre (clauses contractuelles types, evaluation d'impact du transfert).
6. Notification des violations
En cas de violation de donnees personnelles (Art. 33 RGPD), Chatbotaurus s'engage a :
- Notifier le Client dans les 24 heures suivant la decouverte
- Fournir une description de la nature de la violation
- Communiquer les categories et le nombre approximatif de personnes concernees
- Decrire les mesures prises ou proposees pour remedier a la violation
- Cooperer avec le Client pour la notification a la CNPD (72h) et aux personnes concernees
7. Droits d'audit
Le Client dispose d'un droit d'audit conformement a l'article 28(3)(h) du RGPD :
- Audit annuel sur site ou a distance, avec preavis de 30 jours
- Acces aux rapports d'audit de securite existants (Trivy, pentest)
- Acces aux certifications et attestations de conformite
- Cooperation avec les auditeurs designes par le Client
- Les couts d'audit sont a la charge du Client, sauf en cas de non-conformite averee
Derniere mise a jour : mars 2026. Pour toute question relative au DPA, contactez dpo@chatbotaurus.com.
Besoin d'une reponse immediate ?
Notre assistant MCP est disponible 24/7 pour repondre a vos questions techniques, vous guider dans votre projet ou resoudre vos problemes.