Logo Deciris
DECIRIS
Tous les documentsEn vigueur: 12-02-2026

Accord de traitement des données

Documents juridiques officiels de Deciris.

Accord de Traitement des Données (DPA)

Dernière mise à jour : 12/02/2026

1. Préambule

Le présent Accord de Traitement des Données (« DPA ») fait partie intégrante des Conditions Générales d'Utilisation (« CGU ») et, le cas échéant, de tout contrat spécifique signé entre les Parties (ensemble, le « Contrat Principal ») conclus entre Deciris (SASU) (« Sous-traitant ») et le ClientResponsable de Traitement »).

La présente Annexe définit les conditions dans lesquelles Deciris effectue, pour le compte du Client, des Opérations de Traitement dans le cadre de la fourniture du Service. En cas de contradiction entre les dispositions du Contrat Principal et celles du présent DPA, les dispositions du présent DPA prévaudront.

En souscrivant ou en utilisant le Service, le Responsable de Traitement accepte le présent DPA. Ce DPA s'applique dans la mesure où le Sous-traitant traite des Données Personnelles pour le compte du Responsable de Traitement dans le cadre de la fourniture du Service.

2. Définitions

  • « Analyse d'impact relative à la protection des données » ou « AIPD » : Désigne une analyse d'impact relative à la protection des données au sens de l'article 35 du RGPD.
  • « Autorité de contrôle » : Désigne une autorité publique indépendante chargée de contrôler l'application de la Règlementation Applicable, notamment la CNIL en France.
  • « Clauses Contractuelles Types » ou « CCT / SCC » : Désigne les clauses contractuelles types adoptées par la Commission Européenne permettant d'encadrer certains transferts de Données Personnelles vers des pays tiers.
  • « Données Personnelles » : Désigne toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD.
  • « Espace Économique Européen » ou « EEE » : Désigne les États membres de l'Union européenne ainsi que l'Islande, le Liechtenstein et la Norvège.
  • « Utilisateurs Autorisés » : Désigne les personnes autorisées par le Client à accéder au Service, notamment ses employés et prestataires.
  • « Violation de Données Personnelles » : Désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données Personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données Personnelles, au sens de l'article 4(12) du RGPD.
  • « Règlementation Applicable » : Désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (« RGPD »), la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés », ainsi que toute disposition légale ou règlementaire en vigueur en France relative à la protection des Données Personnelles.
  • « Opérations de Traitement » ou « Traitement » : Désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la consultation, l'utilisation ou la destruction.
  • « Personne Concernée » : Désigne une personne physique identifiée ou identifiable sur laquelle portent les Opérations de Traitement réalisées dans le cadre du Service.
  • « Responsable de Traitement » : Désigne le Client, qui détermine les finalités et les moyens du Traitement.
  • « Sous-traitant » : Désigne Deciris, lorsqu'elle traite des Données Personnelles pour le compte du Client.
  • « Sous-traitant Ultérieur » : Désigne tout autre sous-traitant engagé par Deciris pour mener des activités de traitement spécifiques pour le compte du Client.
  • « Service » : Le logiciel en tant que service (SaaS) fourni par Deciris tel que défini dans le Contrat Principal.

3. Détails du Traitement

  • Objet : Mise à disposition de l'application web Deciris pour la création de modèles, la réalisation d'inspections et l'analyse des résultats.
  • Durée :
    • Traitements pour le compte du Client : La durée du Contrat Principal.
    • Après la fin du Contrat Principal : Sous réserve de l'Article 4.8, le Sous-traitant procède à la restitution ou à la suppression des Données Personnelles traitées pour le compte du Client dans un délai raisonnable, en principe dans les trente (30) jours, étant précisé que :
      • des copies résiduelles peuvent subsister dans des sauvegardes pendant une période limitée, jusqu'à leur écrasement selon le cycle de sauvegarde applicable ; et
      • certains journaux techniques et de sécurité strictement nécessaires (notamment journaux d'authentification, d'accès administrateur et d'export) peuvent être conservés pendant une durée limitée, en principe jusqu'à trois (3) ans, sauf obligation légale applicable ou contentieux.
  • Nature et Finalités :
    • Fourniture du Service : Stockage, récupération et calcul de données pour la création de modèles, réalisation d'inspections et génération de rapports à la demande du Client.
    • Assistance à la création/modification de modèles (IA) : À la demande d'un Utilisateur Autorisé, génération et/ou modification de modèles (checklists, questionnaires, etc.) à partir d'instructions fournies par l'Utilisateur Autorisé, pouvant inclure du texte libre et, le cas échéant, le contenu d'un fichier téléversé (ex : PDF), aux seules fins de création/modification de modèles. Le Service n'a pas vocation à analyser les réponses des Participants via cette fonctionnalité.
    • Gestion du Contrat : Gestion administrative, commerciale et financière de la relation avec le Client.
  • Catégories de Personnes Concernées :
    • Utilisateurs Autorisés du Client (employés, prestataires).
    • Participants (répondants) invités par le Client à remplir des questionnaires, y compris lorsque le Client diffuse un lien d'accès au questionnaire auprès d'un public plus large (grand public).
  • Types de Données Personnelles :
    • Données d'identification (Nom, adresse email, adresse IP, identifiants de connexion).
    • Données professionnelles (Intitulé du poste, organisation).
    • Toute autre donnée personnelle incluse par le Responsable de Traitement ou les Participants dans les champs de texte libre des questionnaires.
    • Toute donnée personnelle potentiellement incluse par un Utilisateur Autorisé dans les instructions (texte libre) et/ou dans un fichier téléversé (ex : PDF) dans le cadre de la fonctionnalité d'assistance à la création/modification de modèles (IA).

L'utilisation du Service par le Client pour des finalités ou types de données autres que ceux figurant dans le présent article est strictement interdite sans un accord écrit préalable et un contrat spécifique conclu avec Deciris. Le Client s'engage notamment à respecter les restrictions sectorielles définies dans les CGU (ex: données bancaires ou médicales spécifiques). Deciris décline toute responsabilité en cas de manquement du Client à cette interdiction.

4. Obligations du Sous-traitant

4.1. Instructions de Traitement Le Sous-traitant ne traitera les Données Personnelles que sur instructions documentées du Responsable de Traitement (ce qui inclut le Contrat Principal et l'utilisation des fonctionnalités du Service), à moins d'y être tenu par le droit applicable. Dans ce cas, le Sous-traitant informera le Responsable de Traitement de cette obligation légale avant le traitement, sauf interdiction légale. Le Sous-traitant informera le Responsable de Traitement si, selon lui, une instruction constitue une violation du RGPD.

4.2. Confidentialité Le Sous-traitant garantit que les personnes autorisées à traiter les Données Personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.

4.3. Mesures de Sécurité (Article 32) Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures comprennent :

  • Le chiffrement des données en transit (TLS/SSL) et au repos (volumes de stockage chiffrés).
  • Des contrôles d'accès et une authentification pour le personnel du Sous-traitant.
  • Des sauvegardes régulières et des procédures de reprise après sinistre.
  • Des tests et évaluations réguliers de l'efficacité des mesures de sécurité.

Toutefois, compte-tenu de la nature même du réseau public qu'est l'Internet, le Responsable de Traitement reconnaît et accepte que la sécurité absolue des transmissions via Internet et l'intégrité totale des Données Personnelles ne peuvent être garanties, malgré toutes les précautions prises.

4.4. Sous-traitance ultérieure Le Responsable de Traitement accorde une autorisation générale au Sous-traitant pour engager des Sous-traitants ultérieurs.

  • Sous-traitants ultérieurs actuels :
    • DigitalOcean (hébergement / infrastructure, Amsterdam, Pays-Bas).
    • MongoDB Atlas (base de données et sauvegardes, Paris, France).
    • Agora (vidéoconférence intégrée au Service : flux audio/vidéo et métadonnées associées, notamment adresses IP et identifiants techniques ; Agora ne stocke pas durablement les flux et ne conserve les données de streaming qu'à des fins de mise en cache pour la transmission).
    • Mailjet (envoi d'emails, traitement au sein de l'UE uniquement sur Google Cloud, régions Francfort (Allemagne) et Saint-Ghislain (Belgique)).
    • Anthropic (fournisseur d'IA : traitement des instructions fournies par les Utilisateurs Autorisés et, le cas échéant, du contenu d'un fichier téléversé (ex : PDF) aux seules fins de génération/modification de modèles ; pays de traitement : États-Unis ; transferts encadrés par CCT/SCC).
  • Changements : Le Sous-traitant informera le Responsable de Traitement de tout changement prévu concernant l'ajout ou le remplacement de Sous-traitants ultérieurs. Le Responsable de Traitement dispose d'un délai de dix (10) jours à compter de cette information pour formuler ses objections par écrit. L'absence d'objection dans ce délai vaut acceptation tacite du nouveau Sous-traitant ultérieur.
  • Droit de résiliation : En cas d'objection légitime du Responsable de Traitement ne permettant pas la poursuite du Service, Deciris se réserve le droit de résilier le Contrat par simple notification écrite, sans indemnisation.
  • Responsabilité : Le Sous-traitant demeure pleinement responsable à l'égard du Responsable de Traitement de l'exécution des obligations du Sous-traitant ultérieur.

4.5. Droits des Personnes Concernées Le Client en tant que Responsable de Traitement est le point de contact principal auprès des Personnes Concernées pour l'exercice de leurs droits. Compte tenu de la nature du traitement, le Sous-traitant aidera le Responsable de Traitement, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (par ex. accès, rectification, effacement).

4.6. Assistance à la Conformité Le Sous-traitant aidera le Responsable de Traitement à respecter ses obligations en matière de sécurité du traitement, de notification des violations de données et d'analyses d'impact relatives à la protection des données (AIPD), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.

Toute demande d'assistance excédant les obligations légales du Sous-traitant ou modifiant les instructions initiales pourra faire l'objet d'un devis spécifique préalable. Deciris se réserve notamment le droit de facturer au Client la réalisation de prestations d'assistance pour toute demande excessive, répétitive ou disproportionnée.

4.7. Violations de Données Le Sous-traitant notifiera le Responsable de Traitement sans délai injustifié après avoir pris connaissance d'une Violation de Données Personnelles affectant les données du Responsable de Traitement et, si possible, dans un délai de soixante-douze (72) heures. Sauf instructions contraires du Responsable de Traitement, le Sous-traitant adresse cette notification par email au(x) contact(s) désigné(s) par le Responsable de Traitement pour les communications contractuelles et/ou de sécurité.

Cette notification contiendra, si possible :

  • La description de la nature de la Violation ;
  • Les catégories et le nombre approximatif de Personnes Concernées ;
  • Les catégories et le nombre approximatif d'enregistrements de Données Personnelles concernés.

Le Responsable de Traitement est responsable de la notification de la Violation à la CNIL (ou toute autre autorité de contrôle compétente) dans les meilleurs délais et, si possible, au plus tard 72 heures après en avoir pris connaissance. Il lui appartient également d'informer les Personnes Concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

4.8. Suppression ou Restitution des Données Au choix du Responsable de Traitement, le Sous-traitant supprimera ou renverra toutes les Données Personnelles au Responsable de Traitement après la fin de la prestation de services.

  • Modalités générales : Les données sont restituées dans un format standard (notamment format texte et/ou tableur, ou formats structurés tels que CSV/JSON, ainsi que les médias associés le cas échéant). Toute demande de conversion dans un format complexe pourra faire l'objet d'un devis préalable.
  • Portée (données exportables) : Les Données stockées par le Service et exportables sur demande incluent notamment : (a) les modèles/templates ; (b) les inspections/questionnaires ; (c) les réponses des Participants ; et (d) les médias associés le cas échéant. Les rapports générés ne sont pas stockés sur les serveurs de Deciris et ne font pas partie des données exportables.
  • Procédure de réversibilité (si demandée par le Client) :
    • Le Client adresse une demande formelle de réversibilité ou de destruction, par courriel avec accusé de réception, dans les vingt (20) jours suivant la date de résiliation ou l'arrivée à son terme du Contrat Principal.
    • La demande précise, pour chaque type de Données, la solution retenue (destruction, transfert, support) au sein d'un plan de réversibilité.
    • Après validation du plan de réversibilité, Deciris procède aux actions de restitution/destruction selon le plan convenu.
    • Les actions sont réalisées dans un délai de trente (30) jours après validation du plan et, en tout état de cause, au plus tard trois (3) mois après la résiliation ou l'arrivée à son terme du Contrat Principal.
    • Une confirmation de traitement est transmise par courriel avec accusé de réception ; les supports éventuels sont fournis sur support numérique exploitable.
  • Destruction : Deciris détruira les copies existantes, à moins que le droit applicable n'exige la conservation d'une archive (voir Article 3) et sous réserve de l'existence de copies résiduelles dans les sauvegardes jusqu'à leur expiration.
  • Sauvegardes (information) : À la date de dernière mise à jour de ce DPA, les sauvegardes MongoDB Atlas sont organisées selon le schéma de rétention suivant : instantanés toutes les 6 heures conservés 7 jours ; instantanés hebdomadaires (chaque samedi) conservés 4 semaines ; instantanés mensuels (dernier jour du mois) conservés 12 mois ; instantané annuel (1er décembre) conservé 1 an. Des niveaux de service différents (par ex. sauvegardes plus fréquentes) peuvent être prévus par contrat spécifique.

4.9. Audits Le Sous-traitant mettra à la disposition du Responsable de Traitement les informations nécessaires pour démontrer le respect de ses obligations et permettra la réalisation d'audits, dans la limite d'un (1) audit par année contractuelle. Toute demande d'audit supplémentaire au-delà de cette limite pourra faire l'objet d'un accord écrit distinct entre les Parties, définissant les modalités et les conditions financières applicables.

  • Conditions de l'Audit : L'audit peut être réalisé par le Responsable de Traitement ou un auditeur indépendant, non concurrent de Deciris, accepté préalablement par cette dernière et soumis à une obligation stricte de confidentialité.
  • Préavis et Déroulement : Un préavis minimum de quinze (15) jours ouvrés est requis. L'audit s'effectue durant les heures d'ouverture de Deciris et ne doit pas perturber son activité. Il n'inclut pas d'accès aux secrets d'affaires, à la R&D ou aux données non liées au présent Contrat.
  • Frais : Le Responsable de Traitement prend à sa charge tous les frais de l'audit et rembourse à Deciris les dépenses et le temps consacré par son personnel à l'assistance de l'audit, au taux de cent (100) euros par heure.

4.10. Délégué à la Protection des Données Deciris communiquera au Responsable de Traitement les coordonnées de son délégué à la protection des données (DPO) si un tel délégué a été désigné ou est requis par la Règlementation Applicable. À défaut, le Responsable de Traitement peut contacter Deciris à l'adresse suivante : rgpd@deciris.app.

5. Transferts Internationaux

Le Sous-traitant stocke les données principalement au sein de l'Espace Économique Européen (EEE).

Dans le cadre de l'exécution du Service, certains Sous-traitants ultérieurs peuvent traiter des Données Personnelles en dehors de l'EEE (par exemple aux États-Unis). Dans ce cas, le Sous-traitant veille à ce que des garanties appropriées soient mises en place conformément à la Règlementation Applicable :

  • la conclusion de Clauses Contractuelles Types (CCT / SCC) ; et/ou
  • l'application d'une décision d'adéquation de la Commission Européenne, le cas échéant.

Sur demande raisonnable du Responsable de Traitement, le Sous-traitant mettra à disposition les informations utiles relatives aux garanties applicables.

À la date de dernière mise à jour de ce DPA, des transferts hors EEE peuvent intervenir via certains Sous-traitants ultérieurs (par ex. Agora et Anthropic) selon les fonctionnalités utilisées et la configuration. Pour ces transferts, le Sous-traitant s'appuie sur les CCT / SCC (et, le cas échéant, sur toute autre garantie applicable prévue par la Règlementation Applicable).

6. Obligations communes des Parties

6.1. Respect de la Règlementation Applicable Chacune des Parties s’engage, pour les Opérations de Traitement dont elle est responsable, à :

  • Effectuer toutes les formalités requises auprès de l’autorité de contrôle compétente (CNIL en France) ;
  • Garantir que les Données Personnelles transmises au Sous-traitant reposent sur une base légale valide et que leur durée de conservation n'est pas expirée au moment de la transmission ;
  • Mettre en œuvre les procédures d’évaluation et de suivi requises (tenue d’un registre, analyses d’impact, etc.) ;
  • Respecter les droits des Personnes Concernées (information, accès, rectification, effacement).

Chacune des Parties tient un registre de toutes les Opérations de Traitement effectuées. Ce registre contient au moins les informations obligatoires requises par la Règlementation Applicable et est mis à disposition de l’autorité de contrôle sur demande.

6.2. Confidentialité et Information Réciproque Chaque Partie considère comme strictement confidentielles toutes les Données Personnelles échangées au titre du Contrat.

Chaque Partie s’engage à informer l’autre Partie dans les meilleurs délais de tout évènement susceptible de constituer une faille de sécurité, un manquement à la Règlementation Applicable ou un risque pour les Personnes Concernées.

6.3. Collaboration Réglementaire En cas de modification de la Règlementation Applicable, les Parties s’engagent à collaborer pour convenir des éventuelles mises à jour nécessaires au présent DPA afin d’en assurer la conformité permanente.

7. Destinataires des Données Personnelles

Dans le cadre de l'exécution du Service, Deciris est susceptible de communiquer des Données Personnelles avec :

  • Personnel Interne : Personnel en charge des services techniques, administratifs et de support, pour les seuls besoins de la fourniture du Service.
  • Services de Contrôle : Commissaires aux comptes ou services chargés des procédures de contrôle interne.
  • Autorités Publiques : Officiers ministériels, administrations ou auxiliaires de justice, uniquement dans le cadre de leurs missions légales ou sur réquisition judiciaire.
  • Mutation de la Société : En cas d'opération de cession (fusion, acquisition, apport partiel d'actifs), les données pourront être transmises aux acquéreurs ou successeurs potentiels sous réserve d'engagements de confidentialité appropriés.
  • Sous-traitants Ultérieurs : Tels que listés à l'Article 4.4.

8. Responsabilité

8.1. Responsabilité de Deciris La responsabilité de Deciris pour les Opérations de Traitement effectuées pour le compte du Client ne peut être engagée que si elle n'a pas respecté les obligations spécifiques aux sous-traitants prévues par la Règlementation Applicable ou qu'elle a agi en dehors ou contrairement aux instructions licites du Client. Deciris est exonérée de responsabilité si elle prouve que le fait provocateur du dommage ne lui est pas imputable.

En tout état de cause, la responsabilité globale de Deciris au titre du présent DPA est limitée conformément aux dispositions du Contrat Principal.

8.2. Indemnisation par le Client Le Client s'engage à indemniser intégralement Deciris de toutes les sommes (incluant les frais de procédure et honoraires d'avocat) que Deciris pourrait être amenée à verser en cas de condamnation ou de sanction administrative résultant :

  • D'un manquement à la Règlementation Applicable dû à une utilisation du Service par le Client non conforme au Contrat ;
  • De la poursuite du traitement conformément aux instructions du Client malgré une alerte de Deciris sur leur caractère potentiellement non-conforme ;
  • De tout préjudice résultant de la communication par le Client de données collectées de manière illicite ou sans information/consentement préalable des Personnes Concernées.

9. Personnalisation pour les Entreprises

Pour les Clients bénéficiant de plans standard, ce DPA s'applique automatiquement. Pour les Clients Entreprise nécessitant des dérogations spécifiques ou des annexes de sécurité personnalisées, un accord écrit distinct ou un avenant peut être négocié et signé, lequel remplacera le présent DPA standard dès sa signature valide.