Accord de traitement des données (DPA)
Document de référence
Ceci est l'accord de traitement des données par défaut, EU-first de niil (art. 28 RGPD), fourni pour votre examen. Pour le service niil hébergé (niil.ai / app.niil.ai), le Sous-traitant est Gradient Zero Deutschland GmbH (gzero.ai), qui fournit la version contraignante. Pour un déploiement auto-hébergé, l'organisation qui exploite l'instance est le Sous-traitant et fournit la version contraignante — avec son entité juridique exploitante, ses coordonnées et les éventuelles valeurs propres au déploiement — revue par un conseil qualifié. Cette page ne constitue pas un avis juridique.
Art. 28 RGPD · Version 1.0
Cet accord régit le traitement des données à caractère personnel par le Sous-traitant (pour le service niil hébergé, Gradient Zero Deutschland GmbH, gzero.ai ; pour un déploiement auto-hébergé, l'entité qui exploite votre instance niil) pour le compte du Client (vous) lors de l'utilisation de niil (les « Services »). Il complète l'accord principal et prévaut sur celui-ci pour les questions de traitement des données à caractère personnel.
1. Objet & rôles
Le Sous-traitant traite les données à caractère personnel pour le compte du Client uniquement pour fournir les Services, et seulement sur instructions documentées du Client (y compris via les fonctionnalités du Service). Lorsque le Client est lui-même sous-traitant, le Sous-traitant agit en qualité de sous-traitant ultérieur.
2. Nature, finalité & durée
- Finalité — la fourniture d'un service de chat sécurisé et de chat documentaire multi-modèles.
- Nature du traitement — stockage, récupération, transmission à des sous-traitants ultérieurs d'IA pour l'inférence, et suppression.
- Durée — la durée de l'accord principal ; le traitement prend fin à la résiliation conformément au §8.
3. Catégories de personnes concernées & de données (Annexe 1)
- Personnes concernées — les utilisateurs autorisés du Client et les personnes mentionnées dans le contenu qu'ils soumettent.
- Types de données — noms et adresses e-mail ; le contenu des chats et des documents téléversés ; les métadonnées d'utilisation et de facturation.
- Catégories particulières — uniquement si soumises par les utilisateurs du Client ; le Client est responsable de la base légale.
4. Instructions du Client
Le Sous-traitant ne traite les données à caractère personnel que sur instructions documentées et informe le Client si une instruction semble enfreindre le droit de la protection des données. Le Sous-traitant n'utilise pas les données du Client pour entraîner des modèles d'IA et contracte, lorsque cela est pris en charge, la Zero Data Retention avec les sous-traitants ultérieurs d'IA (voir Zero Data Retention).
5. Sous-traitants ultérieurs
Le Client accorde une autorisation générale de recourir aux sous-traitants ultérieurs répertoriés dans l'annexe Sous-traitants ultérieurs. Le Sous-traitant impose à chacun des obligations de protection des données équivalentes, notifie au Client les changements envisagés au moins 15 jours à l'avance et permet une objection motivée.
6. Transferts internationaux
Le traitement a lieu au sein de l'UE/EEE. Tout transfert vers un pays tiers repose sur une décision d'adéquation, les clauses contractuelles types de l'UE ou une autre garantie du chapitre V. Les points d'inférence sont ancrés régionalement à l'UE — voir Souveraineté & résidence UE.
7. Mesures techniques & organisationnelles
Le Sous-traitant maintient les mesures figurant dans les Mesures techniques & organisationnelles, y compris le chiffrement AES-256-GCM au repos, le TLS en transit, l'isolation des locataires, l'accès selon le moindre privilège et la journalisation d'audit. Les mesures peuvent être remplacées par des mesures équivalentes ou plus strictes.
8. Assistance, notification de violation, audit
- Le Sous-traitant assiste le Client pour les demandes des personnes concernées — le Service offre l'export d'accès et l'effacement en libre-service — et pour les obligations des art. 32 à 36.
- Le Sous-traitant notifie le Client sans retard injustifié après avoir eu connaissance d'une violation de données à caractère personnel.
- Le Sous-traitant met à disposition les informations nécessaires pour démontrer la conformité et autorise des audits (au plus une fois par an avec un préavis raisonnable, ou via des certifications et rapports lorsqu'ils sont disponibles).
9. Suppression & restitution
À la résiliation, le Sous-traitant supprime ou restitue les données du Client au choix du Client dans un délai de 30 jours, sous réserve des obligations légales de conservation. La suppression inclut l'effacement cryptographique des contenus chiffrés — voir Chiffrement.
10. Responsabilité & durée
La responsabilité suit l'accord principal. Cet accord prend effet avec l'accord principal et se termine lorsque le traitement prend fin.
Annexes : Annexe 1 (détails du traitement — §3 ci-dessus), Annexe 2 (Sous-traitants ultérieurs), Annexe 3 (Mesures techniques & organisationnelles — TOM).