--- title: "Accord de traitement des données (DPA)" description: "Dernière mise à jour : 30 mai 2026" canonical_url: "https://getminds.ai/legal/fr/dpa" last_updated: "2026-06-24T15:48:10.696Z" --- # Accord de traitement des données (DPA) **Dernière mise à jour : 30 mai 2026** Le présent accord de traitement des données (« DPA ») conclu conformément à l'article 28 du RGPD fait partie intégrante du contrat conclu entre Art of X UG (haftungsbeschränkt) (« Sous-traitant », « nous ») et le Client (« Responsable du traitement », « vous ») pour l'utilisation de nos services (le « Contrat principal »). ## 1. Définitions - **Données à caractère personnel** : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4(1) RGPD). - **Traitement** : toute opération effectuée sur des données à caractère personnel, y compris la collecte, le stockage, l'utilisation et la suppression (art. 4(2) RGPD). - **Sous-traitant ultérieur** : tout tiers engagé par le Sous-traitant pour traiter des données à caractère personnel. - **RGPD** : règlement (UE) 2016/679 (règlement général sur la protection des données). - **Violation de données** : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données à caractère personnel (art. 4(12) RGPD). ## 2. Portée et durée du traitement 2.1 Le présent DPA s'applique à tout traitement de données à caractère personnel par le Sous-traitant pour le compte du Responsable du traitement dans le cadre des services. 2.2 Le Sous-traitant ne traite les données à caractère personnel qu'aux fins de la fourniture des services décrits dans le Contrat principal et conformément aux instructions documentées du Responsable du traitement. 2.3 La durée du traitement correspond à la durée du Contrat principal, sauf obligations supplémentaires découlant des dispositions du présent DPA. ## 3. Détails du traitement des données
Catégorie Description
Objet Fourniture de la plateforme IA "Minds", incluant assistants IA, panels synthétiques, simulations group-grounded, accès API/MCP, extension navigateur/widgets, intégrations, voix/messagerie et services liés
Durée Pendant la durée du Contrat principal
Nature et finalité Hébergement, authentification, stockage, récupération, analyse, simulation et génération de sorties à partir des données du Responsable ; exploitation d'intégrations optionnelles (Google Calendar, API publique/MCP, extraction de sources, messagerie/voix, facturation). Les données du Responsable ne sont pas utilisées pour entraîner des modèles généraux ou accessibles à des tiers sauf opt-in exprès.
Types de données personnelles Contact, identifiants, usage, contenus (texte, images, audio, fichiers, URLs), prompts et sorties, embeddings, clés API, tokens OAuth, métadonnées calendrier/participants, téléphone/messages/appels et audio si activé, données techniques, paiement (Stripe), audit et sécurité
Catégories de personnes concernées Employés et agents du Responsable, utilisateurs invités, personnes dont les données sont saisies et personnes mentionnées dans contenus, événements, messages ou sources publiques
## 4. Droits d'instruction 4.1 Le Sous-traitant ne traite les données à caractère personnel que sur la base des instructions documentées du Responsable du traitement, y compris les instructions énoncées dans le présent DPA et dans le Contrat principal, sauf s'il y est tenu en vertu du droit de l'Union ou du droit de l'État membre auquel le Sous-traitant est soumis. Dans un tel cas, le Sous-traitant informe le Responsable du traitement de cette obligation juridique avant le traitement, à moins que le droit concerné n'interdise une telle information. 4.2 Les instructions peuvent être données par écrit ou sous forme textuelle (y compris par courriel). Les instructions orales sont confirmées sans délai sous forme textuelle. 4.3 Le Sous-traitant informe immédiatement le Responsable du traitement si, à son avis, une instruction constitue une violation du droit en matière de protection des données (art. 28(3), troisième phrase, RGPD). Le Sous-traitant est en droit de suspendre l'exécution de l'instruction concernée jusqu'à ce qu'elle soit confirmée ou modifiée par le Responsable du traitement. ## 5. Obligations du Sous-traitant Le Sous-traitant s'engage à : 5.1 Ne traiter les données à caractère personnel que dans le cadre des instructions du Responsable du traitement et non à ses propres fins. 5.2 Veiller à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (art. 28(3)(b) RGPD). 5.3 Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées (MTO) conformément à l'article 32 du RGPD pendant toute la durée du présent DPA. Les MTO actuelles sont décrites dans l'**Annexe 1 – Mesures techniques et organisationnelles (MTO)** du présent DPA et disponibles à l'adresse [https://getminds.ai/legal/tom](/legal/tom). 5.4 Informer immédiatement le Responsable du traitement si le Sous-traitant a connaissance de toute violation du RGPD ou d'autres réglementations en matière de protection des données en lien avec le traitement. 5.5 Désigner un délégué à la protection des données lorsque la loi l'exige. Le délégué à la protection des données actuel est : Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Allemagne. Courriel : [privacy@getminds.ai](mailto:privacy@getminds.ai) ## 6. Droits des personnes concernées 6.1 Le Sous-traitant assiste le Responsable du traitement par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour remplir les obligations du Responsable du traitement de répondre aux demandes d'exercice des droits des personnes concernées énoncés au chapitre III du RGPD (accès, rectification, effacement, limitation du traitement, portabilité des données, opposition). 6.2 Si une personne concernée contacte directement le Sous-traitant avec une demande, le Sous-traitant transmet la demande au Responsable du traitement sans délai. ## 7. Assistance aux obligations en matière de protection des données 7.1 Le Sous-traitant assiste le Responsable du traitement, compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant, à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, en particulier : - garantir la sécurité du traitement (art. 32 RGPD) ; - notifier les violations de données à caractère personnel à l'autorité de contrôle (art. 33 RGPD) et aux personnes concernées (art. 34 RGPD) ; - réaliser des analyses d'impact relatives à la protection des données (art. 35 RGPD) ; - consulter préalablement l'autorité de contrôle (art. 36 RGPD). 7.2 Le Sous-traitant assiste le Responsable du traitement dans les demandes et enquêtes des autorités de contrôle de la protection des données relatives au traitement commandé. ## 8. Sous-traitants ultérieurs 8.1 Le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale pour engager des sous-traitants ultérieurs conformément à l'article 28(2) du RGPD, sous réserve des exigences de la présente section. 8.2 Les sous-traitants ultérieurs actuels au moment de la conclusion du présent DPA sont répertoriés à l'adresse [https://getminds.ai/legal/subprocessors](/legal/subprocessors). 8.3 Le Sous-traitant informe le Responsable du traitement de tout ajout ou remplacement prévu de sous-traitants ultérieurs au moins **14 jours** avant le changement prévu, donnant ainsi au Responsable du traitement la possibilité de s'y opposer. 8.4 Si le Responsable du traitement formule des objections dans le délai de préavis, les parties s'efforcent de trouver une solution amiable. Si cela n'est pas possible, le Responsable du traitement a le droit de résilier le Contrat principal avec effet immédiat. 8.5 Le Sous-traitant veille contractuellement à ce que les sous-traitants ultérieurs soient liés par des obligations en matière de protection des données pas moins protectrices que celles énoncées dans le présent DPA (art. 28(4) RGPD). Le Sous-traitant est responsable des actes et omissions de ses sous-traitants ultérieurs comme de ses propres actes et omissions. ## 9. Transferts internationaux 9.1 Le traitement de données à caractère personnel dans un pays tiers ou par une organisation internationale ne peut avoir lieu que lorsque les conditions spécifiques des articles 44 et suivants du RGPD sont remplies. 9.2 Pour les sous-traitants ultérieurs situés aux États-Unis, les transferts sont effectués sur la base : - du cadre de protection des données UE-États-Unis (DPF), lorsque le sous-traitant ultérieur est certifié - des clauses contractuelles types (CCT) conformément à la décision d'exécution (UE) 2021/914 de la Commission 9.3 Pour les sous-traitants ultérieurs au Royaume-Uni, la décision d'adéquation de la Commission européenne (décision 2021/1772) s'applique. 9.4 Le Sous-traitant surveille le statut des décisions d'adéquation et mécanismes de transfert applicables et informe le Responsable du traitement si des changements nécessitent un ajustement de la base de transfert. 9.5 Si le Sous-traitant ou l'un de ses sous-traitants ultérieurs reçoit une ordonnance gouvernementale pour la divulgation de données à caractère personnel (y compris les ordonnances au titre du CLOUD Act américain, du FISA ou d'une législation comparable), le Sous-traitant en informe le Responsable du traitement sans délai, dans la mesure où cela est légalement permis. Le Sous-traitant examine la légalité de l'ordonnance et exerce des recours juridiques raisonnables avant de divulguer toute donnée à caractère personnel. ## 10. Notification de violation de données à caractère personnel 10.1 Le Sous-traitant notifie le Responsable du traitement sans délai, et en tout état de cause dans un délai de **48 heures**, dès qu'il a connaissance d'une violation de données à caractère personnel. 10.2 La notification comprend au minimum : - une description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés ; - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact ; - une description des conséquences probables de la violation ; - une description des mesures prises ou envisagées pour remédier à la violation et atténuer ses effets. 10.3 Le Sous-traitant assiste le Responsable du traitement dans l'exécution des obligations de notification prévues aux articles 33 et 34 du RGPD. ## 11. Droits d'audit 11.1 Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l'article 28 du RGPD. 11.2 Le Responsable du traitement est en droit de réaliser des audits, y compris des inspections, dans les locaux du Sous-traitant ou de les faire réaliser par un auditeur désigné. Ces audits ont lieu moyennant un préavis raisonnable (d'au moins 14 jours) pendant les heures ouvrables normales et ne doivent pas perturber de manière déraisonnable les activités commerciales du Sous-traitant. 11.3 Le Sous-traitant peut présenter des rapports d'audit, certifications ou extraits récents pour démontrer sa conformité. 11.4 Les auditeurs tiers désignés doivent être préalablement liés par des obligations de confidentialité. Les coûts d'audit sont à la charge du Responsable du traitement, sauf en cas de manquement établi du Sous-traitant. ## 12. Suppression et restitution des données à caractère personnel 12.1 À la résiliation du Contrat principal, le Sous-traitant supprime toutes les données à caractère personnel traitées pour le compte du Responsable du traitement dans un délai de **30 jours**, sauf si le Responsable du traitement demande la restitution des données dans un format commun et lisible par machine. 12.2 La suppression est effectuée conformément à l'état actuel de la technique et est confirmée par écrit au Responsable du traitement sur demande. 12.3 Lorsque la conservation est requise en vertu du droit de l'Union ou du droit de l'État membre, le Sous-traitant informe le Responsable du traitement de l'obligation de conservation et des données concernées. ## 13. Responsabilité 13.1 La responsabilité des parties est régie par l'article 82 du RGPD. 13.2 Le Sous-traitant est responsable envers le Responsable du traitement des dommages imputables à un traitement non conforme au RGPD ou aux instructions du Responsable du traitement. 13.3 Le Sous-traitant est responsable des actes et omissions de ses sous-traitants ultérieurs comme de ses propres actes et omissions. 13.4 Sauf convention contraire dans le Contrat principal, la responsabilité globale du Sous-traitant est limitée aux frais payés au Sous-traitant au cours des 12 mois précédant l'événement donnant lieu à la réclamation. Cette limitation ne s'applique pas aux réclamations résultant d'une faute intentionnelle ou d'une négligence grave, ni aux réclamations dont la limitation est inadmissible en vertu des dispositions impératives du RGPD. ## 14. Modifications du présent DPA 14.1 Le Sous-traitant peut modifier le présent DPA moyennant un préavis d'au moins 30 jours avant la prise d'effet de la modification, lorsqu'une telle modification est nécessaire en raison de changements législatifs, d'ordonnances réglementaires, d'évolutions techniques ou de modifications des activités de traitement. 14.2 Le Responsable du traitement est notifié des modifications par courriel à l'adresse associée à son compte. La version modifiée est publiée à l'adresse [https://getminds.ai/legal/dpa](/legal/dpa). 14.3 Si le Responsable du traitement ne s'oppose pas aux modifications dans un délai de 30 jours à compter de la réception de la notification, les modifications sont réputées acceptées. Le Sous-traitant attire l'attention sur cette conséquence juridique dans la notification de modification. 14.4 Si le Responsable du traitement s'y oppose, les parties s'efforcent de trouver une solution amiable. Si cela n'est pas possible, le Responsable du traitement a le droit de résilier le Contrat principal avec effet immédiat. ## 15. Dispositions finales 15.1 Le présent DPA est régi par le droit de la République fédérale d'Allemagne. 15.2 Le lieu exclusif de juridiction pour tous les litiges découlant du présent DPA ou en lien avec celui-ci est Berlin, dans la mesure où cela est légalement permis. 15.3 Les modifications et compléments au présent DPA doivent être effectués sous forme textuelle, sauf disposition contraire à l'article 14. 15.4 Si l'une des dispositions du présent DPA est ou devient invalide, la validité des autres dispositions n'en est pas affectée. 15.5 En cas de conflit entre le présent DPA et le Contrat principal, le présent DPA prévaut en ce qui concerne la protection des données à caractère personnel. --- **Art of X UG (haftungsbeschränkt)** Köpenicker Straße 145, 10997 Berlin, Allemagne Gérants : Friedrich von Borries et Alexander Doudkin Pour toute question concernant ce DPA, contactez : [privacy@getminds.ai](mailto:privacy@getminds.ai) --- ## Annexe 1 : Mesures techniques et organisationnelles (MTO) **Dernière mise à jour : 30 mai 2026** Art of X UG (haftungsbeschränkt) (« Minds ») met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD afin de garantir un niveau de sécurité adapté au risque lié au traitement des données à caractère personnel. --- ## 1. Contrôle d'accès ### Contrôle d'accès physique L'infrastructure de Minds est hébergée exclusivement chez des fournisseurs cloud certifiés : - **DigitalOcean** – centre de données de Francfort, Allemagne (UE). Certifications : SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – centre de données de Stockholm, Suède (UE), hébergé sur AWS. Certifications : SOC 2 Type II. La sécurité physique (contrôles d'accès biométriques, surveillance 24h/24 et 7j/7, journalisation des accès) est entièrement gérée par les fournisseurs cloud. ### Contrôle d'accès logique - Contrôle d'accès basé sur les rôles (RBAC) pour tous les systèmes internes et interfaces d'administration. - Authentification multifacteur (MFA) requise pour tout accès des employés aux systèmes de production. - Comptes utilisateurs individuels – pas d'identifiants partagés. - Examen et révocation réguliers des droits d'accès selon le principe du moindre privilège. - Les clés API et identifiants sont gérés dans des gestionnaires de secrets chiffrés. - Les tokens OAuth, identifiants d’intégration et clés API sont limités par portée, chiffrés au repos et révocables. --- ## 2. Chiffrement ### Chiffrement en transit - Toutes les transmissions de données sont sécurisées via TLS 1.2 ou supérieur. - HSTS (HTTP Strict Transport Security) est activé pour tous les points d'accès publics. - La communication interne entre services est également chiffrée. ### Chiffrement au repos - Les bases de données (Supabase/PostgreSQL) utilisent le chiffrement AES-256 pour les données au repos. - Le stockage de fichiers (DigitalOcean Spaces / Supabase Storage) utilise un chiffrement AES-256 côté serveur. - Les sauvegardes sont stockées sous forme chiffrée. --- ## 3. Séparation des données (isolation des tenants) - Séparation logique stricte des données clients au niveau de la base de données par isolation des tenants (Row-Level Security dans PostgreSQL). - Chaque client ne peut accéder qu'à ses propres données – appliqué à la fois au niveau de la base de données et de l'API. - Des tests automatisés garantissent l'absence de fuite de données entre tenants. --- ## 4. Disponibilité et résilience ### Architecture d'hébergement - L'application fonctionne sur DigitalOcean App Platform avec mise à l'échelle automatique et contrôles d'intégrité. - Base de données sur Supabase avec configuration haute disponibilité. ### Sauvegarde et récupération - Sauvegardes automatiques quotidiennes de la base de données avec une période de rétention d'au moins 7 jours. - Point-in-Time Recovery (PITR) pour la base de données PostgreSQL. - Tests réguliers des procédures de récupération. - Recovery Time Objective (RTO) : tel que défini dans le SLA. - Recovery Point Objective (RPO) : maximum 24 heures. --- ## 5. Réponse aux incidents - Processus documenté de réponse aux incidents de sécurité. - Notification au responsable du traitement (client) dans un délai de **48 heures** après la prise de connaissance d'une violation de données à caractère personnel, conformément à l'accord de traitement des données (DPA). - Journalisation et suivi de tous les incidents pertinents en matière de sécurité. - Examen et mise à jour réguliers du plan de réponse aux incidents. --- ## 6. Confidentialité et obligations des employés - Tous les employés et sous-traitants sont liés par des accords de confidentialité (NDA). - Formations régulières à la protection des données pour tous les employés. - Obligation de respecter le secret des données conformément au RGPD. - L'accès aux données à caractère personnel n'est accordé que sur la base du besoin d'en connaître. --- ## 7. Gestion des sous-traitants - Sélection rigoureuse des sous-traitants sur la base de critères de protection des données et de sécurité. - Obligation contractuelle de tous les sous-traitants à un traitement des données conforme au RGPD. - Examen régulier des sous-traitants. - La liste actuelle des sous-traitants est disponible sur [Sous-traitants](/legal/subprocessors). - Préavis aux clients de tout changement conformément au DPA. --- ## 8. Journalisation et supervision - Journalisation centralisée des événements système et des accès. - Les journaux d’audit couvrent accès API/MCP, changements OAuth/intégrations, synchronisation/webhooks calendrier et actions administratives de sécurité. - **Langfuse** pour la supervision et le traçage des interactions avec les modèles d'IA (hébergé dans l'UE). - **PostHog** pour l'analyse produit et le session replay optionnel - analyse persistante/session replay uniquement avec consentement ; diagnostic limité sans cookies lorsque licite. - Supervision des métriques système critiques avec alertes automatisées. - Examen régulier des journaux pour détecter les anomalies. --- ## 9. Minimisation des données et pseudonymisation ### Minimisation des données - Collecte et traitement uniquement des données à caractère personnel nécessaires à la finalité du traitement concerné. - Examen régulier des catégories de données traitées quant à leur nécessité. - Suppression automatique des données qui ne sont plus nécessaires conformément aux durées de conservation définies. ### Pseudonymisation - Lorsque cela est techniquement possible et approprié, les données à caractère personnel sont traitées sous forme pseudonymisée. - Le traitement interne utilise principalement des UUID plutôt que des noms réels. - Les évaluations analytiques sont effectuées sur une base agrégée ou pseudonymisée. --- ## 10. Examen et évaluation réguliers - Évaluations régulières de la sécurité de l'infrastructure et des applications. - Les dépendances sont régulièrement contrôlées pour détecter les vulnérabilités connues (dependency scanning). - Examen et mise à jour de ces MTO au moins une fois par an ou lors de modifications importantes des activités de traitement. - Amélioration continue des mesures de sécurité en fonction du paysage actuel des menaces. --- ## 11. Mesures complémentaires ### Contrôle des entrées - Journalisation des modifications apportées aux données à caractère personnel (audit trail). - Traçabilité de qui a saisi, modifié ou supprimé quelles données et quand. ### Contrôle des transferts - Les transferts de données sont exclusivement chiffrés. - Aucun transfert de données à caractère personnel vers des pays tiers sans un niveau de protection adéquat (décision d'adéquation ou clauses contractuelles types). ### Contrôle du traitement - Traitement des données à caractère personnel exclusivement conformément aux instructions du responsable du traitement. - Régulation contractuelle du traitement sous-traité dans le DPA. --- *Ces mesures techniques et organisationnelles sont examinées régulièrement et mises à jour si nécessaire afin d'assurer un niveau de protection conforme à l'état actuel de la technique.*