Retour à l'accueil

Accord de Traitement des Données (DPA - RGPD)

Annexe à Nos Conditions Générales concernant l'utilisation de l'IA.

1. Préambule et Rôles

Dans le cadre des prestations impliquant le traitement de la donnée (Machine Learning, LLM personnalisés, nettoyage de données, OCR), le Client agit en qualité de Responsable de Traitement et confie à Astauria le rôle de Sous-traitant au sens de l'article 28 du RGPD.

2. Engagements d'Astauria (IA & RGPD)

En tant que cabinet spécialisé en Intelligence Artificielle, nous nous engageons spécifiquement à :

  • Anonymisation & Pseudonymisation : Favoriser ces techniques avant tout entraînement de modèles sur les données clientes.
  • Non-Entraînement de modèles publics : Vos données ne sont strictement jamais utilisées pour entraîner des modèles fondamentaux (ou LLMs) accessibles au grand public ou à d'autres clients d'Astauria. Vos données restent cloisonnées (Tenant Isolation) dans vos environnements.
  • Hébergement Souverain ou Sécurisé : Garantir que le stockage et l'inférence des modèles s'opèrent sur des serveurs hébergés au sein de l'Union Européenne (RGPD compliant), sauf accord dérogatoire explicite de votre part pour certains fournisseurs spécifiques.

3. Obligations du Client

Le Client s'assure qu'il dispose de la base légale lui permettant de collecter et traiter les données transmises à Astauria. En cas de données hautement sensibles (santé, données bancaires non chiffrées), le client est tenu d'en alerter Astauria au préalable pour la mise en place d'un bac à sable sécurisé (sandbox HDS/PCI-DSS si requis).

4. Restitution et Destruction

À la fin du projet (POC ou Déploiement), Astauria s'engage à détruire tous les jeux de données temporaires (datasets d'entraînement, caches) de ses systèmes sous un délai de 30 jours, à l'exception des modèles algorithmiques compilés remis au client ou devant être hébergés de façon continue dans le cadre d'un contrat de maintenance de logiciel (TMA).

5. Sécurité Technologique

Nous implémentons : le chiffrement en transit (TLS 1.3), le chiffrement au repos (AES-256), le contrôle d'accès strict (RBAC), et des revues de code pour éviter les vulnérabilités d'injection de prompts dans les solutions LLM.

6. Notification de violation

En cas de faille de sécurité impliquant vos données, Astauria vous alertera par écrit (email) dans un délai maximal de 48h après la découverte de l'incident, vous permettant de respecter vos délais déclaratifs auprès de la CNIL.