Accord de traitement des données (DPA)

Le présent Accord de traitement des données (« DPA ») est conclu entre ThalerTech SAS (marque Claws), agissant en qualité de sous-traitant, et le Client, agissant en qualité de responsable de traitement.

Le présent DPA fait partie intégrante du contrat principal (devis et CGV) conclu entre les parties. Il est établi conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Les termes « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « violation de données à caractère personnel » et « autorité de contrôle » ont la signification qui leur est donnée à l'article 4 du RGPD.

ThalerTech SAS traite des données à caractère personnel pour le compte du Client dans le cadre de l'exécution de ses prestations : installation, configuration, déploiement et maintenance d'agents IA autonomes basés sur le framework OpenClaw.

• Nature des opérations : opérations techniques liées à l'exécution des prestations définies au contrat principal.
• Finalités : définies par le Client responsable de traitement.
• Personnes concernées : déterminées par le Client.
• Catégories de données : déterminées par le Client.
• Durée : durée du contrat principal.

ThalerTech SAS s'engage à :

• Traiter les données uniquement sur instruction documentée du Client ;
• Garantir la confidentialité des données traitées ;
• Mettre en œuvre les mesures de sécurité prévues à l'article 7 ;
• Recourir uniquement aux sous-traitants ultérieurs autorisés (art. 8) ;
• Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées ;
• Contribuer aux obligations des articles 32 à 36 du RGPD (sécurité, AIPD, consultation préalable) ;
• Restituer ou supprimer les données à la fin du contrat (art. 11) ;
• Mettre à disposition les informations nécessaires pour démontrer la conformité à l'article 28 du RGPD.

Le Client s'engage à :

• Documenter ses instructions de traitement ;
• S'assurer de l'existence d'une base légale pour chaque traitement ;
• Ne pas donner d'instructions contraires au RGPD ;
• Qualifier correctement les données traitées (données sensibles, données de santé, etc.).

Le Client détermine seul le choix de l'architecture technique, de l'hébergeur et des modèles d'intelligence artificielle utilisés dans le cadre des agents déployés. ThalerTech SAS présente les options disponibles :

• Hébergement standard au sein de l'Union européenne ;
• Infrastructure certifiée HDS pour les traitements impliquant des données de santé ;
• Modèles d'IA de fournisseurs tiers ou solutions auto-hébergées.

ThalerTech SAS exerce un devoir d'alerte et notifie le Client par écrit si une option sélectionnée lui paraît non conforme à la réglementation applicable. Les fournisseurs de modèles IA choisis par le Client sont considérés comme des sous-traitants ultérieurs sélectionnés et assumés par le Client.

ThalerTech SAS met en œuvre les mesures de sécurité suivantes :

• Chiffrement des données en transit (TLS) et au repos ;
• Authentification et gestion des accès selon le principe de moindre privilège ;
• Journalisation des accès aux systèmes ;
• Sauvegardes régulières des données.

La liste des sous-traitants ultérieurs de ThalerTech SAS est disponible à la page Sous-traitants.

ThalerTech SAS notifie le Client de tout ajout ou remplacement avec un préavis de 30 jours. Le Client dispose de 15 jours pour s'y opposer par écrit à privacy@thalertech.io. ThalerTech SAS demeure responsable envers le Client des obligations imposées à ses propres sous-traitants.

En cas de violation de données à caractère personnel, ThalerTech SAS notifie le Client dans un délai de 48 heures après en avoir pris connaissance, en précisant la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, ainsi que les mesures prises ou envisagées. ThalerTech SAS assiste le Client dans ses démarches au titre des articles 33 et 34 du RGPD.

Le Client peut demander un audit de conformité avec un préavis de 30 jours ouvrés, à raison d'un audit par an. ThalerTech SAS peut proposer des rapports de certification en lieu et place d'un audit sur site. Les coûts de l'audit sont à la charge du Client, sauf manquement avéré de ThalerTech SAS.

À la fin du contrat principal, ThalerTech SAS restitue les données au Client ou les supprime dans un délai de 30 jours, selon instruction du Client. À défaut d'instruction, les données sont supprimées dans un délai de 90 jours.

Chaque partie répond de ses propres manquements au RGPD et au présent DPA. Les plafonds de responsabilité sont ceux définis au contrat principal.

En cas de contradiction entre le présent DPA et les CGV sur les questions relatives aux données personnelles, le présent DPA prévaut. Il est soumis au droit français.

Pour toute question relative au présent DPA :
ThalerTech SAS
116 rue Danton, 92300 Levallois-Perret
privacy@thalertech.io