Accord de traitement des données (DPA)

1. Parties

Le présent Accord de traitement des données (ci-après « DPA ») est conclu entre :

• Le Client : la personne morale ou professionnelle ayant souscrit au Service Konstat Bot, agissant en qualité de responsable de traitement au sens de l'article 4.7 du RGPD.
• Konstat : l'entreprise individuelle Orcyn (Clément Rizzotto), éditrice du Service Konstat Bot, agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

Le présent DPA s'applique à tout traitement de données à caractère personnel effectué par Konstat pour le compte du Client dans le cadre de l'exécution du Contrat principal (CGV + souscription) et complète celui-ci. En cas de contradiction entre le DPA et le Contrat principal sur les questions de protection des données personnelles, le présent DPA prévaut.

2. Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles Konstat traite, au nom et pour le compte du Client, les données à caractère personnel nécessaires à la fourniture du Service Konstat Bot, conformément à l'article 28 du RGPD.

3. Description du traitement

3.1 Nature du traitement

Service SaaS B2B fournissant un agent conversationnel IA spécialisé dans la réglementation des Certificats d'Économies d'Énergie (CEE), accessible via une interface web et une API REST.

3.2 Finalité du traitement

Permettre au Client et à ses utilisateurs habilités d'accéder au Service, de formuler des requêtes au chatbot, d'effectuer des calculs CEE déterministes, d'ajouter et de consulter des vérités d'entreprise, et d'intégrer le Service via API.

3.3 Durée du traitement

Le traitement est effectué pour la durée du contrat de souscription, plus une période de 30 jours après résiliation pour permettre la portabilité ou la suppression des données (cf. §4.7).

3.4 Catégories de personnes concernées

• Salariés, dirigeants et collaborateurs du Client autorisés à utiliser le Service
• Personnes citées indirectement dans les contenus saisis par le Client (ex : mentions dans les vérités d'entreprise ou dans les questions au chatbot — déconseillé)

3.5 Catégories de données traitées

• Données d'identification : nom, prénom, email professionnel
• Données de connexion : identifiants, mot de passe haché, jetons de session, journal des connexions
• Contenus utilisateurs : conversations chat, vérités d'entreprise, fichiers PDF éventuellement uploadés, paramètres de calcul CEE
• Données techniques : adresse IP, user-agent, logs applicatifs, logs de sécurité, métriques d'usage
• Données professionnelles : rôle dans l'organisation, permissions accordées

Aucune donnée sensible au sens de l'article 9 RGPD (santé, opinions politiques, religion, etc.) n'est volontairement collectée par Konstat. Le Client s'engage à ne pas saisir de telles données dans le Service.

4. Obligations de Konstat (sous-traitant)

4.1 Traitement sur instruction documentée

Konstat traite les données à caractère personnel uniquement sur la base d'instructions documentées du Client. Le Contrat principal, les CGV, le présent DPA et le paramétrage du Service par l'administrateur du Client constituent l'ensemble de ces instructions documentées.

Si Konstat est tenu, en vertu du droit de l'Union européenne ou du droit français, de procéder à un traitement non couvert par ces instructions, il en informera le Client avant traitement, sauf si le droit en cause interdit cette information pour des motifs importants d'intérêt public.

4.2 Confidentialité des personnes autorisées

Konstat veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. La liste des personnes autorisées est limitée au strict nécessaire (principe du moindre privilège).

4.3 Mesures techniques et organisationnelles

Konstat met en œuvre les mesures techniques et organisationnelles appropriées détaillées en Annexe 1, notamment : chiffrement at-rest et in-transit, envelope encryption AES-256-GCM des contenus privés, isolation par RLS PostgreSQL, MFA, audit logs, hébergement UE, gestion des sauvegardes et des incidents.

4.4 Notification de violation de données

Konstat notifie au Client toute violation de données à caractère personnel le concernant dans un délai maximum de 72 heures après en avoir pris connaissance, par email à l'administrateur déclaré du compte.

La notification précise au minimum :

• La nature de la violation et les catégories de données concernées
• Le volume estimé de personnes et d'enregistrements impactés
• Les conséquences probables et les mesures déjà prises ou envisagées
• Les coordonnées du point de contact pour toute information complémentaire

4.5 Sous-traitants ultérieurs

Le Client autorise Konstat à recourir aux sous-traitants ultérieurs listés en Annexe 2. Konstat impose contractuellement à chacun d'eux des obligations équivalentes en matière de protection des données (article 28.4 RGPD), notamment : confidentialité, sécurité, suppression en fin de prestation, notification de violation.

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Konstat en informe le Client par email et/ou notification dans le Service avec un préavis raisonnable. Le Client peut s'y opposer pour des motifs légitimes liés à la protection des données dans un délai de 30 jours suivant la notification. En cas d'opposition que les parties ne parviendraient pas à résoudre amiablement, le Client peut résilier le Contrat principal sans pénalité.

4.6 Assistance pour répondre aux demandes des personnes concernées

Konstat assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, pour donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation).

Le Client gère lui-même la plupart de ces demandes via les fonctionnalités du Service (export, suppression, modification depuis l'espace administrateur). Pour toute demande nécessitant l'intervention de Konstat, le Client utilise clement@konstat.fr. Konstat répond dans les meilleurs délais et au plus tard dans le mois suivant la demande.

4.7 Suppression ou retour des données en fin de contrat

À la fin de la prestation (résiliation, fin de contrat) et conformément au choix exprimé par le Client :

• Restitution des données sous format structuré (JSON, CSV) sur demande, dans un délai de 7 jours ouvrés.
• Suppression définitive de l'ensemble des données traitées pour le compte du Client, dans un délai de 30 jours après résiliation, sauf obligations légales de conservation (factures : 10 ans).

Une attestation de destruction est fournie sur demande écrite.

4.8 Assistance en matière de conformité, audit et inspection

Konstat met à la disposition du Client les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD et permettre la réalisation d'audits, conformément aux dispositions du §6 ci-dessous.

Konstat assiste également le Client pour la réalisation d'analyses d'impact (AIPD/DPIA, art. 35 RGPD) et la consultation préalable de l'autorité de contrôle (art. 36 RGPD), dans la mesure de ses moyens et compte tenu des informations dont il dispose.

5. Localisation des traitements

Le stockage primaire des données traitées au titre du présent DPA est localisé au sein de l'Union européenne :

• Base de données et stockage de fichiers : Supabase, région Irlande (eu-west-1)
• Compute applicatif : Vercel, région Francfort (eu-central-1)
• Emails transactionnels : Resend (infrastructure UE)
• OCR : Mistral AI (France)

Certains traitements ponctuels et nécessaires à l'exécution du Service impliquent des prestataires établis hors UE :

• Anthropic (États-Unis, génération de réponses LLM) : encadré par les Clauses contractuelles types (CCT) de la Commission européenne, mode zero data retention activé.
• Voyage AI (États-Unis, embeddings vectoriels) : encadré par les CCT, traitement éphémère.
• Stripe (transferts vers les États-Unis pour les paiements) : encadré par la certification au Data Privacy Framework (DPF) UE-US.

6. Audit et inspection

Le Client dispose du droit de vérifier le respect par Konstat des obligations du présent DPA, dans les conditions suivantes :

• Fréquence : une fois par an au maximum, sauf survenance d'un incident de sécurité significatif.
• Préavis : 30 jours calendaires, par écrit.
• Modalités : sur la base des documents produits par Konstat (politique de sécurité, mesures techniques, certifications éventuelles, rapports de ses propres auditeurs). À la demande du Client, audit sur site, par lui-même ou par un tiers indépendant qu'il mandate, sous réserve d'un engagement de confidentialité.
• Périmètre : limité aux traitements concernant le Client. L'auditeur ne peut accéder aux données d'autres clients.
• Frais : à la charge du Client. Si l'audit dépasse une journée-homme par an de mobilisation côté Konstat, les frais de mobilisation excédant ce coût raisonnable sont à la charge du Client.

7. Engagement spécifique de non-réutilisation

Konstat prend l'engagement contractuel suivant, opposable et faisant partie intégrante du présent DPA :

• Konstat n'utilise en aucun cas les données traitées pour le compte du Client (vérités d'entreprise, conversations, contenus saisis) pour entraîner ou affiner un modèle d'intelligence artificielle, qu'il soit interne à Konstat ou opéré par un tiers.
• Konstat n'utilise en aucun cas ces données pour l'activité indépendante de M. Clément Rizzotto dans le secteur CEE, sous quelque forme que ce soit (lecture humaine, agrégation statistique, alertes business, dérivation de leads).
• Cet engagement est techniquement garanti par :
  • Chiffrement applicatif par envelope encryption en AES-256-GCM avec une clé dédiée par organisation
  • Isolation logique stricte par Row Level Security PostgreSQL
  • Configuration zero data retention auprès des fournisseurs LLM (Anthropic, Voyage AI, Mistral AI)
  • Journalisation horodatée et auditable des accès super-administrateur
• Konstat informe le Client sous 72 heures maximum de tout accès anormal détecté à ses données privées.

8. Responsabilité et indemnisation

Conformément à l'article 82 du RGPD, chaque partie répond des dommages causés par un traitement effectué en violation du RGPD. Konstat n'est responsable que des dommages causés par le traitement lorsqu'il n'a pas respecté les obligations du RGPD spécifiquement applicables aux sous-traitants ou lorsqu'il a agi en dehors des instructions licites du responsable de traitement, ou contrairement à celles-ci.

Les limitations de responsabilité prévues au Contrat principal s'appliquent au présent DPA sous réserve des dispositions impératives du RGPD.

9. Durée et résiliation du DPA

Le présent DPA prend effet à la date d'acceptation des CGV par le Client (ou de signature d'un contrat-cadre Enterprise) et reste en vigueur pendant toute la durée du Contrat principal, y compris pendant la période de récupération de 30 jours post-résiliation.

Les obligations qui, par leur nature, doivent survivre à la résiliation (notamment confidentialité, suppression des données, journalisation, traitement des demandes RGPD résiduelles) restent applicables.

10. Annexe 1 — Mesures techniques et organisationnelles

10.1 Contrôle d'accès

• Authentification individuelle obligatoire (email + mot de passe haché Argon2)
• MFA disponible pour tous les comptes
• SSO disponible pour les comptes Enterprise (à venir)
• Permissions granulaires par membre (gestion API, vérités d'entreprise)
• Politique de mots de passe forts et rotation à la demande
• Verrouillage automatique des sessions inactives

10.2 Chiffrement

• Chiffrement at-rest : TDE Supabase (AES-256) sur l'ensemble de la base
• Chiffrement applicatif : envelope encryption AES-256-GCM sur org_private_entries.contenu (DEK dédiée par organisation, chiffrée par CMK environnement)
• Chiffrement in-transit : TLS 1.2 minimum sur tous les flux (HSTS activé)
• Chiffrement des sauvegardes

10.3 Isolation multi-tenant

• Row Level Security PostgreSQL sur toutes les tables contenant des données d'organisation
• Tests automatisés validant l'isolation à chaque déploiement
• Identifiants d'organisation propagés à toutes les requêtes serveur

10.4 Journalisation et traçabilité

• Journal des accès super-administrateur horodaté et immuable
• Journal des modifications de permissions
• Journal des accès API (audit trail clé par clé)
• Journal des événements de sécurité (auth, MFA, exports)
• Conservation 12 mois maximum, conformément aux recommandations CNIL

10.5 Sauvegardes et continuité

• Sauvegardes quotidiennes automatiques (Supabase point-in-time recovery)
• Point de restauration cible : 24h maximum
• Sauvegardes chiffrées et géo-redondantes UE
• Plan de continuité d'activité documenté

10.6 Gestion des incidents

• Procédure documentée de détection, qualification et notification
• Notification au Client sous 72h pour toute violation impactant ses données
• Tenue d'un registre des violations conformément à l'article 33.5 RGPD
• Astreinte sécurité pour les incidents critiques

10.7 Sensibilisation et engagement du personnel

• Engagement de confidentialité signé par toute personne autorisée
• Sensibilisation à la protection des données et à la sécurité informatique
• Politique d'accès basée sur le principe du moindre privilège

10.8 Sécurité applicative

• Revues de code systématiques avant mise en production
• Tests de sécurité automatisés (linters, scanners de dépendances)
• Variables d'environnement chiffrées (Vercel, jamais committées)
• Mises à jour de sécurité appliquées sans délai sur les dépendances critiques

11. Annexe 2 — Sous-sous-traitants ultérieurs

Liste des sous-sous-traitants autorisés au 2026-05-10. La version à jour est publiée sur cette page ; toute modification est notifiée au Client conformément au §4.5.

12. Contact

Pour toute question relative au présent DPA, signalement d'incident ou demande d'audit :

• Email : clement@konstat.fr
• Sous-traitant : Orcyn — Clément Rizzotto

Konstat n'est pas légalement tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 RGPD. Le point de contact unique pour les sujets RGPD est M. Rizzotto.