DPA — Accord de sous-traitance RGPD (Article 28)
Dernière mise à jour : 27 avril 2026
Le présent Data Processing Agreement (DPA) encadre les traitements de données personnelles réalisés par Crème de Code (« Sous-traitant ») pour le compte du Client (« Responsable de traitement ») dans le cadre de l'utilisation de la plateforme Bulle, conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).
1. Parties
Responsable de traitement : le Client, dont les coordonnées figurent au Bon de commande ou à la souscription en ligne de l'abonnement Bulle.
Sous-traitant : SAS CRÈME DE CODE, 6 Impasse Critérion, 44470 Carquefou, France — RCS Nantes 989 746 516.
2. Objet
Le présent DPA encadre les traitements de données personnelles réalisés par Crème de Code pour le compte du Client dans le cadre de l'utilisation de la Plateforme Bulle (chat IA, génération d'images, espaces de connaissances RAG, et services associés).
3. Instructions documentées
Crème de Code traite les données personnelles uniquement sur instruction documentée du Client, y compris via les paramétrages, modèles activés et actions des Utilisateurs autorisés. Les présentes stipulations, complétées par les CGV, le Bon de commande, les paramétrages de la Plateforme et les actions des Utilisateurs autorisés, constituent les instructions du Client au sens de l'article 28 §3 a) du RGPD.
4. Confidentialité
Crème de Code veille à ce que les personnes autorisées à traiter les données s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et soient dûment habilitées.
5. Mesures de sécurité
Crème de Code met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites en Annexe B ci-après.
6. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants ultérieurs listés en Annexe C. Crème de Code informera le Client de toute modification substantielle de cette liste, le Client disposant d'un délai de 30 jours pour s'y opposer pour motif légitime lié à la protection des données.
Crème de Code impose contractuellement à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA, conformément à l'article 28 §4 du RGPD.
7. Assistance au Responsable de traitement
Crème de Code assiste le Client, dans une mesure raisonnable et compte tenu de la nature du traitement, pour :
- Donner suite aux demandes d'exercice des droits des personnes concernées (art. 15 à 22 du RGPD), dans la mesure applicable
- Notifier et gérer les violations de données personnelles (art. 33 et 34 du RGPD)
- Réaliser, sur demande, des analyses d'impact relatives à la protection des données (DPIA — art. 35 du RGPD), dans la limite des informations disponibles
8. Violations de données
Crème de Code notifie au Client toute violation de données personnelles dont il a connaissance dans les meilleurs délais après en avoir pris connaissance, en lui communiquant les informations disponibles à cette date afin de lui permettre de respecter ses propres obligations de notification (art. 33 §2 du RGPD).
9. Sort des données en fin de contrat
Au choix du Client, Crème de Code supprime ou restitue les données personnelles à l'issue du contrat, selon les modalités précisées en Annexe D, sauf obligation légale de conservation imposant la conservation des données.
10. Audit
Crème de Code met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et permet la réalisation d'audits raisonnables, sous réserve :
- D'un préavis de 30 jours
- D'une fréquence maximale d'un audit par an, sauf incident majeur
- D'un engagement de confidentialité et d'un périmètre proportionné
- D'une répercussion des coûts raisonnables si l'audit est conduit sur site ou en cas de demandes excessives
Annexe A — Description des traitements
Finalités
- Fourniture de l'accès à la Plateforme (texte, image, Espace RAG)
- Exécution des requêtes adressées par les Utilisateurs et restitution des résultats
- Stockage des Contenus Client nécessaires au service (selon configuration retenue)
- Support, maintenance, sécurité et prévention des abus
Personnes concernées
- Utilisateurs du Client
- Personnes éventuellement mentionnées dans les documents importés par le Client
Catégories de données
- Données d'identification professionnelles (nom, email)
- Données techniques (logs, adresse IP, horodatages)
- Contenus Client pouvant contenir des données personnelles (prompts, documents, images)
Opérations de traitement
- Hébergement, stockage sur VPS, consultation technique encadrée
- Transmission aux fournisseurs de modèles selon les modèles activés par le Client
- Indexation et interrogation RAG pour le module Espace
- Sauvegarde, journalisation et support
Annexe B — Mesures de sécurité (état actuel et options)
Mesures en place (état actuel)
- Hébergement : VPS opéré par OVH GmbH (St. Johanner Str. 41-43, 66111 Saarbrücken, Allemagne) — entité du groupe OVHcloud, données hébergées au sein de l'Union européenne. Les coordonnées complètes de l'hébergeur figurent dans les Mentions légales.
- Chiffrement en transit : TLS (HTTPS) sur toutes les communications
- Contrôle d'accès : accès interne limité au personnel habilité, principe du besoin d'en connaître
- Sauvegardes : sauvegarde quotidienne, rétention selon Annexe D
- Journalisation : logs techniques d'exploitation et de sécurité, rétention selon Annexe D
Mesures optionnelles (sur demande / selon contrat)
- MFA : activation possible, en priorité pour les comptes administrateurs
- Chiffrement au repos : activation possible (chiffrement disque/stockage)
- Purge automatique : suppression automatique des logs au-delà de la durée définie
- Fonctionnalité self-service : suppression de contenus et/ou d'utilisateurs depuis l'interface, si développée
Encadrement de l'accès de Crème de Code aux Contenus Client
- Accès possible uniquement dans le cadre du support demandé par le Client, de la sécurité ou d'un incident
- Accès restreint au personnel habilité
- Accès tracé (journalisation des accès administrateurs, lorsque mis en œuvre selon configuration)
Annexe C — Sous-traitants ultérieurs
La présente liste est cohérente avec la table des sous-traitants publiée dans la Politique de confidentialité. Pour chaque sous-traitant, le Bon de commande et/ou une annexe de configuration peut préciser : les modèles activés, le rôle, les types de données transmises, la zone de traitement (UE/hors UE selon fournisseur et options), et le mécanisme de transfert hors EEE le cas échéant.
Infrastructure
- OVH GmbH (groupe OVHcloud) — hébergement VPS, PostgreSQL, Qdrant — Saarbrücken, Allemagne (intra-UE)
Fonctionnels (selon modèles activés par le Client)
| Sous-traitant | Rôle | Pays | Garanties |
|---|---|---|---|
| OpenAI, Inc. | API de modèles de langage (GPT) et calcul d'embeddings (RAG) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Anthropic, PBC | API de modèles de langage (Claude) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Google LLC | API de modèles de langage (Gemini) | États-Unis / UE | Clauses Contractuelles Types (SCCs) |
| Mistral AI | API de modèles de langage | France | Traitement intra-UE |
| Replicate, Inc. | Génération d'images | États-Unis | Clauses Contractuelles Types (SCCs) |
| Stripe, Inc. | Paiement et facturation | États-Unis | SCCs + DPA Stripe |
| Cohere, Inc. | Reranking des résultats de recherche (RAG) | Canada | Clauses Contractuelles Types (SCCs) |
| Tavily, Inc. | Recherche web pour modèles IA | États-Unis | Clauses Contractuelles Types (SCCs) |
| E2B, Inc. | Exécution de code (sandbox sécurisé) | États-Unis | Clauses Contractuelles Types (SCCs) |
| Microsoft Corporation (Azure) | Modération de contenu (images) | États-Unis / UE | SCCs + DPA Microsoft |
Annexe D — Conservation, suppression, sauvegardes et réversibilité
Comptes utilisateurs
- Durée du contrat + 6 mois (sauf demande de suppression plus tôt, si compatible avec les obligations légales)
Contenus Client (prompts, outputs, documents Espace, index RAG)
- Par défaut : durée du contrat
- Suppression sur demande : sous 15 jours ouvrés (hors contraintes légales et sous réserve d'identification précise du périmètre)
- Fin de contrat : suppression des données actives sous 30 jours calendaires, puis extinction progressive via le cycle de sauvegardes
Logs techniques
- Conservation glissante : 12 mois par défaut (ajustable contractuellement)
Sauvegardes
- Sauvegarde quotidienne
- Rétention standard : 30 jours
- Option : 90 jours si justifié et prévu contractuellement
Réversibilité
- Export et restitution sur demande, dans un format raisonnable selon les capacités techniques
- Prestations hors standard : possibles sur devis
Annexe E — Data flows
Un schéma descriptif des flux de données peut être communiqué au Client sur demande, en complément de l'Annexe « Data flows » fournie aux clients sur sollicitation.
Acceptation et signature
La version en vigueur du présent DPA est 2026-04-27. L'acceptation explicite par l'administrateur du tenant (depuis l'espace « Paramètres → Conformité RGPD » de la Plateforme) vaut acceptation au nom de l'organisation cliente, conformément à l'article 4.2 des CGV. La date et l'identité de l'administrateur signataire sont horodatées et conservées dans nos systèmes à des fins probatoires.