Accord de Traitement des Données (DPA — Data Processing Agreement)
Plateforme : Bilan+ — https://bilanplus.io Dernière mise à jour : 09/02/2026 Version : 1.0
ENTRE LES SOUSSIGNÉS
Le Responsable du traitement (« le Client ») :
- Dénomination sociale : [À COMPLÉTER par le Client]
- Siège social : [À COMPLÉTER par le Client]
- SIREN : [À COMPLÉTER par le Client]
- Email : [À COMPLÉTER par le Client]
Le Sous-traitant (« l'Éditeur ») :
- Entrepreneur : Théo Tenaguillo, entrepreneur individuel
- Adresse professionnelle : 54 avenue Georges Clémenceau, 33400 Talence
- SIREN : 820 988 616
- Email DPO / données personnelles : theo@bilanplus.io
Préambule
Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD). Il définit les conditions dans lesquelles le Sous-traitant (l'Éditeur de la plateforme Bilan+) traite les données personnelles pour le compte du Responsable du traitement (le Client).
Le présent DPA fait partie intégrante du Contrat de Service Principal (MSA) et des CGV.
Article 1 — Objet
Le présent DPA a pour objet de définir les obligations réciproques des Parties en matière de protection des données personnelles dans le cadre de l'utilisation de la plateforme Bilan+.
Article 2 — Description des traitements
2.1 Nature et finalités des traitements
Le Sous-traitant traite les données personnelles aux fins suivantes, sur instruction du Responsable du traitement :
| Traitement | Finalité |
|---|---|
| Gestion des comptes candidats | Création, authentification, gestion du cycle de vie |
| Outils d'évaluation et de bilan | Administration des tests, calcul des scores, génération des résultats |
| Synthèses par intelligence artificielle | Génération de synthèses de sessions, d'analyses de compétences, de suggestions de métiers |
| Transcription audio | Transcription automatique de sessions enregistrées |
| Portefeuille de compétences | Stockage et structuration des compétences, expériences, formations |
| Exploration de métiers | Matching de compétences avec des fiches métiers |
| Messagerie | Acheminement des messages entre coaches et candidats |
| Gestion documentaire | Stockage, organisation et restitution des documents |
| Facturation | Gestion des transactions de paiement |
2.2 Catégories de données traitées
- Données d'identification : nom, prénom, adresse email
- Données professionnelles : expériences, formations, compétences, certifications
- Données psychométriques : réponses aux questionnaires, scores, profils d'intérêts, traits de personnalité — pouvant constituer des données sensibles au sens de l'article 9 du RGPD
- Données de communication : messages échangés, historique des sessions
- Données audio : enregistrements de sessions et transcriptions
- Documents : fichiers téléversés (CV, bilans, livrables)
- Données de connexion : adresses IP, logs d'accès
- Données de facturation : informations transmises via Stripe (adresse de facturation, numéro de TVA)
2.3 Personnes concernées
- Candidats (bénéficiaires de l'accompagnement)
- Coaches et administrateurs (utilisateurs professionnels du Client)
2.4 Durée du traitement
Le traitement est réalisé pendant toute la durée du Contrat de Service Principal. Les durées de conservation des données sont définies dans la Politique de Rétention.
Article 3 — Obligations du Sous-traitant
Conformément à l'article 28 du RGPD, le Sous-traitant s'engage à :
3.1 Traitement sur instruction documentée
Le Sous-traitant ne traite les données personnelles que sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de données vers un pays tiers. Si le Sous-traitant est tenu de procéder à un transfert en vertu du droit de l'Union ou du droit d'un État membre, il en informe le Responsable du traitement avant le traitement, sauf interdiction légale.
Les instructions du Responsable du traitement sont constituées par le présent DPA, le MSA et les CGU.
3.2 Confidentialité
Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité contractuelle ou légale.
3.3 Sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, telles que décrites dans la Documentation Sécurité & Architecture, et notamment :
- chiffrement des données en transit (HTTPS/TLS 1.2+) ;
- hachage des mots de passe (bcrypt, 12 rounds de salage) ;
- chiffrement des tokens sensibles en base de données ;
- contrôle d'accès basé sur les rôles (RBAC) ;
- isolation des données par Organisation ;
- journalisation des accès et des actions d'administration ;
- sauvegardes régulières ;
- séparation des environnements (développement, staging, production).
3.4 Sous-traitants ultérieurs
Le Sous-traitant est autorisé à faire appel aux sous-traitants ultérieurs listés ci-dessous. Le Responsable du traitement est réputé avoir donné son accord général au sens de l'article 28, paragraphe 2, du RGPD.
| Sous-traitant ultérieur | Traitement | Localisation | Garanties transferts hors UE |
|---|---|---|---|
| Hostinger | Hébergement application et base de données | Lituanie (UE) | N/A — UE |
| Cloudflare | CDN, protection réseau, stockage fichiers (R2) | États-Unis | Clauses Contractuelles Types (SCC) ; DPA Cloudflare |
| Anthropic | Intelligence artificielle (API Claude) | États-Unis | SCC ; DPA Anthropic ; pas d'entraînement sur les données API |
| Deepgram | Transcription audio | États-Unis | SCC ; DPA Deepgram |
| Stripe | Paiement et facturation | États-Unis | SCC ; certification PCI-DSS |
| Resend | Envoi d'emails transactionnels | États-Unis | SCC |
| Pusher | Messagerie temps réel | Royaume-Uni | Décision d'adéquation Royaume-Uni |
| OAuth, calendrier (optionnel) | États-Unis | SCC | |
| Langfuse | Observabilité IA (optionnel) | UE | N/A — UE |
| France Travail | Référentiel métiers ROME (API publique) | France (UE) | N/A — UE ; données publiques |
| Adzuna | Agrégation d'offres d'emploi (API) | États-Unis | SCC |
| Jooble | Recherche d'offres d'emploi (API) | États-Unis | SCC |
| QuiForme | Recherche de formations professionnelles (API) | France (UE) | N/A — UE |
| Mistral | Embeddings IA, OCR, et fallback de complétion en cas d'indisponibilité Anthropic | France (UE) | N/A — UE ; DPA Mistral AI |
| Groq | Transcription audio (Whisper, alternative à Deepgram) | États-Unis | SCC ; DPA Groq |
| Caisse des Dépôts | Recherche de formations CPF (API open data) | France (UE) | N/A — open data, aucune donnée personnelle transmise |
| Google Fonts | Chargement police de caractères | États-Unis | Transfert IP uniquement ; pas de cookie |
| Notion | Retours utilisateurs (aucune donnée personnelle transmise) | États-Unis | N/A — pas de données personnelles |
En cas de changement ou d'ajout d'un sous-traitant ultérieur, le Sous-traitant en informe le Responsable du traitement par email au moins 30 jours avant la mise en œuvre du changement. Le Responsable du traitement peut s'opposer au changement dans ce délai, par écrit motivé. En cas d'opposition légitime, les Parties se rapprochent pour trouver une solution. À défaut, le Responsable du traitement peut résilier le Contrat.
Le Sous-traitant s'assure que chaque sous-traitant ultérieur est lié par des obligations de protection des données équivalentes à celles du présent DPA.
3.5 Assistance au Responsable du traitement
Le Sous-traitant assiste le Responsable du traitement :
- pour répondre aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD), selon la Procédure d'Exercice des Droits ;
- pour assurer le respect des obligations relatives à la sécurité, à la notification des violations, aux analyses d'impact et à la consultation préalable (articles 32 à 36 du RGPD).
3.6 Notification des violations de données
En cas de violation de données personnelles au sens de l'article 33 du RGPD, le Sous-traitant notifie le Responsable du traitement dans les meilleurs délais et au plus tard dans les 48 heures suivant la prise de connaissance de la violation.
La notification comprend :
- la nature de la violation (catégories de données et de personnes concernées, nombre approximatif) ;
- les conséquences probables ;
- les mesures prises ou envisagées pour y remédier ;
- le point de contact du Sous-traitant.
Le Responsable du traitement reste responsable de la notification à la CNIL (dans les 72 heures, article 33 du RGPD) et aux personnes concernées (article 34 du RGPD) le cas échéant.
3.7 Sort des données en fin de contrat
À l'expiration ou à la résiliation du Contrat :
- le Sous-traitant met à disposition du Responsable du traitement l'ensemble de ses données dans un format structuré et couramment utilisé (JSON, CSV) pendant 30 jours ;
- à l'issue de ce délai de 30 jours, le Sous-traitant procède à la suppression de l'ensemble des données personnelles, sauf obligation légale de conservation (notamment les données de facturation conservées 10 ans conformément au Code de commerce) ;
- le Sous-traitant délivre un certificat de suppression sur demande du Responsable du traitement.
Article 4 — Obligations du Responsable du traitement
Le Responsable du traitement s'engage à :
- s'assurer de la licéité des traitements qu'il met en œuvre via la Plateforme ;
- recueillir les consentements nécessaires auprès des personnes concernées, en particulier pour le traitement des données sensibles (article 9 du RGPD) ;
- informer les personnes concernées conformément aux articles 13 et 14 du RGPD ;
- documenter ses propres instructions de traitement ;
- notifier au Sous-traitant toute modification de ses instructions de traitement.
Article 5 — Transferts de données hors de l'Union européenne
Certains sous-traitants ultérieurs sont situés aux États-Unis. Les transferts de données vers ces prestataires sont encadrés par :
- les Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), intégrées dans les DPA respectifs de chaque sous-traitant ultérieur ;
- le cas échéant, le EU-US Data Privacy Framework lorsque le prestataire est certifié.
Le Sous-traitant s'engage à ne transférer des données vers un pays tiers qu'en conformité avec le chapitre V du RGPD (articles 44 à 49).
Article 6 — Audit
Le Responsable du traitement dispose d'un droit d'audit des pratiques du Sous-traitant en matière de protection des données, dans les conditions suivantes :
- fréquence : une fois par an, sauf incident de sécurité justifiant un audit supplémentaire ;
- préavis : 30 jours minimum ;
- modalités : questionnaire écrit et/ou audit sur site (ou à distance) réalisé par le Responsable du traitement ou un tiers mandaté, soumis à une obligation de confidentialité ;
- périmètre : limité aux traitements réalisés pour le compte du Responsable du traitement ;
- restrictions : l'audit ne peut porter atteinte au secret des affaires de l'Éditeur ni perturber le fonctionnement de la Plateforme.
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA.
Article 7 — Responsabilité
Chaque Partie est responsable des dommages résultant de la violation de ses obligations au titre du présent DPA, dans les limites prévues au MSA, article 12.
Le Sous-traitant n'est pas responsable des dommages résultant d'un traitement effectué conformément aux instructions documentées du Responsable du traitement.
Article 8 — Durée
Le présent DPA entre en vigueur à la date de signature du MSA (ou d'acceptation des CGV) et reste en vigueur pendant toute la durée du Contrat, ainsi que pendant la durée nécessaire à la suppression ou à la restitution des données conformément à l'article 3.7.
Article 9 — Droit applicable
Le présent DPA est régi par le droit français et par le Règlement (UE) 2016/679 (RGPD).
Accord de Traitement des Données rédigé conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée et aux recommandations de la CNIL.