ACCORD DE TRAITEMENT DES DONNÉES (Data Processing Agreement – DPA)

1. Parties

Le présent Accord de Traitement des Données (ci-après le « DPA ») est conclu entre :
Le Client, agissant en qualité de Responsable de traitement, et Corta, telle qu’identifiée aux Conditions Générales de Vente, agissant en qualité de Sous-traitant au sens de l’article 4.8 du Règlement (UE) 2016/679 (RGPD).
Le présent DPA fait partie intégrante des CGV et du devis accepté. En cas de contradiction, le présent DPA prévaut sur les CGV pour tout ce qui concerne les données personnelles[cite: 6].

2. Objet du DPA

Le présent DPA a pour objet de définir les conditions dans lesquelles Corta traite, pour le compte du Client, des données à caractère personnel dans le cadre des prestations de déploiement de serveurs et de solutions d’intelligence artificielle on-premise.
Corta n’intervient jamais comme Responsable de traitement.

3. Description des traitements

3.1 Nature des opérations

Les traitements susceptibles d’être réalisés par Corta sont strictement limités à :

  • accès ponctuel aux données à des fins d’installation, de configuration ou de diagnostic,
  • tests techniques nécessaires à la mise en service,
  • assistance technique à la demande expresse du Client.

3.2 Finalités

Les traitements sont réalisés exclusivement pour :

  • exécuter les prestations prévues au devis,
  • assurer le bon fonctionnement initial du serveur et des solutions déployées.

Aucune autre finalité n’est autorisée.

3.3 Catégories de données

Les données sont déterminées exclusivement par le Client et peuvent inclure, selon son activité:

  • données d’identification,
  • données professionnelles,
  • contenus métiers,
  • données sensibles au sens du RGPD, sous l’entière responsabilité du Client.

Corta ne détermine jamais la nature des données traitées.

3.4 Personnes concernées

Salariés, collaborateurs, clients, patients, usagers ou toute autre catégorie définie par le Client.

4. Obligations du Client (Responsable de traitement)

Le Client garantit:

  • la licéité des traitements et des données confiées,
  • la conformité au RGPD, au droit français et à sa réglementation sectorielle,
  • l’information des personnes concernées,
  • la mise en place des bases légales appropriées.

Le Client est seul responsable des données injectées dans les modèles d’IA et de l’usage des résultats produits.

5. Obligations de Corta (Sous-traitant)

Corta s’engage à:

  • traiter les données uniquement sur instruction documentée du Client,
  • ne jamais exploiter, réutiliser ou conserver les données pour son propre compte,
  • ne pas transférer de données hors de l’environnement du Client,
  • garantir la confidentialité des données traitées,
  • veiller à ce que les personnes autorisées à intervenir soient soumises à une obligation de confidentialité.

Corta n’effectue aucun hébergement, sauvegarde distante ou traitement externalisé.

6. Sécurité des données

Corta met en œuvre des mesures techniques et organisationnelles appropriées, incluant notamment:

  • déploiement exclusivement en environnement on-premise,
  • accès restreints aux seules personnes habilitées,
  • interventions techniques limitées dans le temps,
  • absence de copie locale ou distante des données,
  • suppression immédiate de tout accès après intervention.

Le Client demeure responsable de la sécurité globale de son infrastructure après la mise en service.

7. Sous-traitance ultérieure

Corta ne fait appel à aucun sous-traitant ultérieur impliquant un accès aux données personnelles du Client sans son accord écrit préalable.

8. Assistance au Client

Dans la limite raisonnable de ses moyens, Corta assiste le Client pour:

  • la gestion des demandes d’exercice de droits des personnes concernées,
  • la notification des violations de données,
  • la réalisation d’analyses d’impact (DPIA), lorsque cela est requis.

Toute assistance excédant le périmètre initial pourra être facturée.

9. Violations de données

Corta notifie au Client toute violation de données personnelles dont elle aurait connaissance, dans les meilleurs délais après en avoir pris connaissance.
Cette notification inclut les informations disponibles permettant au Client de satisfaire à ses obligations réglementaires.

10. Sort des données en fin de prestation

À l’issue des prestations:

  • Corta ne conserve aucune donnée personnelle du Client,
  • tout accès technique est définitivement supprimé,
  • aucune restitution n’est nécessaire, les données demeurant physiquement chez le Client.

11. Audit

Le Client peut auditer le respect du présent DPA sur justificatifs documentaires uniquement.
Tout audit sur site ou technique est exclu, sauf obligation légale impérative.

12. Responsabilité

La responsabilité de Corta au titre du présent DPA est strictement encadrée par l’article « Responsabilités » des CGV.
Corta ne saurait être tenue responsable:

  • des choix du Client quant aux données traitées,
  • des résultats produits par les modèles d’IA,
  • des décisions prises sur la base de ces résultats.

13. Droit applicable – juridiction

Le présent DPA est soumis au droit français.
Tout litige relève de la juridiction prévue aux CGV.

14. Entrée en vigueur

Le présent DPA entre en vigueur à la date de signature du devis par le Client.

DPA CGVMentions légalesLinkedIn