Aller au contenu principal
Intelligence
Modèle DPA — Article 28 RGPD

Data Processing Agreement

Modèle standard de contrat de sous-traitance conclu entre Zedream Ltd (« HUMAIN ») et le client utilisant la plateforme. Pour la version signée par les deux parties, écrivez à privacy@humain-01.com.

1. Parties

Sous-traitant : Zedream Ltd, société immatriculée au Royaume-Uni sous le numéro 15531321, exploitant la plateforme HUMAIN (ci-après « le Sous-traitant »).

Responsable de traitement : la personne morale ou physique ayant souscrit au service HUMAIN, telle qu'identifiée dans les conditions d'utilisation ou la commande (ci-après « le Responsable »).

2. Objet

Le présent accord encadre les traitements de données à caractère personnel effectués par le Sous-traitant pour le compte du Responsable dans le cadre de la fourniture du service HUMAIN, conformément à l'Article 28 du Règlement (UE) 2016/679 (RGPD).

3. Durée

L'accord prend effet à la date d'acceptation des conditions d'utilisation et reste en vigueur pendant toute la durée de la fourniture du service. Il s'achève automatiquement à la résiliation du contrat principal.

4. Nature et finalité du traitement

  • Nature : collecte, stockage, transmission et traitement automatisé via des modèles de langage (LLMs).
  • Finalité : fournir au Responsable un assistant multi-agent opérant pour son compte (rédaction, planification, automatisation).
  • Types de données traitées : données d'identification (nom, email), données professionnelles (fonction, entreprise), contenus échangés avec les agents (messages, fichiers), données techniques (logs, métadonnées).
  • Catégories de personnes concernées : utilisateurs du Responsable et tierces parties dont les données sont saisies par lui dans la plateforme.

5. Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instruction documentée du Responsable.
  • Garantir la confidentialité par tout personnel autorisé à accéder aux données.
  • Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 7 (sécurité).
  • Assister le Responsable dans le respect de ses obligations (réponse aux demandes de droits, notifications, analyses d'impact).
  • Supprimer ou restituer les données à la fin du contrat (cf. Article 10).
  • Tenir à disposition du Responsable la documentation nécessaire à l'audit de conformité.

6. Sous-traitance ultérieure

Le Responsable autorise le Sous-traitant à recourir aux sous-processeurs listés sur la page Trust Center (notamment OpenAI, Anthropic, Supabase, Vercel, Stripe, Resend). Toute modification fera l'objet d'une notification au moins 30 jours avant entrée en vigueur, le Responsable disposant d'un droit d'opposition motivé.

7. Sécurité

Le Sous-traitant met en œuvre les mesures suivantes :

  • Chiffrement des données au repos (AES-256) et en transit (TLS 1.3).
  • Row Level Security (RLS) Postgres garantissant l'isolation par tenant.
  • Authentification renforcée pour les comptes administrateurs.
  • Journalisation des accès aux données sensibles.
  • Sauvegardes chiffrées avec rétention limitée.
  • Politique de gestion des incidents (cf. Article 8).

8. Notification de violation

En cas de violation de données affectant les traitements visés par le présent accord, le Sous-traitant notifie le Responsable dans les 72 heures suivant la prise de connaissance, en fournissant nature, volume, conséquences probables et mesures prises, conformément à l'Article 33 du RGPD.

9. Transferts hors UE

Certains sous-processeurs sont établis hors UE/EEE (notamment États-Unis). Les transferts s'effectuent sur la base des Clauses Contractuelles Types de la Commission européenne (Décision 2021/914), complétées le cas échéant par des mesures techniques supplémentaires.

10. Restitution et suppression

À l'expiration du contrat, et selon l'instruction du Responsable, le Sous-traitant :

  • Restitue l'ensemble des données dans un format structuré et couramment utilisé, ou
  • Procède à leur destruction dans un délai maximum de 30 jours, sauf obligation légale de conservation.

Un certificat de destruction est fourni sur demande.

11. Audit

Le Responsable peut demander, une fois par an, la communication de la documentation attestant du respect des obligations du présent accord (rapports SOC 2, ISO 27001 dès qu'ils seront disponibles, registre des traitements). Tout audit sur site devra être négocié avec un préavis raisonnable et aux frais du Responsable.

12. Droit applicable

Le présent accord est régi par le droit applicable au contrat principal, en cohérence avec le RGPD et, le cas échéant, le UK GDPR, la Loi 25 du Québec et la PIPEDA canadienne.

13. Contact

Pour toute question relative au présent DPA ou pour obtenir la version contre-signée : privacy@humain-01.com.

Version 1.0 — Dernière mise à jour : 23 mai 2026 · Zedream Ltd, Company No. 15531321 (UK)

Obtenir le DPA signé

Pour recevoir une version PDF contre-signée applicable à votre contrat, envoyez une demande à notre équipe Privacy.

Demander le DPA signé
Data Processing Agreement (DPA) | HUMAIN