Data Processing Agreement (DPA)
Cet accord encadre le traitement des données personnelles que tu nous confies en tant que client professionnel (B2B). Il s'ajoute aux CGU et précise nos engagements en tant que sous-traitant au sens du RGPD et de la loi algérienne 18-07.
1. Définitions
- « Contrôleur » : toi, le client, qui détermines les finalités et moyens du traitement des données personnelles que tu nous confies.
- « Sous-traitant » : IAFactory.dz, qui traite ces données pour ton compte selon tes instructions.
- « Sous-traitant ultérieur » : tiers que nous engageons pour assurer une partie du traitement (Supabase, Anthropic, Stripe, etc.).
- « Données personnelles » : toute information relative à une personne physique identifiée ou identifiable, au sens du RGPD et de la loi 18-07.
- « Violation » : tout incident de sécurité entraînant accidentellement ou illicitement la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles.
2. Objet et durée
Le présent DPA s'applique pendant toute la durée de ton abonnement à IAFactory.dz, et survit jusqu'à la restitution ou suppression complète des données te concernant après résiliation (30 jours).
3. Nature et finalité du traitement
- Finalité : fournir le service IAFactory.dz — inférence sur tes prompts, lecture et Q&A sur tes documents PDF, calcul de coût en DZD, facturation, support.
- Catégories de données : identifiants de compte (e-mail, mot de passe hashé), contenu des prompts, contenu des PDF, métadonnées d'usage, identifiants de paiement Stripe, logs techniques.
- Catégories de personnes : toi (client) et, le cas échéant, les personnes mentionnées dans les contenus que tu nous transmets (collaborateurs, clients, tiers).
- Durée du traitement : variable selon le type de donnée (voir Politique de confidentialité section 7).
4. Obligations du Sous-traitant (IAFactory.dz)
Nous nous engageons à :
- Traiter les données uniquement sur tes instructions documentées (le contrat lui-même valant instructions).
- Garantir la confidentialité — accès strictement limité au personnel autorisé, sous engagement de confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles décrites à la section 7.
- Encadrer tout recours à un sous-traitant ultérieur par les mêmes obligations contractuelles.
- T'assister dans la réponse aux demandes d'exercice des droits (accès, rectification, effacement, portabilité).
- Te notifier toute violation dans les 72 heures de sa découverte.
- À la fin du contrat, supprimer ou restituer les données selon ton choix.
- Mettre à ta disposition toute information nécessaire pour démontrer le respect de nos obligations et, le cas échéant, te permettre d'auditer (audit raisonnable, préavis 30 jours, sous engagement de confidentialité).
5. Obligations du Contrôleur (toi)
- Disposer d'une base légale pour traiter les données que tu nous transmets.
- Informer les personnes concernées de l'utilisation d'IAFactory.dz.
- Ne pas nous transmettre de données sensibles (santé, opinions politiques, biométrie) sans accord écrit préalable.
- Configurer correctement ton compte et tes droits d'accès.
6. Sous-traitants ultérieurs
Tu nous autorises, par les présentes, à recourir aux sous-traitants ultérieurs ci-dessous. Tout ajout ou remplacement te sera notifié au moins 30 jours à l'avance avec droit d'objection motivé.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | DB Postgres, Auth, stockage logs | UE / US | CCT UE + DPA Supabase |
| OpenRouter | Routing API vers fournisseurs IA | US | DPA OpenRouter |
| Anthropic | Inférence Claude | US | DPA Anthropic, no-training par défaut |
| Stripe | Paiement, facturation | US / IE | CCT UE + DPA Stripe |
| Hetzner Online | Hébergement applicatif | Allemagne (UE) | DPA Hetzner |
7. Mesures de sécurité
Nous mettons en œuvre, en cohérence avec l'état de l'art et le niveau de risque, les mesures suivantes :
- Chiffrement en transit (TLS 1.2+ minimum sur toutes les requêtes API et navigateur).
- Chiffrement au repos par défaut pour la base de données Supabase et les sauvegardes.
- Authentification forte et mots de passe hashés (bcrypt) côté Supabase Auth.
- Principe du moindre privilège : seul le service_role Supabase contourne RLS, restreint au backend.
- Rate-limiting applicatif pour limiter l'abus.
- Logs d'accès et de modification conservés à des fins d'audit.
- Pseudonymisation par defaut dans les logs (user_id Supabase, pas l'e-mail).
- Sauvegardes régulières via Supabase (backup PITR sur les plans Pro).
- Tests de récupération et plan de continuité en cours de formalisation.
8. Transferts internationaux
Certains sous-traitants traitent les données aux États-Unis ou dans d'autres juridictions hors UE/Algérie. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et, lorsque la loi 18-07 algérienne l'exige, par une notification ANPDP (en cours de formalisation).
9. Violations de données
- Notification : nous te notifions toute violation dans les 72 h de sa découverte.
- La notification comprend : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou proposées.
- Nous coopérons avec toi pour ton éventuelle notification aux autorités (CNIL, ANPDP) et aux personnes concernées.
10. Restitution et suppression des données
À la fin du contrat, et au plus tard 30 jours après ta demande :
- Toutes les données personnelles te concernant sont supprimées de nos systèmes de production.
- Une copie peut être conservée pendant la durée nécessaire au respect des obligations légales (facturation : 10 ans comptable algérien).
- Sur demande écrite, nous te fournissons un export structuré de tes données dans un format machine-lisible.
11. Coopération en cas de demandes des autorités
En cas de demande d'accès aux données émanant d'une autorité publique, nous t'informons sans délai sauf interdiction légale formelle. Nous nous opposons aux demandes manifestement infondées dans la limite des moyens légaux disponibles.
12. Responsabilité et indemnisation
Chaque partie est responsable des dommages causés par la violation de ses obligations issues du présent DPA. La limitation de responsabilité prévue aux CGU s'applique.
13. Loi applicable et juridiction
Mêmes dispositions qu'aux CGU (droit algérien, tribunaux d'Alger).
14. Contact DPO
Pour toute question DPA, demande d'exercice de droits déléguée, ou notification d'incident : contact@iafactoryalgeria.com (objet : DPA).