Passer au contenu principal

Accord de Traitement des Données

Dernière mise à jour : 24 février 2026

Conformément à l'Article 28 du Règlement (UE) 2016/679 (RGPD).

Qui a besoin de ce DPA ? Cet Accord de Traitement des Données s'applique aux clients professionnels (« Responsables de traitement ») qui utilisent Veluvanto pour traiter les données personnelles de leurs propres clients, employés ou autres individus dans le cadre de leurs activités professionnelles. Si vous utilisez Veluvanto uniquement pour un usage personnel, la Politique de confidentialité standard s'applique.

En utilisant Veluvanto en tant que client professionnel, vous acceptez les termes de ce DPA. Pour un DPA signé ou un DPA entreprise personnalisé, contactez legal@veluvanto.com.

1. Parties et définitions

Cet Accord de Traitement des Données (« DPA ») est conclu entre :

  • Responsable de traitement : Le client professionnel ou l'organisation qui a accepté les Conditions de service de Veluvanto et utilise Veluvanto pour traiter des données personnelles pour le compte de son entreprise (« vous »).
  • Sous-traitant : Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO : 249 15 122 (« Veluvanto », « nous »).

Les termes non définis ici ont la signification qui leur est donnée dans le RGPD (Règlement (UE) 2016/679).

2. Objet et nature du traitement

Veluvanto traite des données personnelles pour le compte du Responsable de traitement afin de fournir des services de gestion documentaire, incluant :

  • Stockage et indexation des documents téléchargés par le Responsable de traitement
  • Analyse, catégorisation et extraction de métadonnées par IA
  • Recherche plein texte et sémantique dans les documents
  • Réponses de l'assistant chat IA basées sur le contenu des documents
  • Traduction et résumé de documents
  • Rappels automatisés basés sur le contenu des documents
  • Toute autre fonctionnalité décrite dans la documentation du service Veluvanto

3. Catégories de données personnelles traitées

legal.dpa.section3.prose

Catégories particulières de données :Le Responsable de traitement ne doit pas téléverser de documents contenant des catégories particulières de données à caractère personnel (données de santé, origine raciale/ethnique, etc.) telles que définies à l'Article 9 du RGPD, à moins d'avoir obtenu le consentement écrit préalable de Veluvanto et de disposer d'une base juridique appropriée pour un tel traitement. Contactezlegal@veluvanto.com pour des arrangements spécifiques.

4. Catégories de personnes concernées

Les personnes concernées dont les données personnelles peuvent être traitées incluent : les clients du Responsable de traitement, les fournisseurs, les partenaires commerciaux, les employés, les prestataires, ou tout autre individu dont les données personnelles apparaissent dans les documents téléchargés sur Veluvanto.

5. Durée du traitement

Le traitement se poursuit pendant la durée de l'accord de service Veluvanto. À la résiliation de l'accord, les données sont traitées comme décrit à la Section 12 (Restitution et suppression des données).

6. Obligations du Sous-traitant (Veluvanto)

Veluvanto (en tant que Sous-traitant) s'engage à :

  • Traiter les données personnelles uniquement sur instructions documentées du Responsable de traitement (les Conditions de service et ce DPA constituent ces instructions)
  • Veiller à ce que les personnes autorisées à traiter les données personnelles soient liées par des obligations de confidentialité
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (Article 32 du RGPD)
  • Ne pas faire appel à des sous-traitants ultérieurs sans autorisation préalable, spécifique ou générale, du Responsable de traitement (voir Section 9 pour la liste actuelle des sous-traitants autorisés)
  • Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (Articles 15–22 GDPR)
  • Aider le Responsable de traitement pour les obligations de sécurité, la notification de violation, les analyses d'impact (DPIA) et la consultation des autorités de contrôle
  • Supprimer ou restituer toutes les données personnelles à la fin du service (voir Section 12)
  • Fournir au Responsable de traitement toutes les informations nécessaires pour démontrer la conformité à l'Article 28 du RGPD
  • Notifier le Responsable de traitement de toute violation de données personnelles dans les meilleurs délais (sous 72 heures après en avoir pris connaissance)

7. Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

  • S'assurer qu'une base légale valide existe pour le traitement des données personnelles téléchargées sur Veluvanto
  • Fournir les informations nécessaires aux personnes concernées sur le traitement (incluant l'utilisation de Veluvanto comme sous-traitant)
  • S'assurer que les données personnelles fournies à Veluvanto sont exactes et pertinentes
  • Ne pas donner d'instructions à Veluvanto pour traiter des données à caractère personnel d'une manière qui violerait le RGPD ou la loi applicable
  • Respecter ses propres obligations en tant que Responsable du traitement en vertu du RGPD

8. Mesures de sécurité techniques et organisationnelles

Veluvanto met en œuvre les mesures de sécurité suivantes pour protéger les données à caractère personnel :

8.1 Chiffrement

  • Données en transit : chiffrement TLS 1.2+ pour tous les transferts de données
  • Données au repos : chiffrement AES-256 pour les données et documents stockés

8.2 Contrôles d'accès

  • Contrôle d'accès basé sur les rôles (RBAC) pour tous les accès au système
  • Authentification multi-facteurs requise pour l'accès administratif
  • Principe du moindre privilège appliqué à l'ensemble du personnel
  • Journaux d'accès (logs) tenus pour tout accès aux données

8.3 Sécurité de l'infrastructure

  • Documents et données stockés sur le stockage objet Backblaze B2 dans des centres de données de l'UE (Amsterdam, Pays-Bas) ; Backblaze détient la certification SOC 2 Type II
  • Serveurs d'application hébergés sur l'infrastructure de Hetzner Online GmbH dans des centres de données de l'UE (Allemagne/Finlande) ; Hetzner détient la certification ISO/IEC 27001:2022 (SOCOTEC, valide 2025–2028)
  • Évaluations de sécurité régulières et tests d'intrusion (penetration testing)
  • Procédures de gestion des vulnérabilités et de gestion des correctifs (patch management)
  • Protection DDoS et surveillance de la sécurité du réseau

8.4 Mesures organisationnelles

  • Accords de confidentialité du personnel et formation à la protection des données
  • Procédures de réponse aux incidents et plan de réponse aux violations de données
  • Principes de minimisation des données appliqués à l'ensemble du service

9. Sous-traitants ultérieurs

En acceptant ce DPA, le Responsable du traitement donne une autorisation générale à Veluvanto pour faire appel aux catégories suivantes de sous-traitants ultérieurs :

Sous-traitant Finalité Emplacement
Google LLC Fournisseur d'identité (authentification OAuth) États-Unis (SCC)
Microsoft Corporation Fournisseur d'identité (authentification OAuth) UE/États-Unis (l'addendum relatif à la protection des données de Microsoft s'applique)
Paddle.com Market Ltd. Traitement des paiements (marchand officiel) Royaume-Uni (décision d'adéquation du Royaume-Uni)
Google LLC (Vertex AI) Inférence de modèles d'AI (modèles Gemini) pour le traitement de documents, la recherche sémantique et le chat AI UE (région Google Cloud europe-west ; aucun transfert hors EEE ; l'addendum relatif au traitement des données de Google Cloud s'applique ; les données API ne sont pas utilisées pour l'entraînement des modèles par défaut)
Backblaze, Inc. Stockage objet principal pour les documents et les sauvegardes (B2 Cloud Storage) UE (Amsterdam, Pays-Bas ; certifié SOC 2 Type II)
IDrive, Inc. Stockage objet pour la reprise après sinistre UE (Francfort, Allemagne)
Hetzner Online GmbH Infrastructure cloud et serveurs d'application UE (Allemagne / Finlande ; certifié ISO/IEC 27001:2022)
Cloudflare, Inc. Réseau de diffusion de contenu (CDN), protection DDoS et sécurité réseau (traite les métadonnées des requêtes HTTP : adresses IP, chaînes user-agent, horodatages des requêtes) États-Unis (SCC)

Veluvanto informera le Responsable du traitement de tout changement prévu concernant les sous-traitants ultérieurs en mettant à jour cette liste avec un préavis d'au moins 14 jours (par e-mail ou mise à jour du site web). Le Responsable du traitement peut s'opposer aux nouveaux sous-traitants ultérieurs dans les 14 jours suivant la notification. Si Veluvanto ne peut pas satisfaire à l'objection, le Responsable du traitement peut résilier le service.

Tous les sous-traitants ultérieurs sont liés par des accords de traitement de données contenant des obligations de protection des données équivalentes à celles du présent DPA.

10. Transferts internationaux de données

Lorsque des données à caractère personnel sont transférées à des sous-traitants ultérieurs en dehors de l'EEE, ces transferts sont protégés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (Décision d'exécution (UE) 2021/914 de la Commission), ou d'autres garanties appropriées en vertu de l'article 46 du RGPD. Le Responsable du traitement peut demander des copies de ces garanties auprès delegal@veluvanto.com.

11. Assistance concernant les droits des personnes concernées

Veluvanto aidera le Responsable du traitement à répondre aux demandes de droits des personnes concernées en vertu des articles 15 à 22 du RGPD. Lorsque cela est techniquement possible, le Responsable du traitement peut répondre à de nombreux droits directement via l'application Veluvanto (ex: export de données, suppression de compte).

Pour les demandes nécessitant l'implication directe de Veluvanto, contactez privacy@veluvanto.com. Veluvanto répondra dans un délai de 5 jours ouvrables et fournira son assistance dans un délai permettant au Responsable du traitement de respecter les échéances de réponse du RGPD.

12. Restitution et suppression des données

À la fin du service ou à la demande du Responsable du traitement :

  • Exportation des données : Le Responsable du traitement peut exporter tous les documents et données via la fonction d'exportation de l'application à tout moment pendant la durée du service
  • Suppression à la résiliation :Dans les 30 jours suivant la suppression du compte ou la résiliation du service, Veluvanto supprimera définitivement toutes les données à caractère personnel, y compris les documents, les métadonnées et le contenu généré par l'IA, à moins que la conservation ne soit requise par la loi applicable.
  • Confirmation : Sur demande, Veluvanto fournira une confirmation écrite de la suppression

Les dossiers de facturation et les journaux d'audit requis par la loi peuvent être conservés conformément à la loi comptable tchèque (loi n° 563/1991 Coll.) pendant une durée allant jusqu'à 10 ans.

13. Droits d'audit

Veluvanto mettra à disposition toutes les informations nécessaires pour démontrer la conformité au présent DPA. Le Responsable du traitement peut demander un audit des activités de traitement des données de Veluvanto en :

  • Demandant la documentation des mesures de sécurité et les rapports de conformité
  • Demandant des rapports d'audit tiers (certification ISO 27001, SOC 2, etc.) lorsqu'ils sont disponibles
  • Réalisant des audits ou des inspections sur rendez-vous (avec un préavis d'au moins 30 jours, aux frais du Responsable du traitement et sous réserve d'obligations de confidentialité raisonnables)

14. Notification de violation de données

En cas de violation de données à caractère personnel affectant les données du Responsable du traitement, Veluvanto en informera le Responsable du traitement sans retard injustifié et dans les 72 heures suivant la prise de connaissance de la violation. La notification comprendra les informations disponibles sur : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées. Des informations supplémentaires seront fournies au fur et à mesure qu'elles seront disponibles.

15. Droit applicable

Ce DPA est régi par les lois de la République tchèque et le droit de l'UE applicable, y compris le RGPD. Tout litige sera résolu conformément aux dispositions relatives à la loi applicable des Conditions d'utilisation de Veluvanto.

16. DPA signé

Si votre organisation nécessite un DPA signé séparément (par ex. pour des exigences de conformité d'entreprise), veuillez nous contacter à legal@veluvanto.com. Nous vous fournirons une copie signée dans un délai raisonnable.

17. Contact

Pour toutes les demandes liées au DPA :

Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praha 10
E-mail : legal@veluvanto.com
Confidentialité : privacy@veluvanto.com