Accord de traitement des données (DPA)

Date d'entrée en vigueur : 10 février 2026 · Version : 1.0

Le présent Accord de traitement des données (“DPA”) explique comment Rakenne traite des données à caractère personnel pour le compte des clients qui utilisent la plateforme Rakenne sur rakenne.app (le “Service”). Il complète et fait partie intégrante des Conditions d’utilisation ou de tout autre accord écrit ou électronique conclu entre vous et Rakenne (l’“Accord principal”).

En cas de conflit entre le présent DPA et l’Accord principal sur la question du traitement des données, le DPA prévaut. En continuant à utiliser le Service après la date d’entrée en vigueur ci‑dessus, vous acceptez ce DPA. Si vous avez besoin d’un exemplaire signé, contactez‑nous à privacy@rakenne.app .

1. Rôles, base légale et vue d’ensemble

1.1 Qui fait quoi

  • Vous agissez en tant que “responsable du traitement” des données à caractère personnel au sens du RGPD et des autres lois applicables en matière de protection des données.
  • Rakenne agit en tant que “sous‑traitant” lorsqu’elle traite des données à caractère personnel pour votre compte dans le cadre de l’exploitation du Service.

Vous décidez quelles données sont téléchargées, combien de temps elles sont conservées, quels espaces de travail vous créez et qui, de votre côté, y a accès. Nous exploitons l’infrastructure et traitons les données à caractère personnel uniquement pour fournir et sécuriser le Service, conformément à vos instructions documentées.

1.2 Champ d’application du DPA

Le présent DPA s’applique lorsque :

  • vous utilisez le Service pour stocker ou traiter des données à caractère personnel ; et
  • le RGPD ou des lois similaires en matière de protection des données considèrent Rakenne comme votre sous‑traitant.

Il décrit :

  • les types de données à caractère personnel que nous traitons et les finalités générales correspondantes,
  • les mesures de sécurité et garanties que nous mettons en œuvre,
  • la manière dont nous travaillons avec des sous‑traitants ultérieurs et gérons les transferts internationaux de données, et
  • la façon dont nous vous aidons à respecter vos propres obligations en tant que responsable du traitement.

1.3 Description générale du traitement

Rakenne est un environnement assisté par IA permettant de concevoir et d’exécuter des workflows de documents. Dans ce contexte, nous :

  • hébergeons des locataires, projets et espaces de travail ;
  • stockons et traitons des documents, workflows et interactions de chat ;
  • effectuons de l’inférence IA avec des fournisseurs de modèles tiers sélectionnés ; et
  • conservons des journaux et données opérationnelles afin de sécuriser et d’améliorer le Service.

Nous n’utilisons pas les données à caractère personnel que nous traitons pour votre compte pour entraîner des modèles d’IA génériques et nous ne vendons ni ne louons ces données.

2. Types de données et opérations de traitement

2.1 Catégories de données à caractère personnel

Selon votre configuration et votre utilisation, nous pouvons traiter :

  • Données utilisateur et de compte – noms, adresses e‑mail, identifiants de connexion, rôles et appartenance à des espaces de travail ;
  • Données de contenu – documents, workflows, commentaires, prompts et transcriptions de conversations que vous ou vos utilisateurs créez ou téléchargez ;
  • Données d’utilisation et techniques – journaux d’activité, horodatages, métriques d’utilisation des fonctionnalités, adresses IP, informations de navigateur et identifiants d’appareils susceptibles de constituer des données à caractère personnel ;
  • Données de facturation – données de facturation limitées, traitées principalement par notre prestataire de paiement (Stripe), comme des identifiants de paiement et des détails d’abonnement ;
  • Données potentiellement sensibles – informations susceptibles de relever des catégories particulières au sens de l’article 9 du RGPD ou d’autres données sensibles, lorsque vous choisissez de les inclure (voir section 5.2).

Vous décidez quelles informations sont introduites dans le Service et êtes responsable de veiller à ce que cette utilisation soit licite.

2.2 Nature et finalité du traitement

Nous effectuons pour votre compte diverses opérations sur les données à caractère personnel, notamment :

  • le stockage, la récupération et l’organisation des données de contenu et de compte ;
  • la transmission de données entre le Service et les appareils de vos utilisateurs ;
  • l’analyse et la génération basées sur l’IA (inférence uniquement) à l’aide de fournisseurs de modèles tiers configurés par nous ou par vous (Bring Your Own Key) ;
  • la journalisation, la surveillance et le dépannage pour maintenir la fiabilité et la sécurité du Service ; et
  • les sauvegardes et la restauration de données, soumises aux limites de conservation décrites dans ce DPA et dans notre Politique de confidentialité.

Nous effectuons ces opérations exclusivement :

  • pour fournir, maintenir, sécuriser et améliorer le Service ; et
  • pour respecter nos propres obligations légales.

3. Instructions, confidentialité et sécurité

3.1 Vos instructions

Nous traitons les données à caractère personnel strictement conformément :

  • au présent DPA et à l’Accord principal,
  • à votre configuration et à votre utilisation du Service (par exemple, locataires, espaces de travail, rôles, paramètres de modèles, options de conservation), et
  • à vos demandes écrites transmises via des canaux de support documentés.

Si nous estimons raisonnablement qu’une instruction contrevient au droit applicable en matière de protection des données, nous vous en informerons et pourrons suspendre le traitement concerné jusqu’à réception d’instructions clarifiées ou jusqu’à ce que nous soyons autorisés à poursuivre.

3.2 Confidentialité

Seul le personnel qui a besoin d’accéder aux données pour accomplir ses fonctions peut traiter des données à caractère personnel. Ces personnes :

  • sont liées par des obligations de confidentialité (contractuelles ou légales) ;
  • reçoivent une formation adaptée à leurs responsabilités ; et
  • accèdent aux données uniquement via des canaux authentifiés et journalisés.

3.3 Mesures de sécurité

Nous maintenons des mesures techniques et organisationnelles visant à protéger les données à caractère personnel contre la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés, qu’ils soient accidentels ou illicites. Ces mesures évoluent dans le temps, mais comprennent au minimum :

  • Contrôle d’accès et segmentation

    • Authentification pour les accès utilisateurs et administrateurs ;
    • Isolation des locataires et des espaces de travail pour éviter toute fuite de données entre clients ;
    • Contrôles d’accès basés sur les rôles pour le personnel, selon le principe du moindre privilège.

  • Chiffrement

    • Chiffrement des données en transit à l’aide de TLS moderne ;
    • Chiffrement des données au repos dans nos systèmes de stockage et de bases de données ;
    • Gestion adéquate des clés et des secrets.

  • Résilience et continuité

    • Utilisation d’une infrastructure cloud réputée (actuellement Google Cloud dans des régions situées aux États‑Unis) ;
    • Sauvegardes planifiées et testées ;
    • Procédures de surveillance, d’alerte et de réponse aux incidents.

  • Gouvernance et tests

    • Révision régulière de notre posture de sécurité ;
    • Journalisation et surveillance des événements de sécurité importants ;
    • Correction priorisée des vulnérabilités identifiées.

Des informations supplémentaires peuvent être fournies sur demande, sous réserve d’engagements de confidentialité raisonnables.

4. Sous‑traitants ultérieurs et services tiers

4.1 Recours à des sous‑traitants ultérieurs

Nous faisons appel à des tiers soigneusement sélectionnés (“sous‑traitants ultérieurs”) pour réaliser certaines activités de traitement nécessaires à la fourniture du Service. Vous nous autorisez à engager ces sous‑traitants ultérieurs, à condition que :

  • chaque sous‑traitant soit lié par des dispositions en matière de protection des données au moins aussi protectrices que celles du présent DPA ; et
  • nous demeurions responsables de l’exécution par nos sous‑traitants de leurs obligations à votre égard.

4.2 Sous‑traitants principaux

Nos principaux sous‑traitants incluent généralement :

  • Google Cloud – hébergement, bases de données et stockage ;
  • Stripe – facturation des abonnements et traitement des paiements ;
  • Fournisseurs de LLM – Anthropic, OpenAI ou Google lorsque nous fournissons la clé API et que vous n’utilisez pas Bring Your Own Key.

Des sous‑traitants supplémentaires peuvent être utilisés pour la journalisation, la surveillance, les opérations de support ou d’autres fonctions auxiliaires. Un registre détaillé et régulièrement mis à jour de nos prestataires, de leurs rôles, de leurs emplacements et des catégories de données est disponible sur notre page Sous‑traitants & traitement des données , qui doit être lue conjointement avec ce DPA.

4.3 Modifications et droit d’opposition

Si nous prévoyons d’ajouter ou de remplacer un sous‑traitant qui traitera des données à caractère personnel pour votre compte, nous vous en informerons à l’avance (par exemple par e‑mail, notifications dans l’application ou mise à jour publique) au moins 30 jours avant l’entrée en vigueur de la modification, sauf si une urgence opérationnelle impose un délai plus court sans réduire de manière substantielle le niveau de protection.

Si vous avez une objection raisonnable fondée sur des préoccupations en matière de protection des données, vous devez nous en informer pendant cette période. Nous travaillerons de bonne foi pour répondre à vos préoccupations, ce qui peut inclure des ajustements de configuration pour votre compte. Si aucune solution acceptable n’est possible, votre recours exclusif consiste à résilier la partie du Service concernée conformément à l’Accord principal.

5. Vos responsabilités en tant que responsable du traitement

5.1 Base légale et transparence

Vous êtes notamment responsable de :

  • identifier et documenter une base légale valable pour chaque activité de traitement que vous réalisez à l’aide du Service ;
  • informer les personnes concernées de la manière dont vous utilisez le Service et de la façon dont Rakenne agit en tant que votre sous‑traitant ;
  • veiller à ce que vos propres politiques, avis et pratiques soient cohérents avec le présent DPA et le droit applicable.

5.2 Catégories particulières et données sensibles

Le Service est conçu pour des workflows professionnels sur des documents, et non pour le traitement à grande échelle de catégories particulières de données à caractère personnel. Si vous choisissez de télécharger des données relevant de catégories particulières au sens de l’article 9 du RGPD (par exemple, données de santé, origine ethnique ou convictions) ou d’autres données sensibles :

  • vous devez vous assurer que les conditions spécifiques de traitement de ces données prévues par le droit applicable sont remplies (par exemple, consentement explicite ou exercice de droits en justice) ; et
  • vous devez configurer l’accès et la conservation en tenant compte du profil de risque accru.

De manière générale, nous recommandons d’éviter l’inclusion non nécessaire de données relevant de catégories particulières ou hautement sensibles dans le Service.

5.3 Configuration, conservation et hygiène des données

Vous contrôlez la durée pendant laquelle la plupart des catégories de données à caractère personnel restent dans le Service. En particulier, vous devez :

  • configurer les espaces de travail, les autorisations et les paramètres de conservation en fonction de vos propres politiques ;
  • examiner régulièrement les données et supprimer celles qui ne sont plus nécessaires ;
  • utiliser les mécanismes d’exportation et de suppression que nous fournissons dans le cadre de la gestion du cycle de vie des données.

5.4 Droits des personnes concernées et communication avec les autorités

Vous êtes le principal interlocuteur des personnes concernées et des autorités de contrôle. Vous êtes responsable :

  • de la réception et du traitement des demandes des personnes concernées qui exercent leurs droits (accès, rectification, effacement, limitation, portabilité, opposition) ;
  • de la décision de notifier ou non les autorités de contrôle ou les personnes concernées en cas d’incident, et de la manière de le faire.

Nous vous assisterons comme décrit à la section 6 ci‑après.

6. Assistance, gestion des violations et AIPD

6.1 Aide pour l’exercice des droits des personnes concernées

Compte tenu de la nature du traitement et des informations dont nous disposons, nous fournirons une assistance raisonnable, au moyen d’outils ou de support, pour vous aider à :

  • localiser, exporter, corriger ou supprimer des données à caractère personnel stockées dans le Service, lorsque cela est techniquement possible ;
  • répondre aux demandes des personnes concernées relatives au traitement que nous effectuons en tant que votre sous‑traitant.

Si nous recevons directement une demande d’une personne concernée portant manifestement sur des données personnelles que nous traitons pour votre compte, nous la transmettrons, lorsque la loi le permet, à vous plutôt que d’y répondre de manière indépendante.

6.2 Violations de données à caractère personnel

Si nous prenons connaissance d’une violation de données à caractère personnel affectant des données traitées pour votre compte, nous :

  • vous en informerons sans retard injustifié après confirmation de la violation ; et
  • partagerons les informations que nous pouvons raisonnablement fournir à ce stade, notamment :
    • une description de la nature de la violation (lorsqu’elle est connue) ;
    • les catégories et le nombre approximatif de personnes concernées et d’enregistrements touchés (si déterminables) ;
    • les conséquences probables de la violation ;
    • les mesures prises ou proposées pour remédier à la violation et en atténuer les effets.

Nous coopérerons avec vous pour soutenir votre évaluation et toute notification que vous déciderez de faire aux autorités de contrôle ou aux personnes concernées. Vous restez responsable du respect des obligations légales de notification des violations.

6.3 Analyses d’impact et consultations préalables

Lorsque vous êtes tenu de réaliser une Analyse d’impact relative à la protection des données (AIPD) ou de consulter une autorité de contrôle en lien avec votre utilisation du Service, nous fournirons une assistance raisonnable en :

  • fournissant des informations sur nos activités de traitement, nos contrôles de sécurité et nos sous‑traitants ; et
  • répondant à des questionnaires écrits raisonnables relatifs au Service.

7. Localisation des données et transferts internationaux

7.1 Lieu de traitement des données

Le Service est actuellement hébergé sur Google Cloud aux États‑Unis. Les données à caractère personnel peuvent donc être stockées ou traitées aux États‑Unis et dans d’autres juridictions où nos sous‑traitants opèrent.

7.2 Garanties applicables aux transferts

Lorsque le RGPD ou des lois similaires considèrent un transfert comme “international” (par exemple, depuis l’EEE, le Royaume‑Uni ou la Suisse vers un pays ne bénéficiant pas d’une décision d’adéquation), nous nous assurons que des garanties appropriées sont en place, telles que :

  • des Clauses contractuelles types adoptées par la Commission européenne ; et/ou
  • d’autres instruments de transfert reconnus par la loi, ainsi que des mesures techniques et organisationnelles complémentaires.

Les informations concernant les garanties utilisées par les principaux sous‑traitants (Google Cloud, Stripe et fournisseurs de LLM) sont disponibles dans leur documentation publique et, le cas échéant, dans nos documents de confidentialité ou sur demande.

8. Conservation, suppression et droits d’audit

8.1 Conservation et suppression à la fin de la relation

Lorsque l’Accord principal prend fin ou lorsque vous nous en donnez l’instruction par écrit, nous procéderons, sous réserve de nos obligations légales de conservation, à :

  • la suppression des données à caractère personnel traitées pour votre compte à partir de nos systèmes actifs dans un délai commercialement raisonnable (généralement sous 30 jours) ; ou
  • la restitution des données à caractère personnel dans un format couramment utilisé et lisible par machine si vous en faites la demande avant leur suppression ; et
  • la suppression des données à caractère personnel des sauvegardes via notre cycle standard de rotation des sauvegardes (généralement sous 90 jours).

Nous pouvons conserver des données qui ont été irréversiblement anonymisées ou agrégées de sorte qu’elles ne constituent plus des données à caractère personnel.

8.2 Droits d’audit et de vérification

Pour vous permettre de vérifier la conformité au présent DPA, nous :

  • conservons une documentation décrivant nos mesures techniques et organisationnelles pertinentes ; et
  • répondons à des questionnaires raisonnables en matière de sécurité et de confidentialité.

Si cela ne suffit pas, vous (ou un auditeur indépendant que vous désignez et que nous approuvons, cette approbation ne pouvant être refusée sans motif raisonnable) pouvez, au maximum une fois tous les 12 mois, sauf obligation légale contraire ou violation confirmée, réaliser un audit qui :

  • est limité au traitement de vos données à caractère personnel dans le cadre du présent DPA ;
  • est mené pendant les heures ouvrables normales et avec un préavis raisonnable ;
  • est conçu de manière à ne pas perturber indûment nos opérations.

Vous supportez vos propres coûts ainsi que nos coûts raisonnables et dûment documentés liés à cet audit, sauf si celui‑ci révèle une violation substantielle du présent DPA qui nous est imputable.

9. Responsabilité, durée et modifications

9.1 Régime de responsabilité

La répartition et la limitation de responsabilité entre vous et Rakenne pour les questions découlant du présent DPA ou s’y rapportant suivent les règles énoncées dans l’Accord principal, ainsi que l’article 82 du RGPD, le cas échéant. En particulier, nous ne sommes responsables que de la part du dommage causé par un traitement pour lequel nous :

  • n’avons pas respecté les obligations qui s’adressent spécifiquement aux sous‑traitants en vertu du droit de la protection des données ; ou
  • avons agi en dehors de vos instructions licites ou en contradiction avec celles‑ci.

9.2 Indemnisation

Vous acceptez d’indemniser et de dégager Rakenne de toute responsabilité en cas de réclamations, amendes ou pertes résultant :

  • de votre violation des lois applicables en matière de protection des données en lien avec les données à caractère personnel traitées via le Service ;
  • de vos instructions illégales ou incompatibles avec ces lois ; ou
  • de votre manquement à fournir les informations ou à obtenir les consentements requis auprès des personnes concernées.

9.3 Durée du DPA

Le présent DPA prend effet à la date indiquée en haut du document et reste en vigueur tant que nous traitons des données à caractère personnel pour votre compte dans le cadre de l’Accord principal, y compris tout traitement postérieur à la résiliation pour la suppression ou la restitution des données, tel que décrit ci‑dessus.

9.4 Modifications du DPA

Nous pouvons réviser le présent DPA de temps à autre, notamment pour tenir compte :

  • des évolutions du droit applicable en matière de protection des données ou des lignes directrices des autorités ;
  • des ajustements dans le fonctionnement du Service ou dans la liste de nos sous‑traitants ;
  • des clarifications ou améliorations dans la description de nos engagements.

En cas de modification substantielle, nous vous en informerons à l’avance (par exemple au moins 30 jours avant l’entrée en vigueur de la modification). Si vous vous y opposez par écrit et que nous ne pouvons raisonnablement pas satisfaire vos préoccupations, votre recours exclusif consiste à cesser d’utiliser la partie concernée du Service et, le cas échéant, à la résilier conformément à l’Accord principal.

10. Droit applicable et contact

10.1 Droit applicable et juridiction

Le présent DPA est régi par le même droit que l’Accord principal et les litiges qui en découlent ou s’y rapportent sont soumis aux mêmes tribunaux ou instances d’arbitrage, sans préjudice des droits des personnes concernées ou des autorités de contrôle en vertu du droit applicable.

10.2 Comment nous contacter

Si vous avez des questions concernant le présent DPA ou si vous devez exercer des droits ou donner des instructions liés à notre rôle de sous‑traitant, veuillez nous contacter à :

Veuillez indiquer “DPA” dans l’objet et fournir suffisamment d’informations pour nous permettre d’identifier votre compte et de répondre efficacement.

Prêt à mettre votre expertise aux commandes ?

Fini les templates rigides et les outils complexes. Rédigez votre processus en markdown, l’agent s’occupe du reste. Lancez vos workflows documentaires avec Rakenne dès aujourd’hui.

Essai gratuit — Sans inscription