Aller au contenu
nullbot ← Retour au site

Informations légales

Accord de traitement des données (DPA)

Dernière mise à jour : 29 juin 2026 · Version 3.0

Mentions légalesConfidentialitéCookiesCGUCGVDPA

Le présent Accord de traitement des données à caractère personnel (ci-après l'« Accord » ou le « DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).

Entre les soussignés :

D'une part, le Client, personne physique ou morale ayant souscrit au Service nullbot, agissant en qualité de responsable du traitement au sens de l'article 4, point 7, du RGPD (ci-après le « Responsable » ou le « Client ») ;

Et d'autre part, la société MARA LABS, société par actions simplifiée au capital de 100 €, dont le siège social est situé 41 rue Jacquemars Giélée, 59800 Lille, France, immatriculée au Registre du commerce et des sociétés de Lille Métropole sous le numéro SIREN 104 321 104 (RCS Lille Métropole 104 321 104), éditrice du Service nullbot, agissant en qualité de sous-traitant au sens de l'article 4, point 8, du RGPD (ci-après le « Sous-traitant » ou « MARA LABS ») ;

Le Responsable et le Sous-traitant étant ci-après désignés individuellement une « Partie » et collectivement les « Parties ».

Il a été préalablement exposé ce qui suit. Dans le cadre de l'exécution du contrat de services conclu entre les Parties, le Sous-traitant met à la disposition du Client le logiciel en mode SaaS dénommé « nullbot », lequel orchestre des agents d'intelligence artificielle exécutant des actions réelles pour le compte du Client. À l'occasion de l'utilisation du Service, le Client soumet aux agents du Contenu Client susceptible de contenir des données à caractère personnel, que le Sous-traitant traite pour le compte et sur instructions du Client. Le présent Accord a pour objet d'encadrer les conditions dans lesquelles le Sous-traitant effectue ces traitements, conformément aux exigences de l'article 28 du RGPD.

Le présent Accord fait partie intégrante du contrat liant les Parties et s'articule avec les Conditions générales de vente, les Conditions générales d'utilisation et la Politique de confidentialité, qu'il complète sur le plan de la protection des données à caractère personnel.

Contact en matière de protection des données. Toute demande, notification ou correspondance relative au présent Accord peut être adressée au Sous-traitant par courrier postal au siège social : MARA LABS, 41 rue Jacquemars Giélée, 59800 Lille, France. Une adresse électronique de contact dédiée sera mise en service dès l'ouverture du domaine et publiée ici.

Sommaire

  1. 1. Objet, cadre et articulation contractuelle
  2. 2. Définitions
  3. 3. Qualité et rôles des parties
  4. 4. Description et périmètre du traitement
  5. 5. Instructions documentées du Responsable
  6. 6. Confidentialité des personnes autorisées à traiter
  7. 7. Mesures de sécurité (article 32)
  8. 8. Recours à des sous-traitants ultérieurs
  9. 9. Assistance pour l'exercice des droits des personnes concernées
  10. 10. Assistance en matière de sécurité, de violations, d'AIPD et de consultation préalable
  11. 11. Notification des violations de données à caractère personnel
  12. 12. Transferts hors Union européenne
  13. 13. Audits et inspections
  14. 14. Sort des données au terme du traitement
  15. 15. Responsabilité, garantie et répartition entre les parties
  16. 16. Durée et résiliation de l'accord
  17. 17. Stipulations diverses
  18. 18. Annexe 1 — Description du traitement
  19. 19. Annexe 2 — Mesures techniques et organisationnelles de sécurité
  20. 20. Annexe 3 — Liste des sous-traitants ultérieurs autorisés

1. Objet, cadre et articulation contractuelle

Objet de l'Accord. Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable, les opérations de traitement de données à caractère personnel décrites à l'Annexe 1, dans le cadre de la fourniture du Service nullbot. Il précise les obligations et droits respectifs des Parties au regard de l'article 28 du RGPD et, plus largement, des dispositions applicables en matière de protection des données à caractère personnel.

Cadre juridique. Le présent Accord s'inscrit dans le cadre du RGPD, en particulier de ses articles 28 (sous-traitance), 32 (sécurité du traitement), 33 et 34 (violations de données), 35 (analyse d'impact), 36 (consultation préalable) et 44 et suivants (transferts de données vers des pays tiers), ainsi que de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Articulation contractuelle et hiérarchie des documents. Le présent Accord constitue une annexe du contrat de services conclu entre les Parties et en fait partie intégrante. Il prévaut sur toute stipulation contraire des autres documents contractuels pour ce qui concerne exclusivement le traitement de données à caractère personnel. En cas de contradiction entre le présent Accord et les Conditions générales de vente, les Conditions générales d'utilisation ou la Politique de confidentialité, les stipulations du présent Accord prévalent pour les seules questions relatives à la protection des données à caractère personnel.

Acceptation. La souscription au Service et son utilisation emportent acceptation pleine et entière du présent Accord par le Client agissant en qualité de Responsable.

2. Définitions

Les termes ci-après, lorsqu'ils sont employés avec une majuscule dans le présent Accord, ont la signification suivante. Les notions de « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « violation de données à caractère personnel » s'entendent au sens de l'article 4 du RGPD.

  • « Service » désigne le logiciel nullbot fourni en mode SaaS par le Sous-traitant, en ce compris ses agents d'intelligence artificielle, ses interfaces, ses fonctionnalités et ses composants associés.
  • « Agent » désigne tout agent d'intelligence artificielle mis en œuvre au sein du Service pour exécuter des tâches et actions pour le compte du Client, selon les configurations et instructions définies par celui-ci.
  • « Contenu Client » désigne l'ensemble des données, fichiers, instructions, requêtes, documents et informations, en ce compris les données à caractère personnel, que le Client soumet aux Agents ou intègre au Service.
  • « Données à caractère personnel » désigne toute information se rapportant à une personne physique identifiée ou identifiable, traitée par le Sous-traitant pour le compte du Responsable dans le cadre du présent Accord.
  • « Traitement » désigne toute opération ou tout ensemble d'opérations effectuées sur des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication, le rapprochement, la limitation, l'effacement ou la destruction.
  • « Responsable » ou « Responsable du traitement » désigne le Client, qui détermine les finalités et les moyens du traitement.
  • « Sous-traitant » désigne MARA LABS, qui traite les données à caractère personnel pour le compte du Responsable.
  • « Sous-traitant ultérieur » désigne tout tiers auquel le Sous-traitant fait appel pour réaliser, en tout ou partie, des activités de traitement spécifiques pour le compte du Responsable.
  • « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les données à caractère personnel traitées.
  • « Violation de données à caractère personnel » ou « Violation » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.
  • « CCT » désigne les Clauses Contractuelles Types adoptées par la Commission européenne par sa décision d'exécution (UE) 2021/914 du 4 juin 2021, encadrant les transferts de données à caractère personnel vers des pays tiers.
  • « RGPD » désigne le Règlement (UE) 2016/679 du 27 avril 2016.

3. Qualité et rôles des parties

Qualité du Client. Le Client agit en qualité de responsable du traitement au sens de l'article 4, point 7, du RGPD. Il détermine seul les finalités et les moyens des traitements mis en œuvre à l'occasion de l'utilisation du Service. Il lui appartient, à ce titre, de s'assurer de la licéité des traitements qu'il confie au Sous-traitant, notamment de disposer d'une base juridique appropriée au sens de l'article 6 du RGPD et, le cas échéant, des garanties prévues à l'article 9, ainsi que d'avoir satisfait à ses obligations d'information envers les personnes concernées.

Qualité du Sous-traitant. MARA LABS agit en qualité de sous-traitant au sens de l'article 4, point 8, du RGPD. Le Sous-traitant traite les données à caractère personnel exclusivement pour le compte du Responsable et sur la base de ses instructions documentées, conformément au présent Accord.

Garanties du Sous-traitant. Le Sous-traitant déclare présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes concernées, conformément à l'article 28, paragraphe 1, du RGPD.

Responsabilités propres du Client. Le Client demeure seul responsable :

  • de la licéité, de la loyauté et de la transparence des traitements qu'il met en œuvre via le Service ;
  • de l'exactitude, de la qualité et de la pertinence du Contenu Client soumis aux Agents ;
  • du respect de ses obligations d'information et, le cas échéant, de recueil du consentement des personnes concernées ;
  • de la définition de la durée de conservation appropriée des données et de la minimisation des données soumises au Service ;
  • du paramétrage et de la supervision des Agents, ainsi que des actions exécutées par ceux-ci pour son compte.

4. Description et périmètre du traitement

Périmètre. Le Sous-traitant est autorisé à traiter, pour le compte du Responsable, les données à caractère personnel nécessaires à la fourniture du Service, dans la limite et selon les modalités décrites en Annexe 1 au présent Accord, laquelle précise la nature et la finalité du traitement, sa durée, le type de données à caractère personnel concernées et les catégories de personnes concernées, conformément à l'article 28, paragraphe 3, du RGPD.

Détermination par le Responsable. Le périmètre exact du traitement résulte des configurations, paramétrages et usages que le Client met en œuvre au sein du Service ainsi que du Contenu Client qu'il soumet aux Agents. Le Responsable reconnaît qu'il lui appartient de définir et de limiter ce périmètre, le Sous-traitant ne disposant pas de la maîtrise du contenu des données que le Client choisit de soumettre.

Évolution. L'Annexe 1 peut être complétée ou actualisée pour tenir compte de l'évolution du Service ou des usages du Client, sans que cette mise à jour ne puisse étendre le traitement au-delà de ce qui est nécessaire à la fourniture du Service convenue entre les Parties.

5. Instructions documentées du Responsable

Traitement sur instructions documentées. Conformément à l'article 28, paragraphe 3, point a), du RGPD, le Sous-traitant ne traite les données à caractère personnel que sur instructions documentées du Responsable, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis. En pareil cas, le Sous-traitant informe le Responsable de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

Forme des instructions. Constituent des instructions documentées du Responsable : le présent Accord et ses annexes, le contrat de services, les paramétrages effectués par le Client au sein du Service, le Contenu Client soumis aux Agents, ainsi que toute instruction complémentaire formalisée par écrit (en ce compris par courrier électronique ou via l'interface du Service) et adressée au Sous-traitant.

Instructions manifestement illicites. Le Sous-traitant informe immédiatement le Responsable si, à son avis, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou du droit des États membres relatives à la protection des données. Dans ce cas, le Sous-traitant est en droit de suspendre l'exécution de l'instruction concernée jusqu'à sa confirmation ou sa modification par le Responsable.

Absence d'utilisation à des fins propres. Le Sous-traitant s'interdit de traiter les données à caractère personnel à des fins autres que celles nécessaires à l'exécution du présent Accord et à la fourniture du Service, et notamment de les exploiter pour son propre compte ou pour le compte de tiers.

6. Confidentialité des personnes autorisées à traiter

Engagement de confidentialité. Conformément à l'article 28, paragraphe 3, point b), du RGPD, le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

Habilitation et limitation des accès. Le Sous-traitant s'assure que l'accès aux données à caractère personnel est strictement limité aux membres de son personnel et aux personnes habilitées qui ont besoin d'y accéder pour l'exécution de leurs missions, selon le principe du besoin d'en connaître et du moindre privilège.

Sensibilisation et formation. Le Sous-traitant veille à ce que les personnes autorisées à traiter les données à caractère personnel reçoivent la formation et la sensibilisation nécessaires en matière de protection des données à caractère personnel et de sécurité de l'information.

Pérennité de l'engagement. L'obligation de confidentialité subsiste après la cessation des fonctions des personnes concernées et après le terme du présent Accord.

7. Mesures de sécurité (article 32)

Obligation de sécurité. Conformément à l'article 28, paragraphe 3, point c), et à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Critères d'appréciation. Les mesures mises en œuvre tiennent compte, en tant que de besoin :

  • de la pseudonymisation et du chiffrement des données à caractère personnel ;
  • des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
  • des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
  • d'une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Détail des mesures. Les mesures techniques et organisationnelles mises en œuvre par le Sous-traitant sont décrites en Annexe 2 au présent Accord. Ces mesures peuvent évoluer dans le temps, sous réserve que le niveau de sécurité ne soit pas diminué.

Partage des responsabilités. Le Responsable demeure responsable de la mise en œuvre des mesures de sécurité relevant de sa propre sphère de maîtrise, notamment la gestion des identifiants et habilitations de ses utilisateurs, la sécurité de ses propres systèmes d'information et la minimisation des données soumises au Service.

8. Recours à des sous-traitants ultérieurs

Autorisation générale. Conformément à l'article 28, paragraphes 2 et 4, du RGPD, le Responsable autorise de manière générale le Sous-traitant à recourir à des sous-traitants ultérieurs pour l'exécution d'activités de traitement spécifiques nécessaires à la fourniture du Service. La liste des sous-traitants ultérieurs autorisés à la date du présent Accord figure en Annexe 3.

Information préalable et droit d'opposition. Le Sous-traitant informe le Responsable de tout changement prévu concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, par tout moyen approprié (notamment par publication d'une mise à jour de l'Annexe 3 et information sur le site ou au sein du Service), donnant ainsi au Responsable la possibilité d'émettre des objections à l'encontre de ces changements dans un délai raisonnable. En cas d'objection légitime et motivée du Responsable, les Parties s'efforcent de trouver une solution. À défaut de solution, le Responsable pourra résilier la partie du Service concernée par le recours au sous-traitant ultérieur litigieux, dans les conditions prévues au contrat.

Obligations imposées aux sous-traitants ultérieurs. Conformément à l'article 28, paragraphe 4, du RGPD, lorsque le Sous-traitant recourt à un sous-traitant ultérieur, il met à sa charge, par contrat ou par tout autre acte juridique, les mêmes obligations en matière de protection des données que celles fixées dans le présent Accord, notamment l'obligation de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

Responsabilité. Le Sous-traitant demeure pleinement responsable à l'égard du Responsable de l'exécution, par le sous-traitant ultérieur, de ses obligations en matière de protection des données. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations, le Sous-traitant demeure pleinement responsable devant le Responsable de l'exécution par le sous-traitant ultérieur de ses obligations.

9. Assistance pour l'exercice des droits des personnes concernées

Obligation d'assistance. Conformément à l'article 28, paragraphe 3, point e), du RGPD, le Sous-traitant aide le Responsable, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits.

Droits concernés. L'assistance porte sur l'ensemble des droits prévus au chapitre III du RGPD, notamment le droit d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données, ainsi que le droit d'opposition.

Transmission des demandes. Si une personne concernée adresse directement au Sous-traitant une demande d'exercice de ses droits relative à un traitement effectué pour le compte du Responsable, le Sous-traitant transmet sans délai cette demande au Responsable et s'abstient d'y répondre lui-même, sauf instruction contraire du Responsable.

Moyens mis à disposition. Dans la mesure où le Service le permet, le Sous-traitant met à la disposition du Responsable les fonctionnalités et outils lui permettant de répondre aux demandes des personnes concernées.

10. Assistance en matière de sécurité, de violations, d'AIPD et de consultation préalable

Obligation générale d'assistance. Conformément à l'article 28, paragraphe 3, point f), du RGPD, le Sous-traitant aide le Responsable à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.

Sécurité du traitement (article 32). Le Sous-traitant assiste le Responsable dans la mise en conformité aux exigences de sécurité énoncées à l'article 32 du RGPD, notamment en lui communiquant les informations relatives aux mesures techniques et organisationnelles mises en œuvre.

Notification des violations (articles 33 et 34). Le Sous-traitant assiste le Responsable dans l'accomplissement de ses obligations de notification d'une violation de données à caractère personnel à l'autorité de contrôle et, le cas échéant, de communication de cette violation aux personnes concernées, dans les conditions prévues à la rubrique « Notification des violations de données à caractère personnel » du présent Accord.

Analyse d'impact (article 35). Le Sous-traitant assiste le Responsable, lorsque cela est nécessaire et dans la mesure des informations dont il dispose, dans la réalisation d'une analyse d'impact relative à la protection des données (AIPD) portant sur les traitements effectués au moyen du Service.

Consultation préalable (article 36). Le Sous-traitant assiste le Responsable, le cas échéant, dans le cadre de la consultation préalable de l'autorité de contrôle prévue à l'article 36 du RGPD.

Coût de l'assistance. L'assistance prévue à la présente rubrique est fournie compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant. Lorsque les demandes d'assistance excèdent ce qui est raisonnablement inclus dans le Service, le Sous-traitant pourra facturer au Responsable les coûts raisonnables exposés à ce titre, après information préalable.

11. Notification des violations de données à caractère personnel

Information du Responsable. Le Sous-traitant notifie au Responsable toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance, afin de permettre au Responsable de satisfaire, le cas échéant, à son obligation de notification à l'autorité de contrôle dans le délai de soixante-douze (72) heures prévu à l'article 33 du RGPD.

Contenu de la notification. Dans la mesure des informations dont il dispose, le Sous-traitant communique au Responsable, le cas échéant de manière échelonnée :

  • la description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation et, le cas échéant, en atténuer les conséquences négatives ;
  • les coordonnées d'un point de contact auprès duquel des informations supplémentaires peuvent être obtenues.

Coopération. Le Sous-traitant coopère avec le Responsable et prend les mesures raisonnables pour aider à l'investigation, à la limitation et à la résolution de la violation. Sauf obligation légale contraire, le Sous-traitant ne procède à aucune notification à l'autorité de contrôle ou aux personnes concernées pour le compte du Responsable, sauf instruction expresse de celui-ci.

12. Transferts hors Union européenne

Principe. Le Sous-traitant ne procède à aucun transfert de données à caractère personnel vers un pays tiers à l'Union européenne ou à une organisation internationale sans en avoir informé le Responsable et sans avoir mis en place les garanties appropriées prévues au chapitre V du RGPD.

Garanties appropriées. Certains sous-traitants ultérieurs auxquels le Sous-traitant recourt sont établis en dehors de l'Espace économique européen, notamment aux États-Unis. Les transferts vers ces sous-traitants ultérieurs sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne dans sa décision d'exécution (UE) 2021/914 du 4 juin 2021 et, le cas échéant, par tout autre mécanisme de transfert reconnu valide (notamment décision d'adéquation ou certification au titre d'un cadre de protection des données reconnu).

Mesures supplémentaires. Lorsque cela est nécessaire, le Sous-traitant met en œuvre, ou veille à ce que les sous-traitants ultérieurs concernés mettent en œuvre, des mesures supplémentaires appropriées (techniques, organisationnelles et contractuelles) afin d'assurer un niveau de protection des données à caractère personnel substantiellement équivalent à celui garanti au sein de l'Union européenne.

Information du Responsable. Sur demande, le Sous-traitant communique au Responsable les informations relatives aux garanties mises en place pour encadrer les transferts. La liste des sous-traitants ultérieurs et leur localisation figurent en Annexe 3.

13. Audits et inspections

Mise à disposition des informations. Conformément à l'article 28, paragraphe 3, point h), du RGPD, le Sous-traitant met à la disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable ou un autre auditeur qu'il a mandaté, et contribue à ces audits.

Modalités de l'audit. Le Responsable peut, à ses frais, faire procéder à un audit du respect par le Sous-traitant de ses obligations au titre du présent Accord, dans les conditions suivantes :

  • l'audit est réalisé sur la base d'un préavis écrit raisonnable, qui ne saurait être inférieur à trente (30) jours calendaires, sauf en cas de violation de données avérée ou de demande d'une autorité de contrôle ;
  • l'audit a lieu pendant les heures et jours ouvrés et de manière à ne pas perturber de façon disproportionnée l'activité du Sous-traitant ;
  • l'audit est limité à une (1) fois par période de douze (12) mois, sauf circonstances exceptionnelles (violation avérée, demande d'une autorité de contrôle) ;
  • l'auditeur mandaté par le Responsable ne doit pas être un concurrent du Sous-traitant et doit être soumis à une obligation de confidentialité ;
  • les constatations et informations obtenues à l'occasion de l'audit sont strictement confidentielles.

Documentation et certifications. Le Sous-traitant peut satisfaire à son obligation de démonstration de conformité en mettant à disposition du Responsable la documentation pertinente, les rapports d'audit, attestations ou certifications dont il dispose, lorsque ces éléments permettent de justifier raisonnablement du respect de ses obligations.

Coûts. Les coûts liés à la réalisation de l'audit sont à la charge du Responsable. Le temps raisonnablement consacré par le Sous-traitant à l'assistance et à l'accompagnement de l'audit pourra être facturé au Responsable, après information préalable, lorsqu'il excède ce qui est raisonnablement inclus dans le Service.

14. Sort des données au terme du traitement

Choix du Responsable. Conformément à l'article 28, paragraphe 3, point g), du RGPD, au terme de la prestation de services relative au traitement, le Sous-traitant, selon le choix du Responsable, supprime ou renvoie toutes les données à caractère personnel au Responsable et détruit les copies existantes, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation des données à caractère personnel.

Délais. Le Responsable dispose d'un délai raisonnable, qui ne saurait être inférieur à trente (30) jours calendaires à compter du terme de la prestation, pour exercer son choix de restitution ou de suppression. À défaut d'instruction du Responsable à l'expiration de ce délai, le Sous-traitant procède à la suppression des données à caractère personnel.

Modalités de restitution. En cas de restitution, les données sont renvoyées au Responsable dans un format structuré et couramment utilisé, dans la mesure des fonctionnalités d'export du Service.

Suppression. La suppression intervient dans un délai raisonnable, en ce compris auprès des sous-traitants ultérieurs concernés, et porte sur les copies existantes, sous réserve des obligations légales de conservation et des sauvegardes faisant l'objet d'un cycle d'effacement automatique selon une rotation déterminée.

Attestation. Sur demande du Responsable, le Sous-traitant atteste par écrit de la suppression effective des données à caractère personnel.

15. Responsabilité, garantie et répartition entre les parties

Principe de responsabilité. Chaque Partie répond des dommages causés par le traitement lorsqu'elle n'a pas respecté les obligations du RGPD qui lui incombent spécifiquement ou lorsqu'elle a agi en dehors des instructions licites du Responsable ou contrairement à celles-ci, conformément à l'article 82 du RGPD.

Responsabilité du Sous-traitant. Le Sous-traitant n'est responsable que des dommages causés par le traitement résultant du manquement à ses propres obligations au titre du présent Accord ou des obligations qui lui incombent spécifiquement en tant que sous-traitant au sens du RGPD.

Responsabilité du Responsable. Le Responsable garantit le Sous-traitant contre toute réclamation, action ou demande de tiers, en ce compris des personnes concernées et des autorités de contrôle, résultant d'un manquement du Responsable à ses propres obligations, notamment en matière de licéité des traitements, d'information des personnes concernées, de base juridique, de minimisation des données et de licéité du Contenu Client soumis aux Agents.

Limitation de responsabilité. Les limitations et exclusions de responsabilité prévues aux Conditions générales de vente s'appliquent au présent Accord, dans la mesure permise par le droit applicable et sous réserve des dispositions impératives du RGPD relatives à la réparation des dommages subis par les personnes concernées.

16. Durée et résiliation de l'accord

Durée. Le présent Accord prend effet à la date d'acceptation par le Client et demeure en vigueur pendant toute la durée du contrat de services au titre duquel le Sous-traitant traite des données à caractère personnel pour le compte du Responsable.

Caractère accessoire. Le présent Accord constitue un accessoire du contrat de services. Il prend automatiquement fin au terme du contrat de services, sans préjudice des stipulations relatives au sort des données au terme du traitement et des obligations dont la nature implique qu'elles survivent à la cessation de l'Accord (notamment la confidentialité).

Survie de certaines obligations. Les obligations de confidentialité, de suppression ou de restitution des données et de coopération en cas de demande d'une autorité de contrôle survivent à la cessation du présent Accord pendant la durée nécessaire à leur exécution.

17. Stipulations diverses

Hiérarchie des documents. En cas de contradiction entre les dispositions du présent Accord et celles des autres documents contractuels relatifs au traitement de données à caractère personnel, les dispositions du présent Accord prévalent. Pour toute question non relative à la protection des données, les Conditions générales de vente et les Conditions générales d'utilisation demeurent applicables.

Nullité partielle. Si une ou plusieurs stipulations du présent Accord étaient déclarées nulles, illicites ou inapplicables, les autres stipulations conserveraient toute leur force et leur portée. Les Parties s'efforceraient de remplacer la stipulation invalide par une stipulation valide poursuivant un objectif équivalent.

Modification. Le Sous-traitant peut être amené à actualiser le présent Accord, notamment pour tenir compte de l'évolution de la réglementation applicable, des lignes directrices des autorités de contrôle ou du Service. Le Responsable en est informé par tout moyen approprié.

Droit applicable et juridiction. Le présent Accord est régi par le droit français et le droit de l'Union européenne. Tout différend relatif à son interprétation ou à son exécution relève de la compétence des juridictions déterminées conformément aux Conditions générales de vente, sous réserve des règles impératives de compétence, notamment celles protégeant les personnes concernées.

18. Annexe 1 — Description du traitement

La présente Annexe précise les éléments du traitement requis par l'article 28, paragraphe 3, du RGPD. Le périmètre effectif du traitement dépend des usages et configurations du Client ainsi que du Contenu Client soumis aux Agents.

Objet du traitementFourniture du Service nullbot, logiciel SaaS orchestrant des Agents d'intelligence artificielle exécutant des actions réelles pour le compte du Client.
Nature du traitementCollecte, enregistrement, conservation, structuration, consultation, utilisation, transmission, communication aux sous-traitants ultérieurs (modèles d'IA, hébergement, paiement), suppression et toute opération nécessaire au fonctionnement du Service et à l'exécution des actions confiées aux Agents.
Finalités du traitementPermettre l'exécution, par les Agents, des tâches et actions paramétrées par le Client ; fournir, maintenir et sécuriser le Service ; assurer le support du Client ; gérer la facturation et l'abonnement.
Durée du traitementDurée du contrat de services, augmentée des délais de restitution ou de suppression prévus au présent Accord et des durées de conservation imposées par la loi.
Type de données à caractère personnelDonnées d'identification et de contact (nom, prénom, adresse électronique, fonction) ; données de connexion et d'usage (identifiants, journaux techniques, adresses IP) ; données de facturation (gérées via le prestataire de paiement) ; toute donnée à caractère personnel contenue dans le Contenu Client soumis librement aux Agents par le Client. Le Client est invité à ne pas soumettre de catégories particulières de données (article 9 du RGPD) sans base juridique appropriée et à minimiser les données soumises.
Catégories de personnes concernéesUtilisateurs et représentants du Client ; clients, prospects, fournisseurs et partenaires du Client ; toute personne physique dont les données figurent dans le Contenu Client soumis aux Agents.
Obligations et droits du ResponsableLe Responsable détermine les finalités et moyens, garantit la licéité des traitements et la base juridique, informe les personnes concernées, exerce un droit d'instruction, de contrôle et d'audit sur le Sous-traitant, et décide du sort des données au terme du traitement.

19. Annexe 2 — Mesures techniques et organisationnelles de sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes, conformément à l'article 32 du RGPD. Ces mesures sont susceptibles d'évoluer, sans diminution du niveau de sécurité.

ChiffrementChiffrement des données en transit (protocoles TLS) et, lorsque cela est applicable, chiffrement des données au repos.
Contrôle des accèsGestion des habilitations selon le principe du moindre privilège et du besoin d'en connaître ; authentification des utilisateurs ; cloisonnement des accès administrateurs.
ConfidentialitéEngagement de confidentialité des personnes autorisées à traiter les données ; sensibilisation et formation à la protection des données.
Intégrité et disponibilitéMesures visant à garantir l'intégrité des données et la résilience des systèmes ; redondance et sauvegardes assurées au niveau de l'infrastructure d'hébergement.
Continuité et restaurationProcédures de sauvegarde et de restauration permettant de rétablir la disponibilité des données et l'accès à celles-ci dans des délais appropriés en cas d'incident.
Cloisonnement et isolationSéparation logique des données entre clients (multi-tenant) afin d'éviter tout accès non autorisé d'un client aux données d'un autre.
JournalisationTenue de journaux techniques permettant la traçabilité des accès et des opérations sensibles, dans le respect des principes de minimisation.
Gestion des incidentsProcédure de détection, de qualification, de traitement et de notification des violations de données à caractère personnel.
Sécurité des sous-traitants ultérieursSélection de prestataires présentant des garanties suffisantes ; encadrement contractuel imposant des obligations équivalentes en matière de protection des données.
ÉvaluationProcédures visant à tester, analyser et évaluer régulièrement l'efficacité des mesures de sécurité mises en œuvre.

Le Responsable demeure responsable des mesures de sécurité relevant de sa propre sphère, notamment la gestion de ses identifiants et la sécurité de ses propres systèmes.

20. Annexe 3 — Liste des sous-traitants ultérieurs autorisés

Le Responsable autorise le recours aux sous-traitants ultérieurs suivants, à la date du présent Accord. Toute modification de cette liste fait l'objet d'une information préalable du Responsable, qui dispose d'un droit d'opposition dans les conditions prévues au présent Accord.

Sous-traitant ultérieurFinalitéLocalisationGaranties de transfert
Railway CorporationHébergement de l'infrastructure du ServiceÉtats-UnisClauses Contractuelles Types (CCT)
Anthropic, PBCFourniture du modèle d'intelligence artificielle ClaudeÉtats-UnisClauses Contractuelles Types (CCT)
Google Ireland Limited / Google LLCFourniture du modèle d'intelligence artificielle Gemini (optionnel)Union européenne / États-UnisClauses Contractuelles Types (CCT)
Stripe Payments Europe, LimitedTraitement des paiements et de la facturationUnion européenne / États-UnisClauses Contractuelles Types (CCT)

Pour toute information complémentaire relative aux sous-traitants ultérieurs et aux garanties encadrant les transferts, le Responsable peut adresser une demande par courrier postal au siège social du Sous-traitant. Une adresse électronique de contact dédiée sera mise en service dès l'ouverture du domaine et publiée ici.

Mentions légalesConfidentialitéCookiesCGUCGVDPA Gérer mes cookies

© 2026 MARA LABS — nullbot. Tous droits réservés. Société par actions simplifiée (SAS) au capital de 100 € · 104 321 104