Aller au contenu principal
Essayer

Article 28 du RGPD

Data Processing Agreement

Version applicable au 26 avril 2026

Notre DPA standard est disponible sur simple demande.

Écrivez à dpo@scope.fr en précisant la raison sociale et le numéro de TVA de votre Organisation. Nous vous adressons le DPA pré-rempli sous 48 h ouvrées.

Demander le DPA Télécharger le PDF

1. Objet du DPA

Le présent Data Processing Agreement (« DPA ») encadre, en application de l'article 28 du RGPD, les conditions dans lesquelles Scope SAS, agissant en qualité de sous-traitant, traite les données à caractère personnel pour le compte de l'Organisation cliente, agissant en qualité de responsable de traitement, dans le cadre du service Scope.

2. Nature et finalité du traitement

Scope traite les données qui lui sont confiées par l'Organisation aux seules fins de fourniture du service prévu par les Conditions Générales d'Utilisation : ingestion, structuration, génération assistée par IA, stockage, export et partage de cadrages, chiffrages et propositions commerciales.

3. Durée du traitement

Le traitement est effectué pour la durée du contrat principal entre Scope et l'Organisation. À l'expiration du contrat, les données sont restituées à l'Organisation, puis supprimées dans un délai de 30 jours, sauf obligation légale de conservation.

4. Catégories de données et de personnes concernées

  • Personnes concernées : collaborateurs et clients de l'Organisation (interlocuteurs cités dans les transcripts, briefs et propositions commerciales).
  • Catégories de données : données d'identification professionnelle, contenu professionnel libre, métadonnées techniques. Aucune catégorie particulière de données (article 9) ni donnée relative aux condamnations (article 10) n'est attendue.

5. Obligations de Scope en tant que sous-traitant

  • ne traiter les données que sur instruction documentée du responsable de traitement, sauf obligation légale ;
  • garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles adaptées (article 32) — voir page Sécurité ;
  • n'engager aucun sous-traitant ultérieur sans information préalable, et offrir au responsable de traitement la possibilité d'objecter ;
  • assister le responsable de traitement dans la mise en œuvre des droits des personnes concernées et dans la gestion des violations de données ;
  • notifier toute violation de données dans les 48 heures suivant sa constatation, conformément à l'article 33 ;
  • mettre à disposition toutes les informations nécessaires pour démontrer la conformité, et permettre la conduite d'audits raisonnables.

6. Sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs est publiée sur notre page Sous-traitants. Toute modification est notifiée 30 jours à l'avance, ouvrant un droit d'objection conforme à l'article 28.2 du RGPD.

7. Transferts hors UE

Tout transfert hors UE est encadré par les Clauses Contractuelles Types de la Commission européenne et par des mesures de sécurité complémentaires (chiffrement, minimisation). Voir la section dédiée de notre politique de confidentialité.

8. Sort des données à la fin du contrat

À la fin du contrat, l'Organisation peut exporter ses données via les outils du Service. À défaut, Scope supprime les données dans un délai maximum de 30 jours après la résiliation, sauf obligation légale de conservation. Une attestation de suppression peut être fournie sur demande.

9. Audits

Le responsable de traitement peut, à ses frais et après préavis raisonnable, conduire un audit annuel de conformité, en personne ou via un tiers indépendant tenu au secret professionnel. À défaut, Scope met à disposition les rapports d'audit existants (SOC 2, ISO 27001) couvrant le périmètre concerné.

10. Contact

Pour toute question relative à ce DPA : dpo@scope.fr.