Aller au contenu principal
Essayer

Article 28 du RGPD

Data Processing Agreement

Version applicable au 27 avril 2026

Le présent DPA s'applique de plein droit à votre abonnement.

Pour obtenir une version contresignée nominative (utile aux services achats / juridique), écrivez à dpo@getscope.dev en précisant la raison sociale et le numéro de TVA de votre Organisation. Nous renvoyons un PDF pré-rempli sous 48 heures ouvrées.

Demander un DPA signé

Préambule

Le présent Data Processing Agreement (« DPA ») encadre, en application de l'article 28 du règlement (UE) 2016/679 (« RGPD »), les conditions dans lesquelles l'éditeur du service Scope traite des données à caractère personnel pour le compte de l'Organisation cliente. Il complète et fait partie intégrante des Conditions Générales d'Utilisation et de Vente (« CGU/CGV »). En cas de contradiction, le présent DPA prévaut sur les CGU/CGV pour toute disposition relative à la protection des données.

  • Sous-traitant : Amir KELLOUSIDHOUM, auto-entrepreneur (BNC libéral), 133 rue du Général de Gaulle, 94350 Villiers-sur-Marne, France — SIRET 917 709 024 00017 (ci-après « Scope »).
  • Responsable de traitement : l'Organisation cliente ayant souscrit un abonnement, ci-après « le Client ».

Pour les données collectées en propre par Scope (gestion du Compte, facturation, logs de sécurité, prospection), Scope agit en qualité de responsable de traitement autonome ; les modalités correspondantes sont décrites dans la politique de confidentialité.

Article 1 — Objet et durée

Scope traite les Données du Client aux seules fins de fournir le Service défini aux CGU/CGV. La durée du traitement correspond à la durée de l'abonnement, augmentée du délai de suppression prévu à l'article 8.

Article 2 — Nature et finalité du traitement

Le traitement consiste à ingérer, structurer, transformer (via IA tierce), stocker, afficher, exporter et signer les Documents de cadrage produits à partir du Contenu fourni par le Client. La finalité est strictement opérationnelle : exécuter le pipeline IA et permettre au Client de produire et partager ses livrables.

Article 3 — Catégories de données

  • données d'identification professionnelle des collaborateurs et contacts cités dans les briefs ;
  • contenu professionnel libre (texte, audio transcrit, PDF, notes) ;
  • métadonnées techniques (horodatage, nom de fichier, taille).

Aucune catégorie particulière de données au sens de l'article 9 du RGPD (santé, religion, orientation, etc.), ni donnée relative aux condamnations (article 10), n'est attendue. Le Client s'engage à ne pas charger de telles données dans le Service.

Article 4 — Catégories de personnes concernées

  • collaborateurs et utilisateurs du Client habilités à utiliser le Service ;
  • clients finaux du Client et leurs interlocuteurs cités dans les briefs, notes de cadrage ou propositions commerciales ;
  • signataires des documents soumis à signature électronique.

Article 5 — Obligations de Scope en tant que sous-traitant

Scope s'engage à :

  • ne traiter les Données que sur instruction documentée du Client (l'acceptation des CGU/CGV et l'usage du Service constituent ces instructions, sauf instruction spécifique communiquée par écrit à dpo@getscope.dev), sauf obligation légale, auquel cas Scope informe préalablement le Client à moins qu'une telle information ne soit interdite par la loi ;
  • garantir que les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité contractuelle ou légale ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2 (article 32 du RGPD) ;
  • n'engager aucun sous-traitant ultérieur sans information préalable du Client, dans les conditions de l'article 6 ;
  • assister le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 22 du RGPD) ;
  • assister le Client dans l'accomplissement de ses obligations issues des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
  • notifier au Client toute violation de Données dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33.2 ;
  • au choix du Client, supprimer ou restituer les Données à la fin de la prestation, conformément à l'article 8 ;
  • mettre à disposition du Client toutes les informations nécessaires pour démontrer sa conformité aux obligations de l'article 28, et permettre la réalisation d'audits, dans les conditions de l'article 9.

Article 6 — Sous-traitants ultérieurs

Le Client autorise Scope, par les présentes, à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants, dont la liste à jour figure également en Annexe 3. Toute évolution de cette liste (ajout ou remplacement) est notifiée par email aux clients abonnés au moins 30 jours avant son entrée en vigueur, en application de l'article 28.2 du RGPD. Le Client peut s'opposer à un nouveau sous-traitant pour des motifs légitimes liés à la protection des Données ; à défaut d'accord, le Client peut résilier sans pénalité son abonnement avant l'entrée en vigueur du changement.

Scope conclut avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des Données que celles figurant dans le présent DPA.

Article 7 — Transferts hors Union européenne

Les Données du Client sont stockées en Union européenne (Supabase et Vercel, eu-west-1 Dublin). Certains traitements peuvent toutefois impliquer un transfert vers un pays tiers, notamment vers les États-Unis pour les sous-traitants identifiés en Annexe 3. Ces transferts sont encadrés par :

  • les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), incorporées par référence dans les contrats avec chaque sous-traitant ultérieur ;
  • la certification EU-US Data Privacy Framework du sous-traitant, lorsqu'elle est applicable ;
  • les mesures supplémentaires (chiffrement TLS, minimisation, séparation logique) décrites en Annexe 2.

Article 8 — Sort des données en fin de contrat

À la résiliation de l'abonnement, le Client peut, pendant 30 jours, exporter ses Documents de cadrage et son Contenu via les outils du Service. Au terme de ce délai, Scope supprime l'ensemble des Données dans un délai maximum de 30 jours supplémentaires, sauf obligation légale de conservation (par exemple les pièces comptables, conservées 10 ans en application de l'article L.123-22 du Code de commerce). Une attestation de suppression peut être délivrée sur demande à dpo@getscope.dev.

Article 9 — Audit et conformité

Scope met à disposition du Client, sur demande motivée, la documentation nécessaire à la démonstration de sa conformité au présent DPA : politique de sécurité, registre des sous-traitants, mesures techniques et organisationnelles, journal des violations de Données. À la date du présent DPA, Scope n'est pas certifié SOC 2 ni ISO 27001 ; la démarche de mise en conformité est en cours et l'avancement peut être communiqué sur demande.

Le Client peut, à ses frais et après préavis raisonnable de 30 jours, conduire une fois par an un audit sur dossier, ou le faire réaliser par un tiers indépendant tenu au secret professionnel et préalablement accepté par Scope (acceptation ne pouvant être refusée sans motif légitime). Pour les sous-traitants ultérieurs déjà certifiés (Supabase, Vercel, Stripe — SOC 2 Type II et/ou ISO 27001), Scope peut s'acquitter de son obligation d'audit par la transmission des rapports correspondants.

Article 10 — Responsabilité et indemnisation

La responsabilité respective des parties au titre du présent DPA est régie par les stipulations de l'article 9 (Disponibilité et responsabilité) des CGU/CGV, sous réserve des dispositions impératives de l'article 82 du RGPD relatives au droit à réparation des personnes concernées. Le Client garantit que la collecte initiale et la transmission des Données à Scope ont été réalisées sur une base licite (article 6 RGPD) et avec l'information des personnes concernées (articles 13 et 14).

Article 11 — Dispositions finales

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis à la compétence du Tribunal Judiciaire de Créteil (94), sous réserve des règles d'attribution de compétence d'ordre public et des stipulations spécifiques des CGU/CGV.

Annexe 1 — Description du traitement

  • Activités de traitement : ingestion, structuration, génération assistée par IA, stockage, export, partage, signature électronique des Documents de cadrage.
  • Catégories de Données : identifiants professionnels, contenu libre, métadonnées techniques (cf. articles 3 et 4 ci-dessus).
  • Catégories de personnes concernées : collaborateurs du Client, clients finaux du Client cités dans les briefs, signataires.
  • Durée : celle de l'abonnement, augmentée du délai de suppression de l'article 8.
  • Lieu : Union européenne (Dublin), avec transferts encadrés vers les États-Unis pour certains sous-traitants (cf. Annexe 3).

Annexe 2 — Mesures techniques et organisationnelles (article 32)

  • Chiffrement : TLS 1.3 en transit, AES-256 au repos (volumes Supabase Postgres et Storage).
  • Authentification : mots de passe hachés et salés (bcrypt via Supabase Auth), session JWT à rotation automatique.
  • Cloisonnement multi-tenant : politiques Postgres Row Level Security (RLS) systématiques, séparation par org_id en base et en Storage (chemin {org_id}/{project_id}/...).
  • Audit logs : journalisation immutable des mutations sensibles (export, signature, débit crédits), conservation 5 ans.
  • Idempotence : tout webhook Stripe / DocuSeal et toute opération de crédits est rejouable sans effet de bord, identifiée par event_id ou request_id.
  • Gestion des secrets : variables d'environnement Vercel chiffrées, rotation des clés API, séparation rôles utilisateur / service-role en base.
  • Sauvegardes : snapshots automatiques quotidiens Supabase, réplication multi-AZ Dublin.
  • Sécurité du paiement : aucune donnée de carte traitée par Scope ; tokenisation totale par Stripe (PCI DSS Level 1).
  • Réponse aux incidents : notification sous 72 heures conformément à l'article 33, runbook documenté, point de contact unique dpo@getscope.dev.
  • Suppression sécurisée : purge programmée à la résiliation, hors obligations comptables.

Le détail à jour des mesures et la maturité des contrôles sont décrits sur la page Sécurité.

Annexe 3 — Liste des sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs, leur région et leurs certifications est publiée sur la page Sous-traitants. Cette liste comprend notamment :

  • Supabase, Inc. — base de données Postgres, authentification, stockage objet, Realtime — région eu-west-1 Dublin (Irlande) ;
  • Vercel Inc. — hébergement web et CDN — région eu-west-1 Dublin (Irlande) ;
  • Stripe Payments Europe Ltd — paiements et facturation — Dublin (Irlande) ;
  • OpenRouter LLC — passerelle multi-modèles LLM — États-Unis ;
  • Anthropic PBC — modèles Claude (accès indirect via OpenRouter) — États-Unis ;
  • Google LLC — modèles Gemini (accès indirect via OpenRouter) — États-Unis ;
  • OpenAI LLC — modèles GPT (accès indirect via OpenRouter) — États-Unis ;
  • Mistral AI SAS — modèle Mistral Medium 3.1 et OCR (fonctionnalité désactivée par défaut, activable derrière feature flag) — Paris (France) ;
  • Resend, Inc. — emails transactionnels — région eu-west-1 (Irlande) ;
  • DocuSeal — signature électronique, instance auto-hébergée par l'éditeur — Union européenne ;
  • Gladia SAS — transcription audio — Paris (France) ;
  • GitHub, Inc. (Microsoft) — hébergement du code source, sans Données utilisateur — États-Unis.

Contact

Pour toute question relative à ce DPA, ou pour obtenir une version contresignée nominative : dpo@getscope.dev (avec en repli amirksmain@gmail.com).