Data Processing Agreement

Préambule

Le présent Data Processing Agreement (« DPA ») encadre, en application de l'article 28 du règlement (UE) 2016/679 (« RGPD »), les conditions dans lesquelles l'éditeur du service Scope traite des données à caractère personnel pour le compte de l'Organisation cliente. Il complète et fait partie intégrante des Conditions Générales d'Utilisation et de Vente (« CGU/CGV »). En cas de contradiction, le présent DPA prévaut sur les CGU/CGV pour toute disposition relative à la protection des données.

• Sous-traitant : Amir KELLOUSIDHOUM, auto-entrepreneur (BNC libéral) — SIRET 917 709 024 00017 (ci-après « Scope »). Les coordonnées postales complètes figurent dans les mentions légales.
• Responsable de traitement : l'Organisation cliente ayant souscrit un abonnement, ci-après « le Client ».

Pour les données collectées en propre par Scope (gestion du Compte, facturation, logs de sécurité, prospection), Scope agit en qualité de responsable de traitement autonome ; les modalités correspondantes sont décrites dans la politique de confidentialité.

Article 1 — Objet et durée

Scope traite les Données du Client aux seules fins de fournir le Service défini aux CGU/CGV. La durée du traitement correspond à la durée de l'abonnement, augmentée du délai de suppression prévu à l'article 8.

Article 2 — Nature et finalité du traitement

Le traitement consiste à ingérer, structurer, transformer (via IA tierce), stocker, afficher, exporter et signer les Documents de cadrage produits à partir du Contenu fourni par le Client. La finalité est strictement opérationnelle : exécuter le pipeline IA et permettre au Client de produire et partager ses livrables.

Article 3 — Catégories de données

• données d'identification professionnelle des collaborateurs et contacts cités dans les briefs ;
• contenu professionnel libre (texte, audio transcrit, PDF, notes) ;
• métadonnées techniques (horodatage, nom de fichier, taille).

Aucune catégorie particulière de données au sens de l'article 9 du RGPD (santé, religion, orientation, etc.), ni donnée relative aux condamnations (article 10), n'est attendue. Le Client s'engage à ne pas charger de telles données dans le Service.

Article 4 — Catégories de personnes concernées

• collaborateurs et utilisateurs du Client habilités à utiliser le Service ;
• clients finaux du Client et leurs interlocuteurs cités dans les briefs, notes de cadrage ou propositions commerciales ;
• signataires des documents soumis à signature électronique.

Article 5 — Obligations de Scope en tant que sous-traitant

Scope s'engage à :

• ne traiter les Données que sur instruction documentée du Client (l'acceptation des CGU/CGV et l'usage du Service constituent ces instructions, sauf instruction spécifique communiquée par écrit à dpo@getscope.dev), sauf obligation légale, auquel cas Scope informe préalablement le Client à moins qu'une telle information ne soit interdite par la loi ;
• garantir que les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité contractuelle ou légale ;
• mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2 (article 32 du RGPD) ;
• n'engager aucun sous-traitant ultérieur sans information préalable du Client, dans les conditions de l'article 6 ;
• assister le Client, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 22 du RGPD) ;
• assister le Client dans l'accomplissement de ses obligations issues des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable) ;
• notifier au Client toute violation de Données dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33.2 ;
• au choix du Client, supprimer ou restituer les Données à la fin de la prestation, conformément à l'article 8 ;
• mettre à disposition du Client toutes les informations nécessaires pour démontrer sa conformité aux obligations de l'article 28, et permettre la réalisation d'audits, dans les conditions de l'article 9.

Article 6 — Sous-traitants ultérieurs

Le Client autorise Scope, par les présentes, à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants, dont la liste à jour figure également en Annexe 3. Toute évolution de cette liste (ajout ou remplacement) est notifiée par email aux clients abonnés au moins 30 jours avant son entrée en vigueur, en application de l'article 28.2 du RGPD. Le Client peut s'opposer à un nouveau sous-traitant pour des motifs légitimes liés à la protection des Données ; à défaut d'accord, le Client peut résilier sans pénalité son abonnement avant l'entrée en vigueur du changement.

Scope conclut avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des Données que celles figurant dans le présent DPA.

Article 7 — Transferts hors Union européenne

Les Données du Client sont stockées en Union européenne : la base Postgres et le Storage résident chez Supabase en région eu-west-1 (Dublin) ; le conteneur applicatif est exécuté par Railway dans la région EU West. Certains traitements peuvent toutefois impliquer un transfert vers un pays tiers, notamment vers les États-Unis pour les sous-traitants identifiés en Annexe 3. Ces transferts sont encadrés par :

• les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), incorporées par référence dans les contrats avec chaque sous-traitant ultérieur ;
• la certification EU-US Data Privacy Framework du sous-traitant, lorsqu'elle est applicable ;
• les mesures supplémentaires (chiffrement TLS, minimisation, séparation logique) décrites en Annexe 2.

Article 8 — Sort des données en fin de contrat

À la résiliation de l'abonnement, le Client peut, pendant 30 jours, exporter ses Documents de cadrage et son Contenu via les outils du Service. Au terme de ce délai, Scope supprime l'ensemble des Données dans un délai maximum de 30 jours supplémentaires, sauf obligation légale de conservation (par exemple les pièces comptables, conservées 10 ans en application de l'article L.123-22 du Code de commerce). Une attestation de suppression peut être délivrée sur demande à dpo@getscope.dev.

Article 9 — Audit et conformité

Scope met à disposition du Client, sur demande motivée, la documentation nécessaire à la démonstration de sa conformité au présent DPA : politique de sécurité, registre des sous-traitants, mesures techniques et organisationnelles, journal des violations de Données. À la date du présent DPA, Scope n'est pas certifié SOC 2 ni ISO 27001 ; la démarche de mise en conformité est en cours et l'avancement peut être communiqué sur demande.

Le Client peut, à ses frais et après préavis raisonnable de 30 jours, conduire une fois par an un audit sur dossier, ou le faire réaliser par un tiers indépendant tenu au secret professionnel et préalablement accepté par Scope (acceptation ne pouvant être refusée sans motif légitime). Pour les sous-traitants ultérieurs déjà certifiés (Supabase, Railway, Stripe — SOC 2 Type II et/ou ISO 27001), Scope peut s'acquitter de son obligation d'audit par la transmission des rapports correspondants.

Article 10 — Responsabilité et indemnisation

La responsabilité respective des parties au titre du présent DPA est régie par les stipulations de l'article 9 (Disponibilité et responsabilité) des CGU/CGV, sous réserve des dispositions impératives de l'article 82 du RGPD relatives au droit à réparation des personnes concernées. Le Client garantit que la collecte initiale et la transmission des Données à Scope ont été réalisées sur une base licite (article 6 RGPD) et avec l'information des personnes concernées (articles 13 et 14).

Article 11 — Dispositions finales

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis à la compétence du Tribunal Judiciaire de Créteil (94), sous réserve des règles d'attribution de compétence d'ordre public et des stipulations spécifiques des CGU/CGV.

Annexe 1 — Description du traitement

• Activités de traitement : ingestion, structuration, génération assistée par IA, stockage, export, partage, signature électronique des Documents de cadrage.
• Catégories de Données : identifiants professionnels, contenu libre, métadonnées techniques (cf. articles 3 et 4 ci-dessus).
• Catégories de personnes concernées : collaborateurs du Client, clients finaux du Client cités dans les briefs, signataires.
• Durée : celle de l'abonnement, augmentée du délai de suppression de l'article 8.
• Lieu : Union européenne (Dublin), avec transferts encadrés vers les États-Unis pour certains sous-traitants (cf. Annexe 3).

Annexe 2 — Mesures techniques et organisationnelles (article 32)

• Chiffrement : TLS 1.3 en transit, AES-256 au repos (volumes Supabase Postgres et Storage).
• Authentification : mots de passe hachés et salés (bcrypt via Supabase Auth), session JWT à rotation automatique.
• Cloisonnement multi-tenant : politiques Postgres Row Level Security (RLS) systématiques, séparation par org_id en base et en Storage (chemin {org_id}/{project_id}/...).
• Audit logs : journalisation immutable des mutations sensibles (export, signature, débit crédits), conservation 5 ans.
• Idempotence : tout webhook Stripe / DocuSeal et toute opération de crédits est rejouable sans effet de bord, identifiée par event_id ou request_id.
• Gestion des secrets : variables d'environnement Railway chiffrées, rotation des clés API, séparation rôles utilisateur / service-role en base.
• Sauvegardes : snapshots automatiques quotidiens Supabase, réplication multi-AZ Dublin.
• Sécurité du paiement : aucune donnée de carte traitée par Scope ; tokenisation totale par Stripe (PCI DSS Level 1).
• Réponse aux incidents : notification sous 72 heures conformément à l'article 33, runbook documenté, point de contact unique dpo@getscope.dev.
• Suppression sécurisée : purge programmée à la résiliation, hors obligations comptables.

Le détail à jour des mesures et la maturité des contrôles sont décrits sur la page Sécurité.

Annexe 3 — Liste des sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs, leur région, leur juridiction juridique et leurs attestations publiques est publiée sur la page Sous-traitants, ainsi que sur le Trust Center et via l'endpoint JSON machine-readable /api/sub-processors.json (consommable par OneTrust, Vanta, Drata). Au jour des présentes, elle comprend :

• Railway Corp. — Hébergement de l'application Next.js sur conteneur persistant et exécution des routes applicatives. — Région EU West (Union européenne) — juridiction US — DPA : https://railway.com/legal/dpa.
• Supabase, Inc. — Base Postgres, authentification, stockage objet et Realtime pour les briefs, documents de cadrage, audit log et exports. — Dublin, Irlande (région eu-west-1) — juridiction US — DPA : https://supabase.com/legal/dpa.
• OpenRouter, Inc. — Routeur LLM avec clause contractuelle data_collection=deny : vos prompts et les réponses générées ne sont jamais utilisés pour entraîner les modèles. — Proxy stateless (États-Unis) acheminant les requêtes vers OpenAI et Anthropic (États-Unis), sous Clauses Contractuelles Types UE — juridiction US — DPA : https://openrouter.ai/terms.
• Gladia SAS — Transcription audio de qualité enterprise avec spécialisation sur le français — utilisée pour les notes de cadrage à partir d'enregistrements de réunion. — Paris, France — juridiction EU — DPA : https://www.gladia.io/compliance-hub.
• Mistral AI SAS — Extraction de texte par OCR (mistral-ocr-latest) sur les PDF et images uploadés comme pièces de brief. Le contenu source transite vers l'API Mistral le temps du traitement, le résultat (markdown structuré) est persisté dans Supabase EU. Activable uniquement quand le flag MISTRAL_OCR_ENABLED est positionné côté serveur ; à défaut, l'upload PDF/image affiche un message « à venir » et aucun appel n'est émis. Usage secondaire (PH10, 2026-06-10) : fournisseur LLM de secours dans la chaîne de résilience. Si OpenRouter devient indisponible, les appels d'extraction, de clarification et de cadrage basculent vers l'API Mistral le temps de la panne. Hébergement Paris (UE) — choix souverain, à la fois pour minimiser l'exposition des données pendant un incident et parce qu'OpenRouter (qui multiplexe déjà OpenAI + Anthropic) couvre la diversité fournisseur en mode nominal. Activable uniquement quand MISTRAL_API_KEY est configurée ; à défaut, le lien est sauté. — Paris, France — juridiction EU — DPA : https://mistral.ai/terms.
• Scope (auto-hébergé — instance DocuSeal) — Signature électronique conforme eIDAS pour les notes de cadrage, propales et DPA — instance DocuSeal auto-hébergée par l'éditeur sur Railway (région EU West), aucune donnée signée n'est partagée avec un tiers. — Railway, région EU West (Union européenne) — juridiction EU — DPA : /dpa.
• Plus Five Five, Inc. (Resend) — Envoi des emails transactionnels (notifications, confirmations, magic links, signatures, exports prêts). — Région eu-west-1 (Irlande) — juridiction US — DPA : https://resend.com/legal/dpa.
• Stripe Payments Europe Ltd — Traitement des paiements, gestion des abonnements et émission des factures clients. Aucune donnée de carte ne transite par les serveurs de Scope (tokenisation totale). — Dublin, Irlande — juridiction EU — DPA : https://stripe.com/legal/dpa.
• Plausible Insights OÜ — Analytics web auto-hébergées sans cookies et sans données personnelles. Activées uniquement après consentement explicite. — Allemagne (Hetzner) — juridiction EU — DPA : https://plausible.io/dpa.
• Burke Software & Consulting LLC (GlitchTip) — Capture des erreurs runtime côté serveur et navigateur, pour identifier et corriger les régressions. Les payloads sont scrubbés (PII, secrets) avant émission. — DigitalOcean Frankfurt, Allemagne (résidence des données UE) — juridiction US — DPA : https://glitchtip.com/privacy/.
• Cloudflare, Inc. — Stockage objet S3-compatible (bucket EU) accueillant les sauvegardes hebdomadaires de la base Postgres (dump SQL chiffré et compressé). Aucun contenu applicatif n'y est lu en chaud — l'accès est exclusivement réservé aux dumps de reprise d'activité. — Union européenne (juridiction R2 = EU, bucket pinné UE) — juridiction US — DPA : https://www.cloudflare.com/cloudflare-customer-dpa/.
• Cloudflare, Inc. — Résolution DNS du domaine getscope.dev et routage email vers les boîtes professionnelles. Aucune donnée applicative ne transite par Cloudflare. — Réseau global (anycast) — juridiction GLOBAL — DPA : https://www.cloudflare.com/cloudflare-customer-dpa/.
• BetterStack UAB — Supervision de disponibilité (uptime) des routes publiques de getscope.dev et heartbeats des tâches planifiées (crons). Aucune donnée personnelle ne transite par Better Stack : seules les sondes HTTP publiques et les pings de bonne fin des tâches. — Vilnius, Lituanie (UE) — juridiction EU — DPA : https://betterstack.com/privacy.
• Scaleway SAS (Iliad Group) — Stockage objet S3-compatible avec Object Lock COMPLIANCE 7 ans pour l'archive immuable du journal `audit_logs` (rétention légale L123-22, 10 ans). Le cron mensuel `archive_audit_logs_older_than_13_months()` déplace les lignes hors fenêtre HOT vers Scaleway Object Storage Paris (`fr-par`, bucket `scope-audit-cold-prod`). En mode COMPLIANCE, la suppression ou l'écrasement de l'archive est IMPOSSIBLE même avec les identifiants racine — aucun bypass côté fournisseur. — Paris (datacenter DC5, région `fr-par`) — juridiction EU — DPA : https://www.scaleway.com/en/contracts/.

Les prestataires juridiquement domiciliés hors UE sont signalés comme tels dans le registre. Les transferts éventuels sont encadrés par les Clauses Contractuelles Types ou tout autre mécanisme applicable, avec les mesures supplémentaires décrites sur le Trust Center.

Contact

Pour toute question relative à ce DPA, ou pour obtenir une version contresignée nominative : dpo@getscope.dev.