# Data Processing Agreement (DPA) — Modèle Scope

> **Document de travail.** Brouillon commercial à relire par un avocat IT et RGPD avant signature. Aucune valeur contractuelle en l'état. Toute version contresignée nominative doit être obtenue auprès de [dpo@getscope.dev](mailto:dpo@getscope.dev) en précisant la raison sociale, le SIRET, l'adresse, et le signataire habilité du Client.

**Modèle de référence** — version markdown procurement-portable. Pour la version web canonique : [https://getscope.dev/dpa](https://getscope.dev/dpa). Pour les versions PDF prêtes à signature DocuSeal : [`/legal/dpa-template.pdf`](https://getscope.dev/legal/dpa-template.pdf) (FR) et [`/legal/dpa-template-en.pdf`](https://getscope.dev/legal/dpa-template-en.pdf) (EN).

---

## En-têtes à compléter avant signature

- **Raison sociale du Client** : `[CLIENT_NAME]`
- **SIRET / numéro d'immatriculation du Client** : `[CLIENT_SIRET]`
- **Adresse postale du Client** : `[CLIENT_ADDRESS]`
- **Signataire habilité du Client** : `[CLIENT_SIGNATORY_NAME]`, `[CLIENT_SIGNATORY_TITLE]`
- **Date de signature** : `[DATE_SIGNATURE]`
- **Référence contrat principal** (CGU/CGV, contrat PoC, MSA) : `[CONTRACT_REFERENCE]`

**Côté Scope** :
- **Sous-traitant** : Amir KELLOUSIDHOUM, auto-entrepreneur (BNC libéral)
- **SIRET** : 917 709 024 00017
- **Numéro de TVA intracommunautaire** : FR43917709024
- **Domicile fiscal** : communiqué sur demande à [legal@getscope.dev](mailto:legal@getscope.dev). Mentions légales complètes publiées sur [https://getscope.dev/mentions-legales](https://getscope.dev/mentions-legales).
- **Point de contact DPO** : [dpo@getscope.dev](mailto:dpo@getscope.dev)
- **Signalement sécurité** : [security@getscope.dev](mailto:security@getscope.dev)
- **Signataire habilité** : Amir Kellou Sidhoum, fondateur et exploitant individuel

---

## Préambule

Le présent **Data Processing Agreement (« DPA »)** encadre, en application de l'**article 28 du règlement (UE) 2016/679 (« RGPD »)**, les conditions dans lesquelles l'éditeur du service Scope (« Scope » ou le « Sous-traitant ») traite des données à caractère personnel pour le compte de l'Organisation cliente (« le Client » ou le « Responsable de traitement »).

Il complète et fait partie intégrante des Conditions Générales d'Utilisation et de Vente (« CGU/CGV ») publiées sur [https://getscope.dev/cgu](https://getscope.dev/cgu), ou de tout contrat principal référencé en `[CONTRACT_REFERENCE]`. En cas de contradiction, le présent DPA prévaut sur les CGU/CGV pour toute disposition relative à la protection des données.

- **Sous-traitant** : Amir KELLOUSIDHOUM (« Scope »), auto-entrepreneur (BNC libéral) — SIRET 917 709 024 00017.
- **Responsable de traitement** : `[CLIENT_NAME]`, SIRET `[CLIENT_SIRET]` (« le Client »).

Pour les données collectées en propre par Scope (gestion du Compte, facturation, logs de sécurité, prospection), Scope agit en qualité de **responsable de traitement autonome** ; les modalités correspondantes sont décrites dans la [politique de confidentialité](https://getscope.dev/politique-de-confidentialite).

---

## Article 1 — Objet et durée

Scope traite les Données du Client aux seules fins de fournir le Service défini aux CGU/CGV ou contrat principal. La durée du traitement correspond à la durée de l'abonnement, augmentée du délai de suppression prévu à l'**Article 8** ci-dessous.

## Article 2 — Nature et finalité du traitement

Le traitement consiste à :
1. **Ingérer** les documents et contenus fournis par le Client (PDF, DOCX, notes, enregistrements audio).
2. **Structurer** ces contenus via un pipeline IA en 4 stages (Extract → Clarify → Scoping → Estimate) — cf. [`./architecture-data-flow.md`](./architecture-data-flow.md).
3. **Stocker** les contenus et leurs transformations dans une base Postgres EU (Supabase Dublin) avec cloisonnement multi-tenant par Row Level Security (RLS).
4. **Afficher** les contenus structurés via l'interface web Scope.
5. **Exporter** les documents de cadrage générés (PDF, DOCX, PPTX).
6. **Signer électroniquement** ces documents via DocuSeal auto-hébergé conforme eIDAS (optionnel).

La finalité est **strictement opérationnelle** : exécuter le pipeline IA et permettre au Client de produire et partager ses livrables de cadrage et de chiffrage projet.

## Article 3 — Catégories de données

Les Données traitées par Scope pour le compte du Client incluent :

- **Données d'identification professionnelle** des collaborateurs et contacts cités dans les briefs (noms, prénoms, fonctions, organisations).
- **Contenu professionnel libre** : texte de brief, audio transcrit, PDF, DOCX, notes, hypothèses, chiffrages.
- **Métadonnées techniques** : horodatage, nom de fichier, taille, hash de contenu.

**Aucune catégorie particulière de données au sens de l'article 9 du RGPD** (santé, religion, orientation, opinions politiques, etc.), **ni donnée relative aux condamnations** (article 10), n'est attendue. Le Client s'engage à ne pas charger de telles données dans le Service.

## Article 4 — Catégories de personnes concernées

- **Collaborateurs et utilisateurs du Client** habilités à utiliser le Service.
- **Clients finaux du Client et leurs interlocuteurs** cités dans les briefs, notes de cadrage ou propositions commerciales.
- **Signataires** des documents soumis à signature électronique via DocuSeal.

## Article 5 — Obligations de Scope en tant que sous-traitant

Scope s'engage à :

1. **Ne traiter les Données que sur instruction documentée du Client.** L'acceptation des CGU/CGV et l'usage du Service constituent ces instructions, sauf instruction spécifique communiquée par écrit à [dpo@getscope.dev](mailto:dpo@getscope.dev), sauf obligation légale, auquel cas Scope informe préalablement le Client à moins qu'une telle information ne soit interdite par la loi.

2. **Garantir la confidentialité** : les personnes autorisées à traiter les Données sont soumises à une obligation de confidentialité contractuelle ou légale.

3. **Mettre en œuvre les mesures techniques et organisationnelles** décrites en **Annexe 2** (article 32 du RGPD).

4. **Ne recourir à aucun sous-traitant ultérieur** sans information préalable du Client, dans les conditions de l'**Article 6**.

5. **Assister le Client** dans la mesure du possible pour répondre aux demandes d'exercice des droits des personnes concernées (articles 12 à 22 du RGPD).

6. **Assister le Client** dans l'accomplissement de ses obligations issues des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact, consultation préalable).

7. **Notifier au Client toute violation de Données** dans un délai maximum de **72 heures** après en avoir pris connaissance, conformément à l'article 33.2. Le processus de notification est détaillé dans [`./incident-response.md`](./incident-response.md).

8. **Supprimer ou restituer les Données** à la fin de la prestation, au choix du Client, conformément à l'**Article 8** et au plan de sortie détaillé dans [`./exit-plan.md`](./exit-plan.md).

9. **Mettre à disposition du Client** toutes les informations nécessaires pour démontrer sa conformité aux obligations de l'article 28, et permettre la réalisation d'audits dans les conditions de l'**Article 9**.

## Article 6 — Sous-traitants ultérieurs

Le Client autorise Scope, par les présentes, à recourir aux sous-traitants ultérieurs listés dans le [registre public](https://getscope.dev/sous-traitants), reproduit en **Annexe 3** et formalisé dans [`./subprocessors.md`](./subprocessors.md).

**Toute évolution de cette liste** (ajout ou remplacement) est notifiée par email aux clients abonnés au moins **30 jours avant son entrée en vigueur**, en application de l'article 28.2 du RGPD. Le Client peut s'opposer à un nouveau sous-traitant pour des motifs légitimes liés à la protection des Données ; à défaut d'accord, le Client peut **résilier sans pénalité** son abonnement avant l'entrée en vigueur du changement.

Scope conclut avec chaque sous-traitant ultérieur un contrat imposant les mêmes obligations de protection des Données que celles figurant dans le présent DPA.

## Article 7 — Transferts hors Union européenne

Les Données du Client sont **stockées et traitées en Union européenne** (Supabase eu-west-1 Dublin pour la base et le stockage ; Railway région EU West pour l'exécution applicative ; Gladia Paris pour la transcription audio ; DocuSeal auto-hébergé sur Railway EU West pour la signature électronique).

Certains sous-traitants sont juridiquement domiciliés aux États-Unis (Railway, Supabase, OpenRouter, Resend, GlitchTip) ou opèrent un réseau global (Cloudflare). Pour chacun, des **mitigations explicites** sont en place (cf. [`./subprocessors.md`](./subprocessors.md) §3), complétées par :

- les **Clauses Contractuelles Types** adoptées par la Commission européenne (décision d'exécution UE 2021/914 du 4 juin 2021), incorporées par référence dans les contrats sous-traitance ;
- la certification **EU-US Data Privacy Framework** du sous-traitant, lorsqu'elle est applicable ;
- les **mesures supplémentaires** (chiffrement TLS 1.2+, AES-256 au repos, minimisation, séparation logique multi-tenant) décrites en **Annexe 2**.

## Article 8 — Sort des données en fin de contrat

À la résiliation de l'abonnement, le Client peut, pendant **30 jours**, exporter ses Documents de cadrage et son Contenu via les outils du Service (GDPR Export complet, format zip JSON + Markdown + assets). Au terme de ce délai, Scope supprime l'ensemble des Données dans un délai maximum de **30 jours supplémentaires**, sauf obligation légale de conservation :

- **Pièces comptables** (article L.123-22 du Code de commerce) : conservées **10 ans**. Concerne les invoices Stripe, le ledger crédits avec `metadata.source='comptable'`, les événements de signature électronique.
- **Audit logs standards** : conservés **13 mois** en application de la durée recommandée CNIL pour les journaux de sécurité applicative.

**Procédure complète** : voir [`./exit-plan.md`](./exit-plan.md).

Une attestation de suppression peut être délivrée sur demande à [dpo@getscope.dev](mailto:dpo@getscope.dev).

## Article 9 — Audit et conformité

Scope met à disposition du Client, **sur demande motivée**, la documentation nécessaire à la démonstration de sa conformité au présent DPA :
- la politique de sécurité ;
- le registre des sous-traitants tenu à jour ;
- la description des mesures techniques et organisationnelles (Annexe 2) ;
- le journal des violations de Données s'il y a lieu ;
- les objectifs RTO/RPO documentés ([`./rto-rpo.md`](./rto-rpo.md)) ;
- le plan de réponse aux incidents ([`./incident-response.md`](./incident-response.md)).

À la date du présent DPA, **Scope n'est ni certifié SOC 2, ni ISO 27001**. La démarche de mise en conformité est suivie et son avancement peut être communiqué sur demande. La roadmap publique est mentionnée dans [`/legal/soc2-roadmap.pdf`](https://getscope.dev/legal/soc2-roadmap.pdf).

Le Client peut, **à ses frais** et après préavis raisonnable de **30 jours**, conduire **une fois par an** un audit sur dossier, ou le faire réaliser par un tiers indépendant tenu au secret professionnel et préalablement accepté par Scope (acceptation ne pouvant être refusée sans motif légitime). Pour les sous-traitants ultérieurs déjà certifiés (Supabase, Railway SOC 2 Type II + CCT UE, Stripe — SOC 2 Type II et/ou ISO 27001), Scope peut s'acquitter de son obligation d'audit par la transmission des rapports correspondants.

## Article 10 — Responsabilité et indemnisation

La responsabilité respective des parties au titre du présent DPA est régie par les stipulations de l'article relatif à la disponibilité et la responsabilité du contrat principal (`[CONTRACT_REFERENCE]`), sous réserve des dispositions impératives de l'**article 82 du RGPD** relatives au droit à réparation des personnes concernées.

Le Client garantit que la collecte initiale et la transmission des Données à Scope ont été réalisées sur **une base licite** (article 6 RGPD) et avec l'**information des personnes concernées** (articles 13 et 14).

## Article 11 — Dispositions finales

Le présent DPA est régi par le **droit français**. Tout litige relatif à son interprétation ou à son exécution est soumis à la compétence du **Tribunal Judiciaire de Créteil (94)**, sous réserve des règles d'attribution de compétence d'ordre public et des stipulations spécifiques des CGU/CGV ou contrat principal.

> *Une clause d'attribution de compétence (Tribunal de Commerce de Paris, arbitrage CCI/CMAP) reste négociable au cas par cas pour les contrats grand compte ou montants > 50 k€. [En cours de validation juridique — version pilote, formulation susceptible d'évoluer avec un avocat IT/RGPD]*

---

## Annexe 1 — Description du traitement

- **Activités de traitement** : ingestion, structuration, génération assistée par IA, stockage, export, partage, signature électronique des Documents de cadrage et chiffrage projet.
- **Catégories de Données** : identifiants professionnels, contenu libre, métadonnées techniques (cf. Articles 3 et 4 ci-dessus).
- **Catégories de personnes concernées** : collaborateurs du Client, clients finaux du Client cités dans les briefs, signataires.
- **Durée** : durée de l'abonnement, augmentée du délai de suppression de l'Article 8.
- **Lieu** : Union européenne (Dublin pour la persistence, EU West pour l'exécution applicative, Paris pour la transcription, EU West pour la signature), avec transferts encadrés vers les États-Unis pour certains sous-traitants (cf. Annexe 3).

---

## Annexe 2 — Mesures techniques et organisationnelles (article 32 RGPD)

### Chiffrement
- **TLS 1.2+** en transit sur tous les canaux (HTTPS, WebSocket, webhook).
- **AES-256 au repos** : volumes Supabase Postgres et Storage.

### Authentification
- Mots de passe **hachés et salés** (bcrypt via Supabase Auth).
- Session **JWT à rotation automatique**.
- **MFA TOTP** disponible nativement (recommandation CNIL mars 2025) — *roadmap : enrollement enforced sur tier Business/Enterprise.*

### Cloisonnement multi-tenant
- **Row Level Security (RLS)** systématique sur les **60 tables Postgres**.
- Helpers `is_member_of_org` / `is_org_role` avec `SECURITY DEFINER` et `search_path=public`.
- Séparation par `org_id` en base et en Storage (chemin `{org_id}/{project_id}/...`).

### Audit logs
- Journalisation **immutable** des mutations sensibles (export, signature, débit crédits, changement de rôle, suppression).
- **Append-only triggers** Postgres.
- Conservation : **13 mois** pour les actions standards, **10 ans** pour les pièces comptables (`metadata.source='comptable'`).

### Idempotence
- Tout webhook Stripe et DocuSeal et toute opération de crédits est **rejouable sans effet de bord**, identifiée par `event_id` ou `request_id`.

### Gestion des secrets
- Variables d'environnement **Railway chiffrées** au repos.
- Rotation des clés API documentée.
- Séparation `anon` / `authenticated` / `service_role` en base.

### Sauvegardes
- **Point-In-Time Recovery (PITR)** Supabase, par défaut 7 jours.
- **Snapshots automatiques quotidiens**.
- Réplication multi-AZ Dublin.
- Objectifs RTO/RPO documentés : voir [`./rto-rpo.md`](./rto-rpo.md).

### Sécurité du paiement
- **Aucune donnée de carte** traitée par Scope.
- Tokenisation totale par Stripe (PCI DSS Level 1).

### Réponse aux incidents
- Notification au Client sous **72 heures** conformément à l'article 33.2 RGPD.
- Procédure détaillée : [`./incident-response.md`](./incident-response.md).
- Point de contact unique : [dpo@getscope.dev](mailto:dpo@getscope.dev).

### Monitoring d'erreurs
- **GlitchTip** (DigitalOcean Frankfurt, résidence UE) avec PII scrub côté SDK (3 runtimes : server/edge/client).
- **Pino redact** pour les logs serveur.
- **hashEmail()** salté-SHA256 pour les identifiants dans les logs.

### Suppression sécurisée
- Purge programmée à la résiliation, hors obligations comptables.
- Procédure : voir [`./exit-plan.md`](./exit-plan.md).

Le détail à jour des mesures et la maturité des contrôles sont décrits sur la page [Sécurité](https://getscope.dev/securite) et dans [`./security-questionnaire-short.md`](./security-questionnaire-short.md).

---

## Annexe 3 — Liste des sous-traitants ultérieurs

La liste à jour des sous-traitants ultérieurs, leur région, leur juridiction et leurs attestations publiques est publiée sur la page [Sous-traitants](https://getscope.dev/sous-traitants), ainsi que sur le [Trust Center](https://getscope.dev/trust) et via l'endpoint JSON machine-readable [`/api/sub-processors.json`](https://getscope.dev/api/sub-processors.json) (consommable par OneTrust, Vanta, Drata).

**Au jour des présentes** (`2026.05.27-v2`), elle comprend 11 sous-traitants :

| # | Sous-traitant | Fonction | Juridiction | Lieu de traitement |
|---|---|---|---|---|
| 1 | Railway Corp. (717 California St #500, San Francisco, CA 94108, États-Unis) | Hébergement | US | EU West (Union européenne) |
| 2 | Supabase, Inc. | Base + Auth + Storage | US (région eu-west-1) | Dublin |
| 3 | OpenRouter, Inc. | Routeur LLM stateless | US (CCT UE + DPA) | Proxy stateless US → OpenAI (US) + Anthropic (US) sous CCT UE et `data_collection=deny` ; option Enterprise UE-résident (Bedrock Paris, Mistral FR) en validation roadmap |
| 4 | Gladia SAS | Transcription audio | EU | Paris |
| 5 | Mistral AI SAS | OCR PDF/images (sur flag `MISTRAL_OCR_ENABLED`) | EU | Paris |
| 6 | DocuSeal (auto-hébergé) | Signature eIDAS | EU | Railway EU West |
| 7 | Plus Five Five, Inc. (Resend) | Email transactionnel | US (région eu-west-1) | Irlande |
| 8 | Stripe Payments Europe Ltd | Paiement | EU | Dublin |
| 9 | Plausible Insights OÜ | Analytics sans cookies | EU | Hetzner DE |
| 10 | Burke Software & Consulting LLC (GlitchTip) | Monitoring erreurs | US (résidence UE) | DigitalOcean Frankfurt |
| 11 | Cloudflare, Inc. | DNS + routage email | GLOBAL | Métadonnées uniquement |

Détails complets : [`./subprocessors.md`](./subprocessors.md).

Les prestataires juridiquement domiciliés hors UE sont signalés comme tels dans le registre. Les transferts éventuels sont encadrés par les **Clauses Contractuelles Types** ou tout autre mécanisme applicable, avec les mesures supplémentaires décrites dans le [Trust Center](https://getscope.dev/trust).

---

## Signature

**Pour le Client `[CLIENT_NAME]`** :

- Nom : `[CLIENT_SIGNATORY_NAME]`
- Fonction : `[CLIENT_SIGNATORY_TITLE]`
- Date : `[DATE_SIGNATURE]`
- Signature :

**Pour Scope** :

- Nom : Amir Kellou Sidhoum
- Fonction : Fondateur et exploitant individuel (auto-entrepreneur)
- Date : `[DATE_SIGNATURE]`
- Signature :

---

## Contact

Pour toute question relative à ce DPA, ou pour obtenir une **version contresignée nominative via DocuSeal** : [dpo@getscope.dev](mailto:dpo@getscope.dev). Une enveloppe DocuSeal pré-remplie est renvoyée sous **48 heures ouvrées**.

---

*Document `dpa-template.md` v1 — 2026-05-24 — modèle markdown procurement-portable. À relire par avocat IT/RGPD avant signature de toute version contresignée. Pour la version web canonique : [https://getscope.dev/dpa](https://getscope.dev/dpa).*