Informations légales

Accord de traitement des données (DPA)

Conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD). Le présent accord (le « DPA » ou l'« Accord ») est annexé au Devis et aux Conditions Générales de Vente de Sparktacus, qu'il complète, et constitue le cadre des traitements de données à caractère personnel réalisés par Sparktacus pour le compte de ses Clients professionnels.

Entre les soussignés

SPARKTACUS, société par actions simplifiée au capital de [À COMPLÉTER — capital social] euros, immatriculée au RCS de Saint-Denis (La Réunion) sous le numéro [À COMPLÉTER — SIREN], dont le siège social est situé [À COMPLÉTER — adresse du siège], représentée par M. R. TOUSSAINT, dûment habilité — ci-après le « Sous-traitant » ;

ET le Client identifié au Devis et aux CGV auxquels le présent Accord est annexé, dont les coordonnées figurent à l'Annexe 1 — ci-après le « Responsable de traitement ».

Préambule

Dans le cadre des prestations d'automatisation et d'intégration de solutions logicielles incluant des composants d'intelligence artificielle (les « Prestations »), Sparktacus est susceptible de traiter des données à caractère personnel pour le compte du Client. Le présent Accord encadre ces traitements conformément à l'article 28 du RGPD et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »). Il est visé par les articles 4, 18 et 20 des CGV comme document distinct et obligatoire, et forme avec les CGV et le Devis un ensemble contractuel cohérent.

Article 1 — Définitions

Les termes commençant par une majuscule ont le sens ci-après ; les termes définis par le RGPD et non repris conservent le sens que leur attribue le RGPD.

Données à caractère personnel (« Données ») : toute information se rapportant à une personne physique identifiée ou identifiable, traitée par Sparktacus pour le compte du Client (cf. Annexe 1).
Traitement : toute opération sur des Données au sens de l'article 4.2 du RGPD.
Responsable de traitement : le Client, qui détermine les finalités et les moyens du Traitement.
Sous-traitant : Sparktacus, qui traite les Données pour le compte du Responsable de traitement.
Sous-traitant ultérieur : tout tiers auquel Sparktacus recourt pour des activités de traitement spécifiques (article 28.4 du RGPD).
Personne concernée : la personne physique à laquelle se rapportent les Données.
Violation de données : violation de la sécurité au sens de l'article 4.12 du RGPD.
Autorité de contrôle : la CNIL ou toute autre autorité compétente (article 51 du RGPD).
Instructions documentées : les instructions écrites du Responsable de traitement, constituées notamment du présent Accord, du Devis, des CGV et de toute instruction écrite ultérieure.
Agrégateur LLM : la passerelle technique d'accès à des modèles de langage (de type OpenRouter) par l'intermédiaire de laquelle Sparktacus accède à un ou plusieurs fournisseurs de modèles d'intelligence artificielle.

Article 2 — Objet et cadre de l'accord

Le présent Accord définit les conditions dans lesquelles Sparktacus, en qualité de Sous-traitant, traite les Données pour le compte du Client, en qualité de Responsable de traitement, dans le cadre des Prestations. Il s'applique à l'ensemble des Traitements décrits à l'Annexe 1.

Articulation contractuelle. Le présent Accord complète les CGV et le Devis. En cas de contradiction portant spécifiquement sur la protection des Données à caractère personnel, le présent Accord prévaut sur ce point ; pour toute autre stipulation (conditions financières, limitation de responsabilité, durée commerciale), les CGV demeurent applicables. En cas de contradiction avec une exigence impérative du RGPD ou de la Loi Informatique et Libertés, le texte légal prévaut.

Article 3 — Répartition des rôles

Le Client est seul Responsable de traitement : il détermine les finalités et les moyens des Traitements et garantit disposer d'une base légale valable (article 6 du RGPD) et, le cas échéant, des conditions de l'article 9 pour les catégories particulières de données. Il garantit que les Données transmises ont été collectées licitement et qu'il a satisfait à ses obligations d'information (articles 12 à 14 du RGPD).

Sparktacus agit en qualité de Sous-traitant et traite les Données exclusivement sur instructions documentées du Client.

Article 4 — Obligations de Sparktacus (article 28.3 RGPD)

(a) Traitement sur instructions documentées

Sparktacus traite les Données uniquement sur la base des instructions documentées du Client, y compris pour les transferts vers un pays tiers, à moins d'une obligation légale de l'Union ou du droit français ; dans ce cas, elle en informe le Client avant le Traitement, sauf interdiction légale. Si Sparktacus considère qu'une instruction constitue une violation du RGPD, elle en informe immédiatement le Client.

(b) Confidentialité

Sparktacus veille à ce que les personnes autorisées à traiter les Données s'engagent à la confidentialité ou y soient légalement tenues, obligation persistant après la fin de leurs fonctions.

(c) Sécurité (article 32)

Sparktacus met en œuvre les mesures techniques et organisationnelles requises par l'article 32 du RGPD, détaillées à l'Annexe 2.

(d) Recours à un sous-traitant ultérieur

Sparktacus respecte les conditions des articles 28.2 et 28.4 du RGPD, précisées à l'article 7.

(e) Assistance à l'exercice des droits des Personnes concernées

Compte tenu de la nature du Traitement, Sparktacus aide le Client, par des mesures appropriées et dans la mesure du possible, à donner suite aux demandes d'exercice des droits (chapitre III du RGPD). Toute demande adressée directement à Sparktacus est transmise au Client dans les meilleurs délais, sans réponse directe sauf instruction écrite contraire.

(f) Assistance aux obligations des articles 32 à 36

Sparktacus aide le Client à respecter ses obligations au titre des articles 32 à 36 : sécurité (32), notification de Violation à l'Autorité (33) et communication aux Personnes concernées (34) dans les conditions de l'article 6 du présent Accord, analyse d'impact (35) et consultation préalable (36).

(g) Sort des Données en fin de Prestation

Au choix écrit du Client, Sparktacus supprime ou restitue l'ensemble des Données au terme des Prestations et détruit les copies, sauf conservation imposée par le droit de l'Union ou français (cf. article 9).

(h) Mise à disposition des informations et audits

Sparktacus met à disposition du Client les informations nécessaires pour démontrer le respect de l'article 28 et permet la réalisation d'audits, dans les conditions suivantes : au maximum une fois par période de douze (12) mois sauf Violation avérée ou demande de l'Autorité ; préavis écrit d'au moins trente (30) jours ; pendant les heures ouvrables, sans perturbation disproportionnée et dans le respect de la confidentialité des autres clients de l'infrastructure mutualisée ; auditeur tiers non concurrent et soumis à confidentialité ; coûts à la charge du Client sauf manquement substantiel révélé ; possibilité pour Sparktacus de fournir des rapports d'audit, certifications ou attestations existants.

Article 5 — Sécurité du traitement (article 32 RGPD)

Sparktacus met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (Annexe 2).

Infrastructure mutualisée — information loyale. Le Client est expressément informé que les Prestations sont, sauf stipulation contraire au Devis, hébergées sur une infrastructure de type serveur privé virtuel (VPS) mutualisé entre plusieurs clients, avec un cloisonnement logique (et non physique) des environnements et des Données. Sparktacus reconnaît que cette architecture entraîne une concentration du risque sur une infrastructure unique ; les mesures compensatoires figurent à l'Annexe 2. Le Client requérant une isolation physique dédiée en fait la demande expresse, faisant l'objet d'un Devis spécifique.

Article 6 — Violation de données (articles 33 et 34 RGPD)

Notification au Client. En cas de Violation affectant les Données du Client, Sparktacus la notifie au Client sans délai injustifié après en avoir pris connaissance, et au plus tard sous [À COMPLÉTER — délai, recommandation 48 à 72 h], afin de permettre au Client de respecter son propre délai de 72 heures (article 33).

La notification décrit, dans la mesure du possible : la nature de la Violation (catégories et nombre approximatif de Personnes et d'enregistrements concernés) ; le point de contact ; les conséquences probables ; les mesures prises ou proposées. Ces informations peuvent être fournies de manière échelonnée.

Sparktacus apporte une assistance raisonnable au Client pour ses obligations des articles 33 et 34. La décision de notifier l'Autorité et de communiquer aux Personnes concernées appartient au seul Client. Sparktacus ne procède à aucune communication externe sans accord écrit préalable du Client, sauf obligation légale propre. Toute Violation est documentée et tenue à disposition du Client.

Article 7 — Sous-traitance ultérieure (articles 28.2 et 28.4 RGPD)

Autorisation générale écrite. Le Client donne à Sparktacus une autorisation générale écrite de recourir à des Sous-traitants ultérieurs. La liste à la date de l'Accord figure à l'Annexe 3.

Information préalable et droit d'opposition. Sparktacus informe le Client de tout changement (ajout ou remplacement) avec un préavis d'au moins [À COMPLÉTER — délai, recommandation 30 jours]. Le Client peut émettre des objections motivées au regard de la protection des Données pendant ce délai ; à défaut d'objection écrite à l'expiration du délai, le changement est réputé accepté.

Objection. En cas d'objection motivée, les Parties recherchent une solution raisonnable. À défaut, et si Sparktacus maintient son recours, le Client peut résilier sans pénalité la partie des Prestations concernée (conditions de durée et résiliation des CGV et de l'article 9). Cette résiliation constitue le seul recours du Client à ce titre.

Garanties imposées (article 28.4). Sparktacus impose à chaque Sous-traitant ultérieur les mêmes obligations de protection des données que celles du présent Accord, notamment des garanties suffisantes de mesures techniques et organisationnelles appropriées. Sparktacus demeure pleinement responsable envers le Client de l'exécution par le Sous-traitant ultérieur de ses obligations. La localisation et, le cas échéant, le mécanisme de transfert hors UE figurent à l'Annexe 3 et sont régis par l'article 8.

Article 8 — Transferts de données hors Union européenne (chapitre V RGPD)

Principe. Sparktacus ne procède à aucun transfert hors EEE sans instruction documentée du Client et sans mécanisme conforme au chapitre V du RGPD (articles 44 et suivants).

Hébergement par défaut dans l'UE. L'infrastructure d'hébergement (VPS et hébergeur, cf. Annexe 3 — Hostinger International Ltd, Larnaca, Chypre, UE) est par défaut localisée dans l'Union européenne ; l'hébergement des Données ne constitue donc pas, en principe, un transfert hors UE.

Point d'attention majeur — accès aux modèles d'IA via un Agrégateur LLM. Lorsque les Prestations comportent un composant d'intelligence artificielle, Sparktacus accède aux modèles de langage via un Agrégateur LLM (de type OpenRouter). Un tel agrégateur est susceptible de router les requêtes — et donc, le cas échéant, les Données qu'elles contiennent — vers des fournisseurs de modèles établis hors de l'Union européenne, notamment aux États-Unis. Cette opération est susceptible de constituer un transfert de données hors UE au sens du chapitre V du RGPD.

Mécanisme de transfert retenu. Pour tout transfert hors UE résultant de l'Agrégateur LLM ou d'un autre Sous-traitant ultérieur, le transfert repose sur l'un des fondements suivants, par ordre de préférence : (a) une décision d'adéquation de la Commission européenne (article 45), ou pour les États-Unis l'adhésion certifiée du destinataire au Data Privacy Framework (DPF) UE–États-Unis lorsqu'elle est en vigueur et couvre la donnée concernée [À COMPLÉTER — vérifier la certification DPF de chaque fournisseur] ; (b) à défaut, les clauses contractuelles types (CCT/SCC) (article 46.2.c) ; (c) à défaut, tout autre mécanisme de l'article 46 ou une dérogation de l'article 49 lorsqu'applicable et documentée.

Mesures supplémentaires. Lorsque le mécanisme l'exige (notamment CCT), Sparktacus met en œuvre et impose des mesures supplémentaires techniques, organisationnelles et contractuelles assurant un niveau de protection substantiellement équivalent : minimisation des Données transmises au modèle, pseudonymisation ou anonymisation préalable lorsque techniquement possible, chiffrement en transit, sélection de fournisseurs offrant des garanties suffisantes (absence de réutilisation pour l'entraînement, conservation encadrée), filtrage du routage de l'Agrégateur LLM.

Restriction de routage et liste des fournisseurs. La liste exacte des fournisseurs de modèles d'IA et leur localisation figurent à l'Annexe 3 [À COMPLÉTER — liste des fournisseurs LLM et localisation]. Sparktacus s'efforce, lorsque la configuration le permet, de restreindre le routage aux fournisseurs conformes. Le Client peut, par instruction écrite, exiger un traitement exclusivement par des modèles d'IA hébergés dans l'UE, sous réserve de faisabilité technique et, le cas échéant, d'un ajustement du Devis.

Données sensibles. Le Client s'engage à ne pas transmettre, via les Prestations à composant IA, de données relevant des catégories particulières (article 9 du RGPD) sans en avoir informé Sparktacus par écrit et sans cadre de transfert et de sécurité renforcé expressément convenu.

Article 9 — Durée, fin, restitution et suppression

Le présent Accord prend effet à la date de signature du Devis (ou des CGV) auquel il est annexé et demeure en vigueur pendant toute la durée des Prestations donnant lieu à un Traitement.

Au terme des Prestations, au choix écrit du Client exprimé dans un délai de [À COMPLÉTER — recommandation 30 jours] : (a) restitution de l'ensemble des Données dans un format structuré et couramment utilisé, puis suppression des copies ; ou (b) suppression définitive de l'ensemble des Données et copies. À défaut de choix dans le délai, Sparktacus procède à la suppression après notification écrite restée sans réponse.

Par exception, Sparktacus peut conserver les Données dans la stricte mesure et pour la durée requises par le droit applicable, en informant le Client. Sur demande écrite, Sparktacus remet un certificat de suppression. Les Données présentes dans les sauvegardes sont supprimées selon le cycle de rotation décrit à l'Annexe 2 et demeurent, jusqu'à leur écrasement, soumises aux mesures de sécurité du présent Accord.

Article 10 — Responsabilité

Chaque Partie répond des dommages causés par le Traitement dans les conditions de l'article 82 du RGPD. Sparktacus n'est responsable que dans la mesure où elle n'a pas respecté les obligations du RGPD incombant spécifiquement aux sous-traitants, ou a agi en dehors des instructions licites du Client ou contrairement à celles-ci. La responsabilité de Sparktacus s'inscrit dans le cadre de la clause de limitation de responsabilité des CGV, sous réserve des dispositions impératives du RGPD. Le Client garantit Sparktacus contre les conséquences de toute réclamation résultant d'un manquement du Client à ses obligations de Responsable de traitement.

Article 11 — Droit applicable et juridiction

Le présent Accord est régi par le droit français et le droit de l'Union européenne, notamment le RGPD. Tout litige relève de la juridiction désignée par la clause attributive de compétence des CGV [À COMPLÉTER — confirmer le tribunal compétent visé aux CGV], après tentative de résolution amiable.

Signatures

Pour le Client (Responsable de traitement)	Pour Sparktacus (Sous-traitant)
Nom : [À COMPLÉTER] Qualité : [À COMPLÉTER] Date : [À COMPLÉTER] Signature :	M. R. TOUSSAINT Représentant légal Date : [À COMPLÉTER] Signature :

Annexe 1 — Description du traitement

À renseigner pour chaque mission ; dépend du cas Client (article 28.3 RGPD).

Responsable de traitement (Client) : [À COMPLÉTER — raison sociale, forme, SIREN, siège, représentant]
Contact Données / DPO du Client : [À COMPLÉTER]
Sous-traitant : Sparktacus, SAS, [À COMPLÉTER — SIREN, siège]
Contact Données / DPO de Sparktacus : [À COMPLÉTER — point de contact ; préciser si un DPO est désigné]
Nature des opérations : [À COMPLÉTER — ex. collecte, structuration, consultation, analyse par modèle d'IA, transmission, hébergement, suppression]
Finalités : [À COMPLÉTER — finalités poursuivies par le Client]
Catégories de Personnes concernées : [À COMPLÉTER — ex. clients/prospects, salariés, fournisseurs, utilisateurs]
Catégories de Données : [À COMPLÉTER — ex. identification, coordonnées, données de connexion, contenu de messages]
Catégories particulières (article 9) : [À COMPLÉTER — par défaut : NÉANT ; si applicable, encadrement renforcé (art. 8.7)]
Durée de conservation par Sparktacus : [À COMPLÉTER — alignée sur la durée des Prestations et la politique du Client]
Localisation du Traitement : [À COMPLÉTER — UE par défaut ; signaler tout traitement IA impliquant un transfert hors UE]

Annexe 2 — Mesures techniques et organisationnelles de sécurité (article 32 RGPD)

Mesures adaptées à une infrastructure mutualisée à cloisonnement logique. Les mesures effectivement mises en œuvre pour chaque mission sont précisées au Devis ; à défaut, le socle ci-dessous s'applique.

1. Cloisonnement logique des environnements

Séparation logique des environnements et des Données de chaque client sur le VPS mutualisé (instances, bases de données et/ou espaces de stockage distincts) ; contrôles d'accès empêchant l'accès inter-clients. [À COMPLÉTER — mécanisme d'isolation : conteneurisation, comptes/schémas dédiés, séparation des workflows]

2. Gestion des accès

Moindre privilège ; accès limité aux personnes habilitées ; authentification individuelle et renforcée (MFA) pour l'administration [À COMPLÉTER — confirmer MFA] ; revue périodique et révocation des droits.

3. Gestion des secrets et des credentials

Stockage des secrets dans un coffre / gestionnaire chiffré, jamais en clair ; rotation et cloisonnement des credentials par client. [À COMPLÉTER — outil de gestion des secrets]

4. Chiffrement

Chiffrement en transit (TLS) sur l'ensemble des communications ; chiffrement au repos (stockage et sauvegardes). [À COMPLÉTER — périmètre et algorithme du chiffrement au repos]

5. Journalisation et traçabilité

Journalisation des accès et opérations sensibles ; conservation des journaux pendant [À COMPLÉTER — durée] ; protection de l'intégrité des journaux.

6. Sauvegardes et continuité

Sauvegardes régulières et chiffrées — fréquence [À COMPLÉTER], cycle de rotation [À COMPLÉTER] ; tests de restauration périodiques [À COMPLÉTER — fréquence].

7. Gestion des vulnérabilités

Application des correctifs de sécurité ; veille sur les vulnérabilités des composants. [À COMPLÉTER — fréquence des mises à jour, scans/tests]

8. Concentration de risque — mesures compensatoires (infra mutualisée)

Un VPS mutualisé unique entraîne une concentration du risque. Mesures compensatoires : isolation logique stricte et contrôles inter-clients (point 1) ; sauvegardes externalisées permettant une restauration en cas de compromission (point 6) ; supervision et alertes sur l'état de l'infrastructure [À COMPLÉTER — dispositif de supervision] ; plan de réversibilité documenté (point 9) ; option d'isolation physique dédiée sur demande et Devis spécifique (art. 5).

9. Réversibilité

Capacité d'extraction des Données dans un format structuré et couramment utilisé, en vue de leur restitution ou migration (cf. art. 9).

10. Sensibilisation

Sensibilisation des personnes autorisées aux exigences de sécurité et de confidentialité. [À COMPLÉTER]

Annexe 3 — Liste des sous-traitants ultérieurs (articles 28.2 et 28.4 RGPD)

Liste à jour à la date de conclusion de l'Accord. Toute modification suit la procédure d'information préalable et de droit d'opposition de l'article 7.

Sous-traitant ultérieur	Rôle	Localisation	Transfert hors UE ?	Mécanisme / garanties (chap. V)
Hostinger International Ltd	Hébergeur de l'infrastructure (VPS)	Larnaca, Chypre (UE)	Non (UE)	Sans objet — hébergement intra-UE. [À COMPLÉTER — confirmer la localisation des datacenters / support hors UE]
Agrégateur LLM (type OpenRouter)	Passerelle d'accès aux modèles d'IA ; routage des requêtes vers les fournisseurs	[À COMPLÉTER — établissement]	Potentiellement OUI (routage possible hors UE, dont US)	[À COMPLÉTER — adéquation/DPF, CCT, mesures supplémentaires — cf. art. 8]
Fournisseurs de modèles d'IA (LLM)	Inférence des modèles sur les requêtes	[À COMPLÉTER — fournisseurs + pays]	[À COMPLÉTER — selon fournisseur]	[À COMPLÉTER — adéquation/DPF/CCT + mesures supplémentaires]
[À COMPLÉTER — services tiers d'intégration : API, messagerie, stockage, CRM connectés]	[À COMPLÉTER]	[À COMPLÉTER]	[À COMPLÉTER]	[À COMPLÉTER]

Préciser, le cas échéant, si le routage de l'Agrégateur LLM est restreint à une liste blanche de fournisseurs présentant des garanties conformes (cf. art. 8).

Version 1.0 — dernière mise à jour : 6 juin 2026. Les informations marquées [À COMPLÉTER] seront renseignées avant toute signature. Le mécanisme de transfert hors UE applicable aux modèles d'IA (article 8) et la liste des sous-traitants ultérieurs (Annexe 3) sont les points conditionnant la validité de l'accord. Projet de socle contractuel à faire valider par un conseil juridique avant signature.