Data Processing Agreement (DPA)

Mis à jour le 8 juillet 2026

Ce Data Processing Agreement (« DPA ») complète les Conditions d'utilisation et est conclu entre le propriétaire du site (« Responsable du traitement ») et l'opérateur du service (« Sous-traitant »). Il régit le traitement des données personnelles que le Sous-traitant effectue pour le compte du Responsable du traitement dans le cadre de la fourniture d'une recherche IA gérée bâtie sur Google Vertex AI Search. Le DPA est accepté par click-accept lors de l'onboarding (connexion du site) ; l'acceptation est enregistrée avec un horodatage. En cas de conflit entre ce DPA et les Conditions concernant le traitement des données personnelles, ce DPA prévaut.

1. Rôles des parties

Le Responsable du traitement est le propriétaire du site qui intègre le widget : il détermine les finalités et les moyens du traitement des données de ses visiteurs et de son contenu. Le Sous-traitant est l'opérateur du service, qui traite ces données uniquement sur les instructions documentées du Responsable du traitement. Google Cloud est mobilisé en tant que sous-traitant ultérieur (traitement au sein de Vertex AI Search / Gemini / Cloud Storage).

Pour les données du compte propre du Responsable du traitement (e-mail, réglages) et pour le texte des requêtes utilisé dans une mesure limitée pour les indicateurs de qualité et la protection contre les abus, le Sous-traitant agit en tant que responsable du traitement indépendant — régi par la Politique de confidentialité, et non par ce DPA. Les paiements sont gérés par Paddle en tant que Merchant of Record et responsable du traitement indépendant des données de paiement, et non comme un sous-traitant ultérieur.

2. Objet, durée, nature et finalité

  • Objet. Traitement des données personnelles contenues dans le contenu du site du Responsable du traitement et dans les requêtes de ses visiteurs, afin de fournir une recherche IA avec réponses et liens vers les sources.
  • Durée. Pour la durée des Conditions d'utilisation et tant que le projet est actif ; à la résiliation, la rubrique « Restitution et suppression » s'applique.
  • Nature du traitement. Collecte (exploration des pages publiques), indexation, stockage, recherche, génération de réponses, journalisation et suppression.
  • Finalité. Uniquement fournir et prendre en charge le service sur les instructions du Responsable du traitement ; le traitement à d'autres fins n'est pas autorisé.

3. Catégories de données et de personnes concernées

Catégories de personnes concernées : visiteurs du site du Responsable du traitement ; personnes mentionnées dans le contenu public du site.

Catégories de données :

  • contenu des pages publiques du site (peut inclure des données personnelles publiées par le Responsable du traitement) ;
  • texte des requêtes des visiteurs ;
  • données techniques des visiteurs — adresse IP (traitée de façon transitoire et non stockée) et métadonnées de requête (pour la protection contre les abus et la sécurité) ;
  • identifiants de session du widget et indicateurs d'utilisation.

Les données relevant de catégories particulières (art. 9 du GDPR) ne sont pas destinées à être traitées ; le Responsable du traitement s'engage à ne pas les soumettre au service et à ne pas inciter les visiteurs à saisir des données sensibles dans la recherche.

4. Traitement sur instructions

Le Sous-traitant traite les données personnelles uniquement sur les instructions documentées du Responsable du traitement, y compris pour les transferts, sauf obligation contraire du droit applicable de l'UE/d'un État membre ou du droit israélien (auquel cas le Sous-traitant en informe le Responsable du traitement avant le traitement, sauf si la loi l'interdit). Ce DPA, les Conditions et les réglages que le Responsable du traitement configure dans le tableau de bord constituent l'ensemble complet des instructions. Le Sous-traitant informe sans délai le Responsable du traitement si, selon lui, une instruction enfreint le GDPR, une autre loi de l'UE/d'un État membre, ou la PPL israélienne.

5. Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et à ce que l'accès soit accordé sur la base du besoin d'en connaître et du moindre privilège.

6. Mesures de sécurité (art. 32 du GDPR)

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, proportionnées au risque, notamment : transmission via TLS ; isolation des projets (chaque projet dispose de son propre index et de sa propre clé) ; assainissement des requêtes et limitation de débit avant tout appel à un service payant ; accès au moindre privilège ; et journalisation. Les mesures sont appliquées conformément aux Israeli Protection of Privacy (Data Security) Regulations 2017 (voir la rubrique « Droit israélien »). La liste des mesures peut être mise à jour, mais leur niveau n'est pas abaissé.

7. Sous-traitants ultérieurs

Le Responsable du traitement donne une autorisation générale de mobiliser des sous-traitants ultérieurs. La liste en vigueur est publiée sur la page Sous-traitants ultérieurs et inclut Google Cloud (Vertex AI Search / Discovery Engine, Gemini, Cloud Storage). Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations de protection des données au moins aussi protectrices que celles de ce DPA (en particulier, il accepte le Cloud Data Processing Addendum de Google) et demeure responsable des actes de ses sous-traitants ultérieurs.

Le Sous-traitant informe à l'avance de tout ajout ou remplacement prévu d'un sous-traitant ultérieur (procédure sur la page « Sous-traitants ultérieurs ») ; le Responsable du traitement peut s'y opposer pour des motifs raisonnables de protection des données. Si une opposition ne peut être résolue, le Responsable du traitement peut cesser d'utiliser le service pour le traitement concerné.

8. Assistance aux droits des personnes concernées

Compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable du traitement, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, pour s'acquitter de son obligation de répondre aux demandes des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition au titre des art. 15 à 22 du GDPR). Si une demande d'une personne concernée parvient directement au Sous-traitant, il la transmet au Responsable du traitement sans retard injustifié et n'y répond pas lui-même, sauf sur instruction du Responsable du traitement. Les outils du tableau de bord (nettoyage des journaux, suppression du projet) facilitent le traitement de ces demandes.

9. Notification de violation de données personnelles (double régime)

Le Sous-traitant notifie au Responsable du traitement toute violation de données personnelles sans retard injustifié après en avoir pris connaissance, en fournissant les informations raisonnablement nécessaires pour que le Responsable du traitement s'acquitte de ses propres obligations de notification (art. 33 à 34 du GDPR — généralement notification à l'autorité de contrôle par le Responsable du traitement dans les 72 heures).

En outre, le Sous-traitant étant établi en Israël, pour un incident de sécurité grave, il notifie l'Israeli Privacy Protection Authority (PPA) immédiatement, comme l'exige la PPL telle que modifiée par l'Amendment 13, et assiste la notification aux personnes concernées selon les directives de la PPA. La notification ne constitue pas une reconnaissance de responsabilité.

10. Restitution et suppression des données

À la fin de la fourniture des services, le Sous-traitant, au choix du Responsable du traitement, supprime ou restitue les données personnelles et supprime les copies existantes, sauf si le stockage est requis par le droit applicable. En pratique, à la clôture d'un projet, l'index du site et les ressources Vertex associées, les artefacts d'indexation intermédiaires et les journaux sont supprimés (sous réserve des durées de conservation de la Politique de confidentialité : texte des requêtes — 90 jours, artefacts d'indexation — généralement 7 jours ; les adresses IP ne sont pas stockées).

11. Audit et information

Le Sous-traitant met à la disposition du Responsable du traitement les informations raisonnablement nécessaires pour démontrer le respect de ses obligations au titre de l'art. 28 du GDPR, et permet et contribue aux audits, y compris les inspections, menés par le Responsable du traitement ou un auditeur qu'il mandate, dans une mesure raisonnable, sur préavis, pendant les heures ouvrables et sous confidentialité, d'une manière qui ne compromet pas la sécurité des autres clients. Les assurances des sous-traitants ultérieurs (par exemple, les rapports et certifications de conformité de Google, dont ISO 27001) peuvent servir à démontrer la conformité.

12. Transferts internationaux

Les transferts de données personnelles de l'EEE vers le Sous-traitant en Israël reposent sur la décision d'adéquation de la Commission européenne concernant Israël ; des Standard Contractual Clauses distinctes ne sont pas requises pour ce volet, mais si l'adéquation est retirée, les parties se replient sur les SCC.

Les transferts vers les services de Google sont régis par le Cloud Data Processing Addendum de Google et, si nécessaire, par les SCC et/ou l'EU-US Data Privacy Framework. Au choix du Responsable du traitement, une région Google de l'UE est utilisée pour les données des clients de l'UE afin de réduire les transferts transfrontaliers.

Les transferts d'Israël vers Google reposent sur les Israeli Privacy Protection (Transfer of Data Abroad) Regulations 2001, art. 2(4) (obligation du destinataire d'assurer des conditions de stockage et d'utilisation équivalentes au droit israélien). Pour les données de l'EEE, les Israeli EEA Data Regulations 2023 (art. 3 à 7) s'appliquent en outre au traitement des données des personnes concernées de l'EEE.

13. CCPA / conditions relatives au droit des États américains

Dans la mesure où le CCPA/CPRA s'applique, le Sous-traitant agit en tant que service provider et traite les informations personnelles uniquement pour la finalité commerciale spécifiée de fourniture du service. Le Sous-traitant ne vend pas et ne « partage » pas les informations personnelles, ne les conserve, n'en fait usage ni ne les divulgue en dehors de la relation commerciale directe avec le Responsable du traitement ou à toute autre fin, et ne les combine pas avec des données d'autres sources, sauf dans la mesure permise par le CCPA. Le Sous-traitant garantit des obligations équivalentes pour ses sous-traitants ultérieurs.

14. Droit israélien (PPL / Amendment 13)

Le Sous-traitant étant établi en Israël, la Protection of Privacy Law (PPL) telle que modifiée par l'Amendment 13 (en vigueur depuis le 14 August 2025) s'applique au traitement ; elle a aligné le droit israélien sur le GDPR (terminologie responsable du traitement/sous-traitant, transparence du traitement par IA, renforcement de l'application par la PPA, notification des violations). Le Sous-traitant respecte les Protection of Privacy (Data Security) Regulations 2017 pour les données qu'il traite. Pour un incident grave, le régime de notification à la PPA de la rubrique « Notification de violation » s'applique. Les parties confirment qu'un contact confidentialité (Privacy Officer / contact — voir la Politique de confidentialité) est désigné.

15. Dispositions générales

Le choix du droit israélien et de la compétence des tribunaux de Tel-Aviv-Jaffa (voir les Conditions) ne prévaut pas sur les obligations impératives au titre du GDPR, du CCPA et de la PPL — la répartition des responsabilités est déterminée par la loi. En cas de conflit, ce DPA prévaut pour le traitement des données personnelles. Les coordonnées du Sous-traitant (responsable du traitement du service) et le contact confidentialité sont indiqués dans la Politique de confidentialité.