Accord de traitement des données (DPA)

Le présent accord est conclu entre :

• Responsable du traitement : le client B2B ayant souscrit un abonnement payant Quaesis (Cabinet ou Enterprise), désigné dans le bon de commande / contrat commercial.
• Sous-traitant : la SAS Quaesis (1 rue de la Paix, 75002 Paris, France).

Le sous-traitant traite les données personnelles transmises par le responsable de traitement aux seules fins de fournir le service Quaesis tel que défini dans les CGU et CGV en vigueur. La durée du traitement coïncide avec la durée de l'abonnement, augmentée des durées d'archivage légal.

Catégories de personnes : utilisateurs (collaborateurs du responsable), clients du responsable mentionnés dans des documents déposés. Catégories de données : identifiants professionnels, contenu des documents soumis au service, interactions avec l'IA, métadonnées techniques. Le responsable garantit ne pas soumettre de catégories particulières (RGPD art. 9) sans accord préalable écrit.

• traiter les données uniquement sur instruction documentée du responsable ;
• garantir la confidentialité des personnes habilitées à traiter les données ;
• mettre en œuvre les mesures de sécurité de l'art. 32 (annexe 1) ;
• ne recourir à un sous-traitant ultérieur qu'avec l'autorisation préalable, telle que documentée par la page Sous-traitants et la notification de mise à jour ;
• aider le responsable à donner suite aux demandes des personnes concernées (droits d'accès, rectification, effacement, etc.) ;
• aider le responsable à remplir ses obligations relatives à la sécurité, aux violations de données, aux études d'impact ;
• au choix du responsable, supprimer ou restituer les données à la fin du contrat.

La liste actualisée des sous-traitants ultérieurs autorisés figure sur la page Sous-traitants. Toute modification est notifiée 30 jours à l'avance ; le responsable peut s'y opposer pour motif sérieux lié à la protection des données, auquel cas Quaesis et le responsable chercheront une solution alternative dans un délai raisonnable.

• chiffrement TLS 1.3 obligatoire en transit, HSTS ;
• chiffrement AES-256 au repos (Neon, R2) ;
• authentification renforcée pour le personnel (MFA, principes du moindre privilège) ;
• journalisation des accès, rétention 6 mois ;
• revues de sécurité annuelles internes ; objectifs SOC 2 / ISO 27001 (roadmap, cf. Sécurité §10) ;
• isolation containerisée des charges (Fly.io), images mises à jour automatiquement.

En cas de violation de données affectant les données du responsable, Quaesis notifie le responsable par email à l'adresse renseignée dans son compte, dans un délai de 48 heures maximum après en avoir pris connaissance. La notification comporte les éléments listés à l'art. 33.3 RGPD.

Les transferts hors UE sont encadrés par le Data Privacy Framework (lorsque le sous-traitant est certifié) et / ou par les Clauses Contractuelles Types 2021/914 (modules pertinents en backup). Détail page Politique de confidentialité §6 et Sous-traitants.

À la fin de la prestation, au choix du responsable et dans un délai de 30 jours, Quaesis : (i) restitue les données dans un format structuré et exploitable, ou (ii) procède à leur suppression définitive de tous les systèmes (y compris sauvegardes, dans le respect des cycles de rotation des sauvegardes — informations disponibles sur demande).

Le responsable peut, à ses frais et moyennant un préavis de 30 jours, conduire ou faire conduire un audit annuel sur les mesures de sécurité du sous-traitant. Quaesis peut substituer un audit indépendant tiers (ex. SOC 2 Type II) si disponible.

Voir les CGU §9 et CGV §14.

Le présent DPA est régi par le droit français. Tout litige relève des tribunaux compétents de Paris.