Retour
LexAnon

Data Processing Agreement (DPA)

Accord de traitement des données — Dernière mise à jour : 1er mars 2026

Le présent Accord de traitement des données (ci-après « DPA ») est conclu entre l'utilisateur du service LexAnon (ci-après le « Responsable du traitement » ou le « Client ») et la société [Raison sociale] (ci-après le « Sous-traitant » ou « LexAnon »), conformément à l'article 28 du Règlement (UE) 2016/679 (RGPD).

Ce DPA fait partie intégrante des Conditions Générales d'Utilisation et s'applique dès lors que le Client utilise le Service pour traiter des données personnelles.

1. Définitions

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD.
  • Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, structuration, conservation, modification, extraction, consultation, utilisation, communication, effacement, destruction).
  • Personnes concernées : les personnes physiques dont les données personnelles sont contenues dans les documents soumis au Service par le Client.

2. Objet et portée du traitement

2.1 Nature du traitement

Le Sous-traitant traite les données personnelles contenues dans les documents juridiques soumis par le Client exclusivement aux fins suivantes :

  • Détection d'entités nommées (noms de personnes, adresses, dates de naissance, numéros de téléphone, numéros de sécurité sociale, adresses e-mail, et autres données personnelles identifiables)
  • Remplacement des entités détectées par des pseudonymes réversibles
  • Stockage temporaire de la table de correspondance chiffrée pour permettre la désanonymisation

2.2 Catégories de données traitées

  • Données d'identification : noms, prénoms
  • Données de contact : adresses postales, adresses e-mail, numéros de téléphone
  • Données d'état civil : dates de naissance, lieux de naissance
  • Numéros d'identification : numéros de sécurité sociale, numéros de dossier
  • Données judiciaires : références de décisions, numéros de rôle
  • Toute autre donnée personnelle contenue dans les documents soumis par le Client

2.3 Catégories de personnes concernées

Les personnes concernées sont les clients du Responsable du traitement et toute autre personne physique mentionnée dans les documents juridiques soumis au Service.

3. Obligations du Sous-traitant

3.1 Instructions du Responsable du traitement

Le Sous-traitant traite les données personnelles uniquement sur instruction documentée du Responsable du traitement, telles que définies dans les présentes et dans les CGU. Si le Sous-traitant considère qu'une instruction constitue une violation du RGPD, il en informe immédiatement le Responsable du traitement.

3.2 Confidentialité

Le Sous-traitant veille à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3.3 Mesures de sécurité (Art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement au repos : AES-256-GCM pour les tables de correspondance et les données sensibles stockées en base de données
  • Chiffrement en transit : TLS 1.3 pour toutes les communications
  • Contrôle d'accès : authentification par mot de passe ou SSO, gestion des rôles (administrateur / membre), clés API avec hachage sécurisé
  • Isolation : conteneurs Docker exécutés en tant qu'utilisateur non-root, séparation des services (web, NER, OCR, base de données)
  • Journalisation : audit complet des opérations sensibles (accès aux tables de correspondance, connexions, suppressions de compte)
  • Sauvegardes : sauvegardes quotidiennes chiffrées avec rétention de 30 jours
  • Protection CSRF : validation de l'origine sur toutes les routes sensibles
  • Validation des fichiers : vérification des magic bytes, du type MIME et de la taille

3.4 Sous-traitants ultérieurs

Le Sous-traitant peut faire appel aux sous-traitants ultérieurs suivants :

Sous-traitantFonctionLocalisation
[Hébergeur]Infrastructure et hébergementUnion Européenne
StripeTraitement des paiementsUnion Européenne / États-Unis (CCT)

Le Sous-traitant informe le Responsable du traitement de tout changement envisagé concernant l'ajout ou le remplacement de sous-traitants ultérieurs, au moins 30 jours avant le changement. Le Responsable du traitement dispose d'un droit d'opposition.

3.5 Assistance au Responsable du traitement

Le Sous-traitant assiste le Responsable du traitement pour :

  • Répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation)
  • Réaliser les analyses d'impact relatives à la protection des données (AIPD) si nécessaire
  • Notifier les violations de données à l'autorité de contrôle et aux personnes concernées

3.6 Notification des violations de données

En cas de violation de données personnelles, le Sous-traitant en informe le Responsable du traitement dans un délai de 48 heures après en avoir pris connaissance, en fournissant les informations suivantes :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables de la violation
  • Les mesures prises ou proposées pour remédier à la violation

4. Localisation des données

L'ensemble des données personnelles traitées dans le cadre du Service est hébergé au sein de l'Union Européenne. Aucun transfert de données personnelles contenues dans les documents du Client n'est effectué hors de l'Union Européenne.

5. Durée et suppression des données

5.1 Durée de conservation

  • Documents et tables de correspondance : conservés pendant 30 jours après le traitement, puis supprimés automatiquement. Le Client peut demander la suppression anticipée à tout moment
  • Journaux d'audit : conservés pendant 1 an

5.2 Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, le Sous-traitant supprime l'ensemble des données personnelles traitées pour le compte du Responsable du traitement, y compris les sauvegardes, dans un délai de 30 jours, sauf obligation légale de conservation. Le Sous-traitant fournit une attestation de suppression sur demande.

6. Audit

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permet la réalisation d'audits, y compris des inspections, par le Responsable du traitement ou un auditeur qu'il a mandaté.

Les audits sont réalisés avec un préavis raisonnable de 30 jours, aux frais du Responsable du traitement, et dans des conditions permettant de ne pas perturber le fonctionnement normal du Service.

7. Responsabilité

Chaque partie est responsable des dommages causés par un traitement non conforme au RGPD. La responsabilité du Sous-traitant est limitée aux traitements effectués pour le compte du Responsable du traitement et conformément aux instructions de celui-ci.

8. Droit applicable et juridiction

Le présent DPA est régi par le droit français. En cas de litige, les parties s'efforceront de trouver une solution amiable. À défaut, les tribunaux compétents de Paris seront seuls compétents.

9. Contact

Pour toute question relative au présent DPA : dpo@lexanon.fr