Accord de sous-traitance RGPD (DPA)
Le présent Accord encadre les traitements de données personnelles réalisés par Documail en qualité de sous-traitant pour le compte du Client (responsable de traitement), conformément à l'article 28 du RGPD.
Dernière mise à jour : 1ᵉʳ juin 2026
1. Parties
- Responsable de traitement (« le Client ») : toute personne physique ou morale ayant souscrit un Forfait Documail et déposant des Documents contenant des données personnelles.
- Sous-traitant (« l'Éditeur ») : Mathis PASTEAU, entrepreneur individuel exerçant sous la dénomination « Documail », domicilié 4 allée des Marronniers, 94000 Créteil, SIREN 824 224 083. Cf. CGU.
2. Objet
L'Éditeur traite des données personnelles pour le compte du Client, dans le cadre de l'exécution du Service Documail tel que défini aux CGU et CGV. Le présent Accord prévaut sur les CGU et CGV pour toute question relative à la sous-traitance RGPD.
3. Description du traitement
| Nature | Réception (par e-mail ou dépôt), stockage, classification automatique, extraction d'informations, recherche conversationnelle, restitution, suppression de Documents. |
| Finalités | Fournir au Client le Service de gestion documentaire souscrit (tri, archivage, recherche, suivi des pièces attendues, relance des contacts du Client). |
| Catégories de données | Contenu des Documents transmis : identité (nom, prénom, date de naissance, adresse, numéro de pièce, photographie), données financières (salaire, montants), justificatifs fiscaux, contrats, correspondances, tout autre champ que le Client choisit d'envoyer. |
| Données sensibles | Le Client s'engage à ne pas charger de données de santé, données biométriques traitées comme telles, opinions politiques, convictions religieuses ou autres catégories particulières au sens de l'article 9 du RGPD, sauf accord préalable et écrit de l'Éditeur. Même lorsqu'elles ne relèvent pas des catégories particulières de l'article 9, certaines données contenues dans les Documents — notamment les pièces d'identité, données fiscales, données financières, justificatifs de domicile et contrats — sont considérées comme confidentielles et font l'objet des mesures renforcées décrites dans l'Annexe sécurité. |
| Personnes concernées | Clients et prospects du Client (par exemple : locataires d'une agence immobilière, dossiers de courtiers, employés d'une entreprise pour son service RH, justiciables d'un cabinet, etc.). |
| Durée | Durée du contrat + 30 jours d'export. Au-delà, les Documents sont supprimés sous 60 jours (cf. article 9 du présent Accord). |
4. Obligations de l'Éditeur (sous-traitant)
L'Éditeur s'engage à :
- Traiter les données uniquement sur instructions documentées du Client, sauf obligation légale contraire ;
- Garantir la confidentialité des données : toutes les personnes habilitées à accéder aux données sont soumises à une obligation de confidentialité ;
- Mettre en œuvre les mesures techniques et organisationnelles appropriées au regard de l'article 32 du RGPD, décrites dans l'Annexe sécurité ;
- Assister le Client par des mesures techniques et organisationnelles appropriées pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) ;
- Notifier au Client toute violation de données à caractère personnel dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, avec les éléments prévus à l'article 33 du RGPD ;
- Assister le Client pour la conduite des analyses d'impact (AIPD) et pour les consultations préalables auprès de la CNIL le cas échéant ;
- Mettre à disposition du Client les informations nécessaires pour démontrer le respect des obligations du présent Accord, et permettre la réalisation d'audits, y compris des inspections, dans les conditions suivantes : (i) préavis raisonnable de trente (30) jours minimum, (ii) fréquence raisonnable d'une fois par an au plus, sauf manquement grave ou violation de données dûment caractérisée, (iii) audit conduit par le Client ou un auditeur tiers indépendant soumis à une obligation de confidentialité écrite équivalente à celle du présent Accord, (iv) protection de la confidentialité des autres Clients de l'Éditeur, (v) prise en charge des coûts d'audit par le Client, sauf si l'audit révèle un manquement substantiel de l'Éditeur, auquel cas les coûts raisonnables sont à la charge de ce dernier. Le Client peut, à son choix, se contenter des rapports d'audits ou certifications existants détenus par l'Éditeur lorsque ceux-ci couvrent les questions soulevées.
4 bis. Obligations du Client (responsable de traitement)
Le Client demeure responsable de traitement au sens du RGPD pour les données contenues dans les Documents qu'il charge sur le Service. À ce titre, il s'engage à :
- disposer d'une base légale appropriée (exécution d'un contrat, obligation légale, intérêt légitime, consentement…) pour chacun des traitements qu'il opère via le Service ;
- informer les personnes concernées du recours à Documail comme sous-traitant, ainsi que des transferts hors UE éventuels au titre des traitements IA (cf. article 6) ;
- ne transmettre que les Documents et données strictement nécessaires à la finalité poursuivie (principe de minimisation) ;
- obtenir le cas échéant le consentement spécifique requis par la réglementation pour les catégories particulières ;
- répondre aux demandes d'exercice des droits des personnes concernées, l'Éditeur lui apportant son assistance (cf. article 7).
Cas d'usage sensibles. Lorsque le Client utilise le Service dans un cadre susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées — notamment : gestion RH (suivi d'incidents disciplinaires, accidents du travail, arrêts maladie), contentieux et procédures judiciaires, assurance et souscription, octroi de crédit, sélection de candidats au logement, ou tout autre traitement entrant dans le champ de l'article 35 du RGPD — il lui appartient de conduire une analyse d'impact relative à la protection des données (AIPD) préalable, conformément aux lignes directrices du Comité européen de la protection des données et de la CNIL. Documail met à disposition une trame d'AIPD (cf. page Aide AIPD) à titre de support documentaire, sans se substituer à l'analyse propre du Client.
5. Sous-traitants ultérieurs
Le Client autorise l'Éditeur à recourir aux sous-traitants listés sur la page Sous-traitants (AWS, IONOS, Stripe, OpenAI). Cette liste fait partie intégrante du présent Accord et est régulièrement mise à jour.
L'Éditeur informe le Client de tout ajout ou remplacement de sous-traitant ultérieur au moins 15 jours avant son entrée en vigueur. Le Client dispose de ce délai pour s'opposer pour motif légitime. À défaut d'opposition motivée, le nouveau sous-traitant est réputé accepté.
L'Éditeur impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles fixées au présent Accord.
6. Transferts hors UE
Les Documents sont stockés dans l'Union européenne (cf. Sous-traitants). Certains traitements techniques nécessaires au Service, notamment les traitements IA, peuvent impliquer un accès ou transfert hors UE encadré par les garanties décrites au présent article.
Les traitements IA sont opérés par OpenAI Ireland Ltd (Dublin) en qualité d'entité contractante pour l'Union européenne. Un transfert technique éventuel vers OpenAI L.L.C. (États-Unis) est encadré par les clauses contractuelles types adoptées par la Commission européenne (décision (UE) 2021/914) et par la certification d'OpenAI au EU-US Data Privacy Framework. L'Éditeur s'engage à évaluer périodiquement le niveau de protection effectif et à informer le Client de toute modification substantielle.
Analyse d'impact des transferts (TIA). L'Éditeur tient à la disposition du Client, sur demande écrite raisonnable adressée à support@documail.fr, les éléments d'évaluation disponibles relatifs aux transferts hors EEE (mécanismes de transfert, garanties supplémentaires contractuelles, techniques et organisationnelles, informations publiques relatives au cadre juridique du pays destinataire), dans la limite des informations contractuelles obtenues auprès des sous-traitants concernés. Cette mise à disposition est destinée à permettre au Client de conduire sa propre analyse d'impact des transferts, qui demeure de sa responsabilité en tant que responsable de traitement.
Option de rétention réduite. Pour les Clients Enterprise ou Sur devis exprimant un besoin renforcé, l'activation d'une option de rétention réduite ou nulle (Zero Data Retention) auprès du sous-traitant IA peut faire l'objet de conditions particulières, sous réserve d'éligibilité et de disponibilité de l'option côté fournisseur.
Option sans transfert hors UE. Pour les Clients Enterprise ou Sur devis pour lesquels l'absence de transfert hors Espace économique européen constitue une exigence (notamment professions réglementées, secteurs régulés, marchés publics), un paramétrage du Service avec un fournisseur d'intelligence artificielle européen (par exemple Mistral AI, France) peut être proposé dans le cadre de conditions particulières écrites. Dans cette hypothèse, certaines fonctionnalités peuvent évoluer (qualité d'extraction, langues couvertes, modèle exact) et un ajustement tarifaire peut s'appliquer. À défaut d'activation expresse de cette option, la configuration par défaut décrite à l'annexe sécurité, article 9 demeure applicable.
7. Droits des personnes concernées
Lorsqu'une personne concernée adresse à l'Éditeur une demande d'exercice de ses droits (accès, rectification, effacement, portabilité, opposition, limitation), l'Éditeur :
- transmet la demande au Client dans les meilleurs délais ;
- n'y répond pas directement, sauf instruction expresse du Client ;
- assiste le Client pour permettre une réponse dans le délai légal (1 mois, prolongeable de 2 mois).
8. Confidentialité du personnel
L'Éditeur s'engage à ce que toute personne autorisée à accéder aux données personnelles traitées dans le cadre du présent Accord soit soumise à une obligation contractuelle ou légale de confidentialité. Cette obligation persiste après la fin de la relation contractuelle.
9. Sort des données en fin de contrat
À la fin du contrat, et après expiration du délai de 30 jours laissé au Client pour exporter ses Documents, l'Éditeur supprime l'ensemble des Documents et des données personnelles associées au Client de ses systèmes au plus tard 60 jours après la fin du contrat, y compris dans les sauvegardes.
Une attestation de suppression est délivrée au Client sur simple demande à support@documail.fr.
Sont conservées au-delà uniquement les données nécessaires au respect d'obligations légales (factures, par exemple : 10 ans au titre du Code de commerce).
10. Documentation et tenue d'un registre
L'Éditeur tient à jour un registre des activités de traitement réalisées en sous-traitance, conformément à l'article 30.2 du RGPD. Ce registre est mis à disposition du Client sur demande.
11. Durée et modifications
Le présent Accord prend effet à la souscription du Service par le Client et s'applique pendant toute la durée du traitement.
L'Éditeur peut modifier le présent Accord pour refléter les évolutions du Service, des sous-traitants ou de la réglementation. Les modifications substantielles sont notifiées au Client par e-mail au moins 30 jours avant leur entrée en vigueur.
12. Annexes
- Annexe 1 — Sous-traitants ultérieurs
- Annexe 2 — Mesures techniques et organisationnelles (sécurité)
- Annexe 3 — Politique de confidentialité (donne le contexte pour les données traitées par l'Éditeur en qualité de responsable)
Besoin d'un DPA signé en bilatéral ?
Le présent Accord est opposable et engageant dès l'acceptation des CGU. Pour les Clients qui demandent une version signée bilatéralement (cabinets, grands comptes), écrivez à support@documail.fr.