Accord de traitement des données (DPA)
Dernière mise à jour : 1 juillet 2026
Ce DPA est un modèle contractuel à joindre ou adapter aux contrats clients. Il doit être revu juridiquement avant signature avec un grand compte, une entité régulée ou un organisme public.
1. Parties
Le présent accord encadre le traitement de données personnelles effectué par ALAMIA, immatriculée sous le numéro 942 819 400 R.C.S. Paris, siège social 60 rue François 1er, 75008 Paris, France, agissant selon les cas comme sous-traitant du client ou responsable de traitement indépendant. Le client agit comme responsable du traitement lorsqu'il détermine les finalités et moyens des traitements de ses propres données, utilisateurs, audits, tickets, documents, obligations, sites, preuves ou workflows.
2. Objet
Le DPA définit les conditions dans lesquelles ALAMIA traite des données personnelles pour le compte du client dans le cadre des services numériques, SaaS, IA, conformité, regulatory intelligence, QHSE, support, intégration ou automatisation.
3. Nature et finalité des traitements
Les traitements peuvent inclure : hébergement et exploitation des services ; gestion des comptes et accès ; traitement de documents, tickets, exigences, preuves ou workflows ; analyse, extraction, classification, résumé ou assistance par IA ; support technique ; sécurité, journalisation et supervision ; sauvegarde et continuité ; amélioration des services dans les limites contractuelles.
4. Catégories de données
Selon le périmètre client : données d'identification et coordonnées professionnelles ; rôles, droits, profils, historiques d'activité ; contenus transmis par le client ; tickets, commentaires, pièces jointes, preuves, fichiers ; logs techniques et données de sécurité ; métadonnées d'usage. Les données sensibles ne sont traitées que si le contrat, la configuration et les mesures de sécurité le prévoient expressément.
5. Personnes concernées
Utilisateurs autorisés du client ; collaborateurs, prestataires ou représentants du client ; personnes mentionnées dans les documents, tickets ou preuves transmis ; contacts professionnels.
6. Durée
ALAMIA traite les données pendant la durée du contrat, puis selon les instructions du client, les besoins de réversibilité, les obligations légales et les délais de preuve ou contentieux applicables.
7. Instructions du client
ALAMIA traite les données personnelles uniquement sur instruction documentée du client, sauf obligation légale contraire. Le contrat, les bons de commande, la configuration du service, les tickets support et les instructions écrites validées constituent des instructions documentées.
8. Confidentialité
ALAMIA veille à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée.
9. Sécurité
ALAMIA met en œuvre des mesures techniques et organisationnelles adaptées au risque : contrôle des accès, authentification, séparation des environnements, journalisation, sauvegardes, restrictions d'accès, revue humaine des sorties critiques, gestion des incidents, hébergement cloud professionnel et politique de sous-traitance.
10. Sous-traitants ultérieurs
Sous-traitants déclarés : Microsoft (Microsoft Azure, hébergement, infrastructure cloud, sécurité et services associés — contrats et DPA Microsoft applicables) et Google (services professionnels, productivité, messagerie, collaboration ou cloud si utilisés — contrats et DPA Google applicables). ALAMIA informe le client de tout changement significatif lorsque le contrat l'exige.
11. Transferts hors EEE
Lorsque les sous-traitants ou services impliquent un transfert hors EEE, ALAMIA s'appuie sur les mécanismes contractuels et garanties disponibles : clauses contractuelles types, DPA fournisseurs, mesures organisationnelles, choix de régions et restrictions d'accès selon les services.
12. Assistance au client
ALAMIA assiste raisonnablement le client pour répondre aux demandes d'exercice de droits, documenter les traitements, gérer les incidents de sécurité, réaliser des analyses d'impact lorsque le service le justifie et démontrer les mesures de sécurité prévues.
13. Violation de données
ALAMIA notifie au client toute violation de données personnelles connue dans les meilleurs délais après en avoir pris connaissance, avec les informations raisonnablement disponibles : nature de l'incident, données concernées, mesures prises et recommandées.
14. Sort des données
À la fin du contrat, selon les instructions du client et les contraintes légales ou techniques, ALAMIA supprime, restitue ou archive les données dans les conditions prévues au contrat.
15. Audit
ALAMIA met à disposition les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant. Les audits doivent être encadrés, proportionnés, planifiés, confidentiels et ne pas compromettre la sécurité d'ALAMIA ou d'autres clients.
16. IA et non-entraînement
ALAMIA n'utilise pas les données client pour entraîner des modèles partagés sans autorisation écrite explicite du client. Lorsqu'une fonctionnalité d'IA est utilisée, ALAMIA vise une approche human-in-the-loop pour les sorties critiques : l'IA assiste, les contrôles valident, l'humain reste responsable.
