Accord de Traitement des Données (DPA)

1. Définitions

Dans le présent ATD, les termes suivants ont la signification ci-après :

• « Responsable du traitement » : le Client, personne physique ou morale qui détermine les finalités et les moyens du traitement des Données Personnelles.
• « Sous-traitant » : Stellary, qui traite les Données Personnelles pour le compte du Responsable du traitement dans le cadre de la fourniture du Service.
• « Données Personnelles » : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'article 4(1) du RGPD.
• « Traitement » : toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, telles que définies à l'article 4(2) du RGPD.
• « Violation de données » : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles.
• « Sous-traitant ultérieur » : tout prestataire tiers auquel Stellary fait appel pour le traitement de Données Personnelles pour le compte du Client.
• « RGPD » : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
• « Service » : la plateforme Stellary telle que décrite dans les CGU.

2. Objet, nature et finalité du traitement

2.1 Objet

Le présent ATD définit les conditions dans lesquelles Stellary traite des Données Personnelles pour le compte du Client dans le cadre de la fourniture du Service de gestion de projet et de collaboration enrichie par l'intelligence artificielle.

2.2 Nature du traitement

Stellary effectue les opérations de traitement suivantes sur les Données Personnelles : collecte, enregistrement, organisation, structuration, conservation, adaptation, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, effacement ou destruction.

2.3 Finalités du traitement

Stellary traite les Données Personnelles aux seules fins suivantes :

• Fourniture du Service et de ses fonctionnalités (gestion de projets, tableaux, documents)
• Authentification et gestion des accès des utilisateurs
• Fonctionnalités IA (Project Wizard, Agents IA, suggestions automatisées)
• Communications transactionnelles liées au Service
• Support client et résolution d'incidents techniques
• Facturation et gestion des abonnements
• Respect des obligations légales applicables

3. Types de données et catégories de personnes concernées

3.1 Types de Données Personnelles

Dans le cadre du Service, Stellary peut traiter les types de données suivants :

• Données d'identification : nom, prénom, adresse email, identifiant utilisateur
• Données de connexion : adresse IP, logs d'accès, horodatages de connexion
• Données professionnelles : organisation, rôle, titre de poste
• Contenu utilisateur : projets, tâches, commentaires, documents et toute donnée saisie dans le Service par les utilisateurs du Client
• Données d'interaction IA : requêtes soumises aux fonctionnalités IA et réponses générées
• Données de facturation : informations de paiement partielles (traitées par Stripe)

Stellary ne traite pas de catégories particulières de données au sens de l'article 9 du RGPD, sauf si le Client y inclut de telles données dans son Contenu Utilisateur. Dans ce cas, la responsabilité de cette collecte incombe au Client.

3.2 Catégories de personnes concernées

• Employés, collaborateurs et prestataires du Client utilisant le Service
• Personnes invitées dans l'espace de travail du Client
• Toute personne dont les données sont saisies dans le Service par le Client ou ses utilisateurs

4. Obligations de Stellary en tant que sous-traitant

Stellary s'engage à :

• Traiter les Données Personnelles uniquement sur instruction documentée du Responsable du traitement, y compris en ce qui concerne les transferts de Données Personnelles vers un pays tiers ou une organisation internationale, sauf obligation légale contraire
• Veiller à ce que les personnes autorisées à traiter les Données Personnelles soient soumises à une obligation de confidentialité appropriée
• Mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD (voir section 6)
• Respecter les conditions applicables au recours à un autre sous-traitant (voir section 5)
• Aider le Responsable du traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées
• Aider le Responsable du traitement à garantir le respect des obligations relatives à la sécurité, à la notification de violations, aux AIPD et à la consultation préalable
• Supprimer ou restituer toutes les Données Personnelles à la fin de la prestation de services, au choix du Responsable du traitement
• Mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent ATD
• Ne pas traiter les Données Personnelles à des fins propres, notamment à des fins publicitaires ou d'entraînement de modèles IA

5. Sous-traitants ultérieurs

5.1 Autorisation générale

Le Client autorise Stellary à avoir recours aux sous-traitants ultérieurs listés ci-dessous pour l'exécution du Service. Stellary informera le Client de tout projet de modification de cette liste (ajout ou remplacement d'un sous-traitant ultérieur), donnant ainsi la possibilité au Client de s'opposer à ces modifications.

5.2 Liste des sous-traitants ultérieurs approuvés

Stellary impose à ses sous-traitants ultérieurs des obligations équivalentes à celles du présent ATD en matière de protection des données.

6. Mesures techniques et organisationnelles

Conformément à l'article 32 du RGPD, Stellary met en œuvre les mesures de sécurité suivantes pour protéger les Données Personnelles :

6.1 Mesures techniques

• Chiffrement des données au repos (AES-256)
• Chiffrement des données en transit (TLS 1.3)
• Hachage salé des mots de passe (bcrypt, facteur de coût élevé)
• Authentification à deux facteurs (TOTP) disponible et encouragée
• Cookies d'authentification HTTP-only avec protection CSRF
• Secrets IA et TOTP chiffrés au repos (AES-256-GCM)
• Contrôle d'accès basé sur les rôles (RBAC) avec 36 permissions granulaires
• Tokens d'accès personnels (PAT) avec portée limitée
• En-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
• Rate limiting sur les endpoints sensibles (authentification)
• Segmentation réseau sur infrastructure dédiée

6.2 Mesures organisationnelles

• Accès aux données limité au personnel ayant besoin d'en connaître
• Obligation de confidentialité pour le personnel accédant aux données
• Sauvegardes quotidiennes chiffrées avec rétention de 7 jours
• Sauvegardes géographiquement séparées au sein de l'UE
• Audits de sécurité réguliers et mises à jour des dépendances
• Processus de réponse aux incidents documenté
• Procédure de notification de violation de données (voir section 7)

7. Notification des violations de données

En cas de violation de données personnelles dont Stellary a connaissance, Stellary s'engage à :

• Notifier le Responsable du traitement dans les 72 heures suivant la prise de connaissance de la violation
• Communiquer, dans la mesure du possible, les informations suivantes : nature de la violation, données et personnes concernées (catégories et nombre approximatif), conséquences probables, mesures prises ou envisagées pour remédier à la violation
• Documenter toute violation, y compris les faits, ses effets et les mesures prises, afin de permettre au Responsable du traitement de s'acquitter de son obligation de notification à la CNIL
• Fournir l'assistance nécessaire au Responsable du traitement pour lui permettre de satisfaire à ses propres obligations de notification (CNIL dans les 72h, personnes concernées si risque élevé)

Les notifications de violation doivent être adressées à security@stellary.co et privacy@stellary.co.

8. Assistance pour les droits des personnes concernées

Dans la mesure du possible, Stellary aide le Responsable du traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition) par des mesures techniques et organisationnelles appropriées.

Le Service fournit des fonctionnalités natives d'export de données (RGPD art. 15) et de suppression de compte (RGPD art. 17) accessibles depuis les paramètres de l'espace de travail. Pour toute demande nécessitant une assistance supplémentaire, les Responsables du traitement peuvent contacter privacy@stellary.co.

9. Transferts internationaux de données

Les données sont principalement stockées et traitées au sein de l'Union européenne (France, OVHcloud). Les transferts vers des pays tiers sont encadrés comme suit :

• Stripe (États-Unis) : Couvert par la certification EU-US Data Privacy Framework, qui bénéficie d'une décision d'adéquation de la Commission européenne
• OpenAI (États-Unis) : Couvert par un Accord de Traitement des Données (DPA) avec Clauses Contractuelles Types (CCT) conformes à l'article 46 du RGPD

Stellary ne transfère pas les Données Personnelles vers des pays tiers non couverts par une garantie appropriée au sens du Chapitre V du RGPD.

10. Durée du traitement et sort des données

10.1 Durée

Le présent ATD s'applique pendant toute la durée de la relation contractuelle entre le Client et Stellary, telle que définie dans les CGU.

10.2 Sort des données à l'issue du contrat

À l'expiration ou à la résiliation du contrat :

• Le Client dispose d'un délai de 30 jours pour exporter ses données via les fonctionnalités d'export du Service
• À l'issue de ce délai, Stellary procède à la suppression définitive et sécurisée de toutes les Données Personnelles du Client
• Les données de facturation sont conservées pendant 10 ans conformément aux obligations comptables et fiscales françaises
• Les journaux serveur sont conservés pendant 12 mois conformément à la loi française (LCEN)
• Sur demande écrite du Client, Stellary fournit une attestation de suppression des données dans un délai raisonnable

11. Analyse d'impact (AIPD) et consultation préalable

Stellary aide le Responsable du traitement à réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD) conformément à l'article 35 du RGPD, en fournissant les informations nécessaires relatives aux mesures de sécurité et aux traitements effectués.

En cas de consultation préalable de l'autorité de contrôle compétente requise en vertu de l'article 36 du RGPD, Stellary fournira toute l'assistance raisonnable au Responsable du traitement.

12. Audit et contrôle

Stellary met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent ATD et permet la réalisation d'audits ou d'inspections, y compris par des auditeurs mandatés par le Client, en lien avec le traitement des Données Personnelles, selon les modalités suivantes :

• Demande écrite adressée à privacy@stellary.co avec un préavis raisonnable (au minimum 30 jours)
• L'audit ne doit pas perturber les opérations normales de Stellary
• L'auditeur est soumis à une obligation de confidentialité
• Les frais d'audit sont à la charge du Client
• Un audit maximum par an, sauf en cas de violation de données avérée nécessitant un audit extraordinaire

13. Responsabilités

Le Responsable du traitement (Client) est seul responsable de la licéité des traitements qu'il effectue ou fait effectuer, de la pertinence des données collectées, du respect des droits des personnes concernées et de la base légale applicable à chaque traitement.

Stellary, en tant que sous-traitant, est responsable du respect des obligations qui lui incombent au titre du présent ATD et des articles 28 et 29 du RGPD.

La responsabilité de Stellary au titre du présent ATD est limitée conformément aux dispositions de limitation de responsabilité des CGU.

14. Droit applicable

Le présent ATD est régi par le droit français et par le RGPD. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Paris, France, sous réserve des dispositions impératives du droit applicable.

15. Modifications

Stellary peut modifier le présent ATD pour refléter des évolutions légales ou réglementaires, ou des changements dans ses pratiques de traitement. Toute modification substantielle sera notifiée au Client au moins 30 jours avant son entrée en vigueur. En cas de désaccord, le Client peut résilier le Service conformément aux CGU.

16. Contact

Pour toute question relative au présent ATD ou aux traitements de données :

Stellary — Protection des données
Email : privacy@stellary.co
Objet : « DPA — [Nom de votre organisation] »

Le présent ATD est automatiquement intégré aux CGU pour tous les clients professionnels dont les traitements relèvent du RGPD. Aucune signature séparée n'est requise. Pour les clients nécessitant un ATD signé dans le cadre de leurs obligations de conformité (ISO 27001, SOC 2, appels d'offres publics, etc.), contactez privacy@stellary.co pour obtenir une version signable.