Orkestr8
EN
RGPD — Art. 28

Data Processing Agreement (DPA)

Accord de traitement des données — Dernière mise à jour :

Note : Le présent document constitue un modèle-cadre de DPA (Data Processing Agreement) conforme à l'article 28 du RGPD. Il est intégré par référence aux Conditions Générales de Vente d'Orkestr8 et s'applique à tout Client utilisant la plateforme app.orkestr8.io dans le cadre d'un contrat commercial. Ce document peut faire l'objet d'un accord spécifique négocié entre les parties sur demande adressée à dpo@qrcommunication.com.

1. Parties

Sous-traitant

QR Communication (SAS), opérant sous l'enseigne Orkestr8

SIREN : 940 163 496 — 23 rue de Richelieu, 75001 Paris, France

Éditeur de la plateforme Orkestr8 — fournissant les services de traitement au sens de l'article 28 du RGPD.

Contact DPO : dpo@qrcommunication.com

Responsable du traitement

Le Client

Toute personne morale ou physique ayant souscrit à un plan payant de la plateforme Orkestr8 et déterminant les finalités et moyens des traitements de données réalisés via la plateforme.

2. Objet du traitement

Orkestr8 agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le traitement de données est réalisé pour le compte du Client dans le cadre de la fourniture des services suivants :

  • Hébergement et exécution des workflows d'agents IA définis par le Client ;
  • Stockage des configurations d'agents, prompts, connecteurs et données de session ;
  • Transmission de données vers des modèles de langage (LLM) et services tiers configurés par le Client ;
  • Journalisation des interactions et génération de métriques d'utilisation ;
  • Fourniture d'interfaces de supervision et de contrôle.

Orkestr8 ne traite les données personnelles que sur instruction documentée du Client, sauf obligation légale contraire.

3. Nature des données et catégories de personnes concernées

Types de données traitées

  • Données d'identification (noms, emails des utilisateurs finaux)
  • Données de contenu (messages, requêtes, réponses générées par les agents IA)
  • Données techniques (adresses IP, identifiants de session, logs d'accès)
  • Données de configuration (paramètres d'agents, prompts système)
  • Toute donnée transmise par le Client via ses workflows

Catégories de personnes concernées

  • Collaborateurs et utilisateurs internes du Client
  • Clients finaux du Client dont les données transitent via la plateforme
  • Tiers dont les données sont traitées dans les workflows

Données sensibles : Orkestr8 déconseille fortement le traitement de catégories particulières de données (art. 9 RGPD : données de santé, données biométriques, données raciales, etc.) via la plateforme sans accord contractuel spécifique et évaluation d'impact préalable (DPIA).

4. Sous-traitants ultérieurs

Orkestr8 fait appel aux sous-traitants ultérieurs suivants dans le cadre de la fourniture de ses services. Le Client est informé de cette liste et peut s'y opposer dans les conditions prévues au contrat principal.

Sous-traitantRôleLocalisationGaranties
Hetzner Online GmbHHébergement du site webAllemagne (UE)Établi dans l'UE — DPA disponible
Scaleway SASHébergement de l'applicationFrance (UE)Établi dans l'UE — DPA disponible
ResendEnvoi d'emails transactionnelsÉtats-UnisCCT
PostHogAnalytics (avec consentement uniquement)UE / États-UnisCCT — configuration EU disponible

CCT = Clauses Contractuelles Types adoptées par la Commission Européenne (décision d'exécution UE 2021/914).

5. Mesures techniques et organisationnelles (TOMs)

Orkestr8 met en œuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

Chiffrement et protection des données

  • Chiffrement des données au repos : AES-256-GCM
  • Chiffrement des données en transit : TLS 1.3 minimum
  • Chiffrement de bout en bout des secrets et clés API clients
  • Hachage des mots de passe avec algorithme bcrypt (facteur de coût adaptatif)

Isolation et contrôle d'accès

  • Isolation multi-tenant stricte : les données d'un Client ne sont jamais accessibles par un autre
  • Contrôle d'accès basé sur les rôles (RBAC) avec principe du moindre privilège
  • Authentification multi-facteur (MFA) disponible pour tous les comptes
  • Sessions limitées dans le temps avec révocation possible

Journalisation et traçabilité

  • Audit logs de toutes les actions administratives et accès aux données
  • Conservation des logs d'accès pendant 90 jours minimum
  • Alertes automatiques en cas d'activité anormale

Continuité et résilience

  • Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
  • Procédure de reprise d'activité (PRA) documentée et testée
  • Infrastructure redondante via Vercel et iDrive e2

6. Notification en cas de violation de données

En cas de violation de données personnelles (au sens de l'article 4 §12 du RGPD), Orkestr8 s'engage à notifier le Client dans un délai maximum de 72 heures après en avoir pris connaissance.

La notification contiendra les informations suivantes :

  • La nature de la violation (accès non autorisé, perte, destruction, etc.) ;
  • Les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données personnelles en cause ;
  • Les conséquences probables de la violation ;
  • Les mesures prises ou envisagées pour remédier à la violation.

Il appartient ensuite au Client (responsable du traitement) d'évaluer la nécessité de notifier l'autorité de contrôle compétente (CNIL ou autre) et/ou les personnes concernées, conformément à ses propres obligations légales.

7. Droits d'audit

Le Client dispose du droit d'effectuer ou de faire effectuer des audits de conformité relatifs aux traitements de données réalisés par Orkestr8 dans le cadre du présent DPA.

  • Fréquence : Un audit peut être demandé une fois par an, ou à tout moment en cas de violation de données ou de doute sérieux sur la conformité.
  • Modalités : La demande doit être adressée à dpo@qrcommunication.com avec un préavis de 30 jours.
  • Périmètre : L'audit porte sur la conformité des traitements et des mesures de sécurité. Il ne peut pas inclure l'accès aux données d'autres Clients.
  • Coûts : Les frais d'audit sont à la charge du Client, sauf en cas de manquement avéré d'Orkestr8.

En alternative, Orkestr8 peut fournir des rapports d'audit tiers (SOC 2, ISO 27001 si disponibles) permettant au Client de s'assurer de la conformité sans conduire lui-même un audit sur site.

8. Restitution et suppression des données

À la fin du contrat, quelle qu'en soit la cause (résiliation, expiration, non- renouvellement), Orkestr8 s'engage à :

1

Restitution — dans les 30 jours

Mettre à disposition du Client l'ensemble de ses données dans un format structuré et lisible par machine (JSON, CSV selon les types de données), via un export sécurisé ou une API dédiée.

2

Suppression — dans les 90 jours

Procéder à la suppression définitive et sécurisée de l'ensemble des données du Client (bases de données, fichiers, sauvegardes), sauf si la conservation est requise par une obligation légale. Une attestation de suppression peut être fournie sur demande.

9. Contact et DPO

Pour toute question relative au présent DPA, à l'exercice de vos droits ou à la protection des données personnelles, contactez le délégué à la protection des données d'Orkestr8 :

DPO — QR Communication (SAS) / Orkestr8

Email : dpo@qrcommunication.com

Délai de réponse : 5 jours ouvrés pour les demandes DPA, 30 jours maximum pour les droits individuels.

Pour les Clients souhaitant négocier un DPA personnalisé ou obtenir une copie signée du présent accord, veuillez contacter notre équipe commerciale via contact@qrcommunication.com.