Liste des sous-sous-traitants pour PageMind
Liste des sous-traitants et principes d'engagement pour PageMind
Dernière mise à jour : 2025-12-08
Version : 0.1 Dernière mise à jour : [Quantity] Éditeur : INAI SASU, 142 rue d'Iéna, 59000 Lille, France
1. Objet et portée de ce document
1.1 Objectif Ce document décrit les fournisseurs de services tiers que INAI SASU (« inAi », « nous », « nous ») peuvent engager en tant que sous-traitants lors de la fourniture du service PageMind (« PageMind ») à ses clients professionnels (« Clients »). Il définit également les principes, les garanties et les mécanismes de notification qui régissent notre utilisation de ces sous-traitants ultérieurs.
1.2 Portée a) Ce document s'applique uniquement à PageMind, c'est-à-dire à l'automatisation des opérations de catalogue et aux services associés décrits dans le contrat-cadre applicable, le formulaire de commande ou les conditions en ligne entre inAi et le client (collectivement le « Contrat »). b) Il couvre les sous-traitants qui peuvent traiter les Données personnelles du client en notre nom dans le but de fournir, sécuriser, surveiller, prendre en charge ou améliorer PageMind, dans le rôle de sous-traitant tel que défini dans le règlement général sur la protection des données UE (« RGPD »). ([RGPD][1]) c) Ce document est destiné à compléter le Contrat de traitement des données (« DPA ») conclu entre inAi (en tant que sous-traitant) et le Client (en tant que responsable du traitement). En cas de conflit entre ce document et le DPA ou l'accord, le DPA et l'accord prévaudront. d) Ce document ne s'applique pas à :
- Systèmes tiers que les clients choisissent de connecter à PageMind sous leur propre responsabilité (par exemple, leur propre PIM, MDM ou entrepôt de données), ou
- Fournisseurs engagés directement par les clients en tant que responsable du traitements ou sous-traitants indépendants.
e) Ce document couvre les fournisseurs tiers qui peuvent traiter les Données personnelles du client en relation avec PageMind. Les fournisseurs qui traitent uniquement les propres données RH, financières ou marketing de inAi, ou qui traitent uniquement des données techniques anonymisées ou agrégées qui ne concernent pas une personne identifiée ou identifiable, ne sont généralement pas traités comme des sous-traitants ultérieurs aux fins du présent document.
1.3 Statut contractuel
Cette liste de sous-traitants ultérieurs est fournie principalement à des fins de transparence et pour décrire les pratiques standard de inAi. En soi, cela ne crée pas de nouveaux droits ou obligations contractuels. Lorsque et dans la mesure où le DPA ou le Contrat incorpore expressément ce document par référence, les droits et obligations décrits ici s'appliquent entre inAi et le Client, sous réserve toujours du DPA et du Contrat. En cas de conflit, le DPA et l'Accord prévalent. En cas d'incohérence entre ce document et le DPA ou l'accord concernant l'engagement de sous-traitants ultérieurs, le DPA et l'accord prévaudront.
2. Définitions
Aux fins de ce document :
2.1 « Responsable du traitement », « Sous-traitant », « Sous-traitant ultérieur », « Données personnelles », « Traitement », « Autorité de contrôle » et « Pays tiers » auront les significations données dans le RGPD. ([RGPD][1])
2.2 « Client » désigne l'entité juridique qui a conclu un accord avec inAi pour l'utilisation de PageMind et qui se qualifie en tant que responsable du traitement (ou, le cas échéant, en tant que sous-traitant pour le compte d'un autre responsable du traitement) en ce qui concerne les données à caractère personnel du client traitées via PageMind.
2.3 « Données personnelles du client » désigne toutes les données à caractère personnel (telles que définies dans RGPD) qui sont :
- Saisie dans PageMind par le client ou en son nom (y compris via des téléchargements, des API ou des intégrations) ;
- Dérivés de ces données dans le cadre du traitement de PageMind (par exemple, représentations intermédiaires, intégrations, journaux d'audit lorsqu'ils contiennent des données à caractère personnel) ; ou
- Autrement traité par inAi pour le compte du client dans le but de fournir PageMind.
2.4 « Sous-traitant secondaire » désigne tout sous-traitant tiers engagé par inAi qui peut avoir accès aux données à caractère personnel du client afin de prendre en charge la fourniture de PageMind.
2.5 « UE SCCs » désigne les clauses contractuelles types adoptées par la Commission européenne en vertu de la décision (UE) 2021/914 pour le transfert de données à caractère personnel vers des pays tiers. ([UER-Lex][2])
2.6 « EEE » désigne l'Espace économique européen (les États membres de l’UE plus l'Islande, le Liechtenstein et la Norvège).
3. Rôles et responsabilités3.1 Client en tant que responsable du traitement
Dans le contexte de PageMind, le Client est généralement le responsable du traitement (ou un sous-traitant agissant au nom de son propre responsable du traitement) en ce qui concerne les Données personnelles du Client. Le Client détermine les finalités et les moyens du traitement de ces données (par exemple, quels documents télécharger, quels schémas de catalogue de produits utiliser et quels utilisateurs peuvent accéder à PageMind).
3.2 inAi comme sous-traitant a) inAi traite les données à caractère personnel du client uniquement pour le compte du client et conformément à :
L'accord et DPA ;
Les instructions documentées du Client telles qu’elles y sont indiquées ; et
Loi applicable sur la protection des données. b) inAi ne détermine pas les finalités indépendantes pour lesquelles les données à caractère personnel du client sont traitées dans le cadre de PageMind ; le Client reste responsable de la définition des finalités commerciales et des moyens essentiels du traitement. inAi n'utilisera pas les données à caractère personnel du client pour former des modèles de base généralement disponibles ou pour des analyses sans rapport. Toute utilisation limitée des données à caractère personnel du client qui est nécessaire pour fournir, maintenir, sécuriser et améliorer PageMind (par exemple, pour générer des statistiques agrégées ou anonymisées sur les performances et la fiabilité du service) :
- être effectué en stricte conformité avec le DPA et les instructions documentées du Client ; et
- lorsque cela est techniquement et commercialement réalisable, s'appuyer sur l'anonymisation, la pseudonymisation ou d'autres techniques de minimisation des données et n'impliquera pas de tentatives de réidentification des personnes concernées.
3.3 Sous-traitants engagés par inAi a) Lorsque inAi fait appel à des sous-traitants ultérieurs, nous le faisons uniquement aux fins limitées nécessaires à la fourniture de PageMind (hébergement, calcul, inférence LLM, surveillance, assistance, etc.). b) Conformément à l'article 28(2) RGPD, nous n'engagerons pas un autre sous-traitant (sous-traitant secondaire) sans autorisation écrite préalable spécifique ou générale du Client. ([RGPD][1]) c) Lorsque le DPA prévoit que le client accorde à inAi une autorisation écrite générale pour engager des sous-traitants ultérieurs et établit un droit d'opposition, ce document et ses mises à jour décrivent comment inAi fournira des informations sur les sous-traitants ultérieurs et opérationnalisera ce mécanisme (voir section 11).
3.4 Responsabilité La répartition des responsabilités entre inAi et le Client, y compris à l'égard des sous-traitants ultérieurs, est régie exclusivement par le DPA et le Contrat. Ce document ne modifie pas cette répartition.
4. Types de données et opérations de traitement pertinents pour les sous-traitants ultérieurs
4.1 Catégories de personnes concernées En fonction de l’utilisation de PageMind par le Client, les Données Personnelles du Client peuvent concerner : a) Les employés, sous-traitants ou autres membres du personnel du Client qui utilisent PageMind (comptes d'utilisateurs, adhésion à l'espace de travail, journaux d'audit) ; b) Le personnel des fournisseurs ou partenaires du Client dont les coordonnées ou les noms peuvent apparaître dans les documents fournisseurs téléchargés sur PageMind ; c) D'autres personnes identifiables dont les données peuvent apparaître accidentellement dans les documents que le Client choisit de traiter (par exemple, les noms intégrés dans les manuels de produits, les certificats ou les factures).
PageMind est conçu et commercialisé principalement pour les données du catalogue B2B (produits, attributs, descriptions) et n'est pas destiné à traiter systématiquement des catégories particulières de données à caractère personnel ou de grands volumes de données sur les consommateurs.4.2 Catégories de données à caractère personnel des clients traitées par les sous-traitants En fonction du service fourni, les sous-traitants peuvent traiter tout ou partie des catégories de données suivantes : a) Données de compte et d'identification – identifiants d'utilisateur, noms d'utilisateur, adresses e-mail, mots de passe hachés ou jetons d'authentification, rôle ou appartenance à un groupe. b) Données de contact et d'organisation – coordonnées professionnelles, employeur, rôle, métadonnées qui relient les utilisateurs aux espaces de travail ou aux projets. c) Données de contenu – copies ou représentations de fichiers de fournisseurs (PDF, images, DOCX, CSV, etc.), texte intermédiaire extrait via OCR, intégrations et représentations structurées pouvant parfois contenir des données à caractère personnel, et sorties de catalogue générées où les données à caractère personnel apparaissent dans le contenu source. d) Données techniques et d'utilisation – adresses IP, identifiants d'appareil, type de navigateur, horodatages, entrées de journal, traces d'erreurs, mesures de performances et autres télémétries nécessaires à la sécurité, à la surveillance et à la planification des capacités. e) Données d'assistance : informations contenues dans les demandes d'assistance, les captures d'écran, les archives de débogage et les journaux associés partagés lorsque les clients demandent de l'aide.
4.3 Catégories restreintes de données a) PageMind n'est pas conçu pour le traitement intentionnel de :
- Catégories particulières de données à caractère personnel au sens de l'article 9 RGPD (données de santé, identifiants biométriques pour une identification unique, opinions politiques, religion, etc.) ;
- Données personnelles relatives aux condamnations pénales et aux infractions ;
- Données sur les enfants en tant qu’ensemble de données primaires. b) Les clients sont responsables de s'assurer qu'ils ne téléchargent pas ces données, sauf si :
- Ceci est strictement nécessaire pour leur cas d'utilisation ; et
- Une base juridique valide et des garanties appropriées existent en vertu de la loi applicable. c) inAi se réserve le droit de prendre les mesures techniques ou contractuelles appropriées (y compris la suppression, le filtrage et la suspension) si nous pensons raisonnablement que PageMind est utilisé d'une manière qui augmente sensiblement le risque pour les droits et libertés des individus au-delà du contexte prévu du catalogue B2B. d) inAi ne surveille pas de manière proactive les téléchargements du Client pour détecter des catégories spéciales de données à caractère personnel, de données criminelles ou de données sur les enfants. Cependant, si une telle utilisation est portée à notre attention ou si nous la soupçonnons raisonnablement sur la base des informations disponibles (par exemple, au cours de l'assistance ou de la gestion d'un incident), nous pouvons examiner le contenu pertinent uniquement dans la mesure nécessaire pour évaluer la situation et prendre les mesures appropriées comme décrit ci-dessus.
5. Principes régissant l'engagement des sous-traitants ultérieurs
5.1 Équivalence de protection Avant d'engager un sous-traitant ultérieur, inAi : a) Signer un contrat écrit avec le sous-traitant ultérieur qui impose des obligations de protection des données au moins équivalentes en substance à celles énoncées dans le DPA et à l'article 28, paragraphe 3, RGPD, en tenant compte de la nature des services fournis par le sous-traitant ultérieur. ([RGPD][1]) b) Exiger du sous-traitant qu'il traite les données à caractère personnel du client uniquement sur les instructions documentées de inAi et uniquement dans le but de fournir les services contractés. c) Exiger du sous-traitant qu'il mette en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, lorsque cela est pertinent et proportionné, des mesures telles que le cryptage en transit, le contrôle d'accès et les procédures de réponse aux incidents.
5.2 Diligence raisonnable et évaluation des risques inAi procède à une évaluation initiale et, le cas échéant, périodique basée sur les risques de chaque sous-traitant ultérieur, en tenant compte : ([complydog.com][3]) a) La nature, la portée, le contexte et les finalités du traitement ; b) Les catégories et le volume de Données Personnelles Client traitées ; c) Le(s) lieu(x) géographique(s) de stockage et d'accès, y compris tout transfert vers des pays tiers ; d) La posture de sécurité du sous-traitant ultérieur (par exemple, certifications, documentation de sécurité accessible au public ou contractuelle, résumés des tests d'intrusion et processus de réponse aux incidents) ; et e) La propre chaîne de sous-traitance du sous-traitant, le cas échéant.
inAi peut s'appuyer sur des rapports d'audit tiers indépendants, des certifications ou des attestations similaires lorsque des audits directs seraient disproportionnés ou non disponibles contractuellement.5.3 Transferts ultérieurs et flux de données internationaux a) Lorsqu'un sous-traitant ultérieur est situé en dehors de l’EEE ou lorsque l'accès aux données depuis un pays tiers ne peut être exclu, inAi veillera à ce que des garanties appropriées soient en place en vertu du chapitre V RGPD, telles que :
- UE SCCs (modules responsable du traitement à sous-traitant ou sous-traitant à sous-traitant, selon le cas) ; ([UER-Lex][2])
- Recours à une décision d'adéquation de la Commission européenne (y compris, le cas échéant, le cadre de confidentialité des données UE‑US) ; ou
- Autres mécanismes de transfert légaux autorisés par RGPD. b) Lorsque le chapitre V RGPD et les directives de surveillance pertinentes l'exigent, inAi effectuera et documentera une évaluation de l'impact du transfert (TIA) pour évaluer si les lois et les pratiques du pays tiers bénéficiaire peuvent affecter l'efficacité des sauvegardes, et mettra en œuvre des mesures supplémentaires, le cas échéant, à la lumière de cette évaluation.
5.4 Confidentialité et contrôle d'accès a) Les sous-traitants ultérieurs sont tenus de garantir que toute personne qu'ils autorisent à traiter les données à caractère personnel du client est liée par des obligations de confidentialité et reçoit une formation appropriée en matière de protection des données. b) L'accès aux données à caractère personnel du client est limité au personnel ayant un strict besoin de connaissance pour l'exécution des services concernés et est soumis à un contrôle d'accès et à une journalisation basés sur les rôles.
5.5 Audit et surveillance Lorsque cela est contractuellement réalisable et approprié à la nature du service, inAi cherche à :
a) Recevoir et, le cas échéant, examiner les informations des sous-traitants ultérieurs concernant leurs contrôles de sécurité et de confidentialité (par exemple, les rapports ISO 27001 ou SOC 2, les résumés de tests d'intrusion ou les livres blancs sur la sécurité) ; b) Se réserver le droit contractuel de s'appuyer sur des rapports d'audit indépendants ou d'autres mécanismes de vérification ou de demander l'accès à ceux-ci, sous réserve d'un préavis raisonnable et de restrictions de confidentialité ; et c) Exiger une notification rapide de toute violation de données à caractère personnel réelle ou suspectée affectant les données à caractère personnel du client, ainsi qu'une coopération appropriée comme décrit dans le DPA.
6. Catégories de sous-traitants ultérieurs
Les catégories ci-dessous et les sous-traitants répertoriés dans la section 7 représentent les fournisseurs qui peuvent être impliqués dans le traitement des données à caractère personnel des clients pour PageMind. Tous les clients ou espaces de travail ne dépendront pas de tous les sous-traitants ultérieurs ; l'utilisation réelle dépend de la configuration, des fonctionnalités sélectionnées et de l'évolution de l'infrastructure du inAi.
6.1 Fournisseurs d'infrastructures et d'hébergement Fournisseurs tiers qui fournissent des centres de données, du calcul, du stockage, des réseaux et des infrastructures associées sur lesquels PageMind s'exécute (par exemple, un cloud public ou des fournisseurs IaaS européens).
6.2 AI / Fournisseurs de modèles de langage étendus (LLM) et de ML Fournisseurs qui fournissent des services d'inférence LLM et autres services ML utilisés par PageMind pour effectuer l'OCR, l'extraction structurée, la traduction/localisation, la normalisation des attributs et la génération de texte, lorsque ces services peuvent traiter les données à caractère personnel du client contenues dans des documents ou des journaux.
6.3 Outils d'observabilité, de journalisation et de surveillance Services utilisés pour collecter et traiter les journaux techniques, les métriques et les traces afin de surveiller les performances, de détecter les anomalies et d'enquêter sur les incidents. Lorsque cela est possible, ces outils fonctionnent principalement sur des métadonnées et des contenus pseudonymisés ; cependant, des données à caractère personnel limitées peuvent apparaître dans les journaux.
6.4 Services de courrier électronique, de messagerie et de notification Fournisseurs utilisés pour envoyer des e-mails transactionnels et d'autres notifications aux utilisateurs du Client (par exemple, création de compte, réinitialisation de mot de passe, notifications de fin d'exécution). Ces fournisseurs traitent généralement les adresses e-mail des utilisateurs et le contenu limité des messages.
6.5 Plateformes d'assistance et de billetterie Outils d'assistance utilisés pour traiter les demandes d'assistance client, qui peuvent contenir des données à caractère personnel incluses dans des tickets, des pièces jointes ou des journaux de débogage.
6.6 Opérations commerciales et outils de facturation Lorsque les processus contractuels et de facturation de PageMind sont gérés via des plateformes externes (par exemple, des systèmes de facturation, CRM), des données à caractère personnel limitées du client (telles que les coordonnées professionnelles et les coordonnées de facturation) peuvent être traitées.6.7 Outils de sécurité et anti-abus Outils utilisés pour la détection des menaces, la protection DDoS, les pare-feu d'applications Web, le filtrage du spam et la détection des abus. Ces outils peuvent traiter les adresses IP, les empreintes digitales des appareils et les données de journalisation, et peuvent fonctionner à la périphérie du réseau.
7. Liste actuelle des sous-traitants pour PageMind
Le tableau ci-dessous répertorie les sous-traitants tiers qui peuvent traiter les données à caractère personnel du client en relation avec PageMind à la date indiquée dans l'historique des versions de ce document.
- Tous les clients ou espaces de travail n'utiliseront pas tous les sous-traitants ; certains sont utilisés uniquement pour des fonctionnalités ou des configurations spécifiques, comme indiqué dans la colonne « Notes ».
- L'inclusion d'un sous-traitant ultérieur dans cette liste ne garantit pas qu'il traite actuellement les données à caractère personnel du client pour un client donné ; il indique que le fournisseur peut être utilisé pendant la durée du Contrat.
- Avant de nommer un nouveau sous-traitant ultérieur, inAi suit les principes décrits à la section 5 et, le cas échéant, le mécanisme de notification et d'objection décrit à la section 11.
La composition de l'écosystème des sous-sous-traitants peut changer au fil du temps à mesure que le inAi fait évoluer l'infrastructure et l'ensemble des fonctionnalités du PageMind. La présence ou l'absence d'un fournisseur spécifique dans cette liste ne garantit pas qu'une fonctionnalité particulière sera disponible, ni qu'un fournisseur sera utilisé pendant toute la durée du Contrat.
L'inclusion d'un fournisseur dans cette liste ne garantit pas que ce fournisseur sera utilisé pendant toute la durée du Contrat, ni que tous les fournisseurs répertoriés sont actuellement actifs à un moment donné.
7.1 Infrastructure et hébergement
| Sous-traitant secondaire | Rôle/Service | Catégories de données | Lieu(x) de traitement primaire(s) | Transferts internationaux et garanties | Remarques |
|---|---|---|---|---|---|
| [Fournisseur de cloud UE A] (par exemple Scaleway / OVHcloud) | Hébergement d'infrastructure principale pour PageMind (calcul, stockage, mise en réseau, bases de données gérées) | Données de contenu, données de compte, données techniques et d'utilisation, données de support stockées dans des sauvegardes | UE/EEE (régions spécifiques du centre de données à spécifier) | Les données à caractère personnel du client sont destinées à être hébergées dans des centres de données EEE sélectionnés par inAi pour les charges de travail PageMind. Un accès à distance limité depuis l'extérieur de l’EEE peut se produire à des fins d'assistance, de maintenance ou de résilience, selon les conditions standard du fournisseur. Lorsqu'un tel accès implique un pays tiers, des garanties appropriées (telles que SCCs, des décisions d'adéquation et, le cas échéant, des TIA et des mesures supplémentaires) sont utilisées. | VPC UE principal pour les charges de travail PageMind (production et préparation) |
| [Fournisseur de cloud mondial B] (par exemple AWS, Azure, GCP) | Infrastructure supplémentaire, services spécialisés (par exemple, charges de travail GPU, sauvegarde ou services gérés spécifiques) | Identique à ci-dessus lorsqu'il est utilisé | Régions UE (par exemple eu‑west‑Quantity, westeurope), ainsi que toutes les régions supplémentaires explicitement configurées | Si la prise en charge ou le basculement implique un accès à un pays tiers, UE SCCs et/ou une décision d'adéquation (par exempl’UE‑US DPF) appliquée ; TIA et mesures supplémentaires si nécessaire | Utilisé de manière sélective lorsque cela est nécessaire pour des charges de travail ou une résilience spécifiques |
7.2 AI / Fournisseurs LLM et ML| Sous-traitant secondaire | Rôle/Service | Catégories de données | Lieu(x) de traitement primaire(s) | Transferts internationaux et garanties | Conditions particulières | | -------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ | ---------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | [Fournisseur LLM UE] (par exemple, Mistral/autre fournisseur basé sur UE) | Inférence LLM pour les tâches structurées d'extraction, de traduction et de génération pour PageMind | Données de contenu (parties de fichiers fournisseurs et représentations intermédiaires pouvant contenir accessoirement des données à caractère personnel) | Centres de données UE/EEE comme décrit dans la documentation du fournisseur | inAi configure le service pour utiliser les régions UE/EEE où cela est pris en charge. Le personnel d'assistance ou d'exploitation du fournisseur peut, dans des circonstances limitées, accéder aux données à caractère personnel du client depuis l'extérieur de l’EEE à des fins de maintenance ou de dépannage ; cet accès est régi par des garanties appropriées (par exemple, SCCs) dans le cadre du DPA du fournisseur. | Engagements contractuels « pas de formation sur les données Client » ; des limites de conservation strictes ; cryptage en transit ; contrôle d'accès | | [Fournisseur Global LLM 1] (par exemple OpenAI, Anthropic, etc.) | Inférence LLM supplémentaire pour les tâches dans lesquelles des modèles non UE sont sélectionnés par inAi ou convenus par écrit avec le client | Comme ci-dessus (données de contenu ; éventuellement pseudonymisées ou minimisées) | Global / États-Unis. (Le client reconnaît que l'utilisation de ces modèles spécifiques implique un traitement en dehors de l’EEE. Des mécanismes de transfert appropriés sont en place). | Transferts régis par UE SCCs et/ou mécanismes d’adéquation aux DCI et mesures complémentaires ; utilisation limitée aux configurations explicitement convenues avec le client lorsque cela est nécessaire | Les contrats et la configuration des fournisseurs doivent garantir : (i) aucune formation sur les données du Client par défaut, (ii) une conservation limitée, (iii) des contrôles de sécurité et d'accès appropriés. Les configurations PageMind par défaut sont conçues pour donner la priorité aux fournisseurs LLM basés sur UE ou hébergés sur UE lorsque cela est techniquement et commercialement réalisable. Ce fournisseur mondial est utilisé uniquement pour des fonctionnalités ou des configurations spécifiques où une telle utilisation a été sélectionnée par inAi pour des raisons techniques ou expressément convenue avec le Client. |
7.3 Observabilité, journalisation et surveillance| Sous-traitant secondaire | Rôle/Service | Catégories de données | Emplacement(s) | Sauvegardes | Remarques | | -------------------------------- | ------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------ | ------------------------------------------------------------------------------------------------ | --------------------------------------------------------------------------------------------- | | [Fournisseur de surveillance UE] | Métriques, traces et journaux pour les performances de l'infrastructure et des applications | Données techniques/d'utilisation ; identifiants pseudonymisés limités ; dans de rares cas, des fragments de données de contenu apparaissant dans les journaux | Traitement primaire dans les centres de données UE/EEE, le cas échéant ; un accès limité depuis d'autres régions peut se produire conformément à l'infrastructure standard du fournisseur | SCCs ou d'autres mécanismes du chapitre V pour tout accès à un pays tiers ; limites de minimisation et de conservation des journaux ; accès réservé au personnel d'exploitation autorisé | La configuration de la journalisation vise à éviter de stocker le contenu brut du document ; accès réservé au personnel opérationnel | | [Fournisseur mondial de suivi des erreurs] | Rapport d'erreurs et suivi des exceptions | Comme ci-dessus | Transformation primaire dans la région UE/EEE si disponible ; la télémétrie des erreurs peut être acheminée ou accessible depuis d'autres régions dans le cadre de l'infrastructure mondiale du fournisseur | SCCs et autres mécanismes du chapitre V, le cas échéant ; la configuration vise à minimiser les charges utiles sensibles ; accès réservé au personnel autorisé | Utilisé pour déboguer les échecs et améliorer la stabilité ; charges utiles sensibles minimisées lorsque cela est possible |
7.4 Services de courrier électronique, de messagerie et de notification
| Sous-traitant secondaire | Rôle/Service | Catégories de données | Emplacement(s) | Sauvegardes |
|---|---|---|---|---|
| [Fournisseur de messagerie transactionnelle] | Envoi d'emails transactionnels (création de compte, réinitialisation de mot de passe, exécution de notifications) | Adresses e-mail des utilisateurs ; métadonnées des messages ; contenu du message limité | Traitement primaire dans les centres de données UE/EEE, le cas échéant ; le routage et la livraison peuvent impliquer d'autres régions dans le cadre de l'infrastructure de messagerie mondiale du fournisseur | SCCs/adéquation à tout acheminement vers des pays tiers ; TLS en transit ; DKIM/SPF pour l'intégrité des e-mails |
7.5 Support, billetterie et collaboration| Sous-traitant secondaire | Rôle/Service | Catégories de données | Emplacement(s) | Sauvegardes | | ----------------------- | -------------------------------- | -------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------- | | [Plateforme de support technique] | Gestion de la billetterie et du support | Données de compte/contact ; contenu des tickets d’assistance ; pièces jointes facultatives pouvant inclure des données de contenu | Traitement primaire dans les centres de données UE/EEE, le cas échéant ; le personnel d'assistance d'autres régions peut accéder aux données à des fins de dépannage, conformément au modèle d'assistance standard du fournisseur | SCCs et TIA le cas échéant ; accès restreint au personnel d'assistance autorisé ; rétention contrôlée par inAi |
7.6 Opérations commerciales et facturation
| Sous-traitant secondaire | Rôle/Service | Catégories de données | Emplacement(s) | Sauvegardes |
|---|---|---|---|---|
| [Fournisseur de facturation/facturation] | Facturation, abonnements et encaissements pour les clients B2B | Coordonnées de facturation ; identifiants de l'organisation ; données de facture | Transformation primaire en UE/EEE là où elle est proposée ; certains traitements ou accès au support peuvent avoir lieu à partir d'autres régions en fonction de l'infrastructure du fournisseur | SCCs et/ou adéquation pour tout accès à un pays tiers ; cryptage et contrôles d'accès |
| [Fournisseur CRM] | Gestion des leads et comptes clients | Données de contact professionnel ; notes limitées concernant la relation | Selon les paramètres régionaux du fournisseur (avec les régions UE/EEE sélectionnées le cas échéant) ; certains traitements ou accès au support peuvent avoir lieu à partir d'autres régions | SCCs/adéquation et restrictions d'accès internes |
7.7 Sécurité et anti-abus
| Sous-traitant secondaire | Rôle/Service | Catégories de données | Emplacement(s) | Sauvegardes |
|---|---|---|---|---|
| [Edge Protection / Fournisseur CDN] (par exemple Cloudflare ou similaire) | Protection DDoS, terminaison TLS, mise en cache périphérique, WAF | Adresses IP ; Données de requête HTTP ; métadonnées de l'appareil et du navigateur ; cookies le cas échéant | Traitement primaire dans les centres de données UE/EEE lorsque cela est possible, avec livraison sur un réseau périphérique mondial ; le routage, la mise en cache ou l'accès au support depuis d'autres régions peuvent se produire conformément à l'infrastructure standard du fournisseur | SCCs/adéquation, le cas échéant ; cryptage en transit ; conservation configurable des journaux ; contrôle d'accès strict |
8. Transferts internationaux de données8.1 Approche générale
a) La préférence par défaut de inAi est de conserver le traitement des données à caractère personnel du client au sein de l’EEE en utilisant l'infrastructure basée dans l’UE et les services hébergés sur l’UE lorsque cela est techniquement et commercialement réalisable. b) Cependant, en raison de l'utilisation de réseaux distribués à l'échelle mondiale, de fournisseurs AI spécialisés, de systèmes de surveillance et de services de sécurité, certaines opérations de traitement peuvent impliquer des transferts de données à caractère personnel du client vers des pays tiers ou un accès à distance depuis ces emplacements. Bien que inAi vise à conserver le traitement primaire au sein de l’EEE lorsque cela est possible, un traitement ou un accès temporaire ou limité depuis l'extérieur de l’EEE peut toujours avoir lieu dans le cadre des garanties décrites à la section 8.2 (par exemple, dans le contexte de l'assistance, de la reprise après sinistre ou de l'utilisation de réseaux de sécurité mondiaux).
8.2 Garanties pour les transferts vers des pays tiers Lorsque de tels transferts ont lieu, inAi : a) S'appuyer sur des mécanismes de transfert appropriés reconnus sous RGPD (par exemple SCCs, des décisions d'adéquation telles que UE-États-Unis DPF, ou d'autres mécanismes légaux) ; ([European Commission][4]) b) Effectuer des TIA le cas échéant et, si nécessaire, mettre en œuvre des mesures techniques et organisationnelles supplémentaires (telles que le cryptage, un contrôle d'accès strict et la minimisation des données) ; c) Périodiquement, et à la lumière des développements juridiques ou réglementaires importants dont inAi a connaissance dans le cours normal de ses activités, revoir son approche en matière de transferts internationaux de données et apporter des ajustements raisonnables si nécessaire pour maintenir un niveau de protection approprié.
8.3 Options client Lorsque la version actuelle de PageMind la prend en charge techniquement et lorsque cela est commercialement raisonnable, inAi peut proposer des options de configuration permettant aux clients de :
a) Restreindre ou désactiver l'utilisation de certains sous-traitants autres que UE (par exemple, des fournisseurs LLM spécifiques) pour leurs espaces de travail ; et/ou b) Sélectionnez les modes de traitement qui visent à conserver les données à caractère personnel du client dans l’EEE, avec toutes les implications fonctionnelles, de performances ou de coûts documentées dans la documentation ou l'accord produit concerné.
Toutes ces options, si disponibles, sont décrites dans la documentation du produit applicable ou convenues par écrit entre inAi et le client.
9. Garanties spécifiques au AI / LLM
Compte tenu des sensibilités particulières associées aux fournisseurs AI et LLM, inAi applique des contrôles supplémentaires lors de l'utilisation de ces sous-traitants : ([StartupSoft][5])
9.1 Aucune formation sur les données Client par défaut La politique de inAi consiste à utiliser des fournisseurs AI/LLM dont les offres d'entreprise et les options de configuration permettent à inAi de garantir que les données à caractère personnel du client soumises via PageMind ne sont pas utilisées pour former ou améliorer par défaut les modèles de base généralement disponibles du fournisseur.
En conséquence, inAi, par défaut : a) Configurer ces services (via « Zéro rétention de données » ou les paramètres d'entreprise le cas échéant) afin que les invites et les résultats ne soient pas utilisés pour la formation ; et b) Évitez d'envoyer les données à caractère personnel du client aux services AI/LLM qui n'offrent pas de moyen raisonnable de désactiver une telle formation, sauf :
- le Client a donné des instructions écrites préalables ou son consentement pour cette utilisation spécifique ; et
- des bases juridiques, des garanties et des mesures de transparence appropriées sont en place.
Rien dans cette section n'empêche inAi d'utiliser des modèles formés sur d'autres clients ou des données publiques, à condition que les données à caractère personnel du client de PageMind ne soient pas utilisées pour former ces modèles sans un tel accord explicite.
Toute exception à la position par défaut « pas de formation sur les données du client » nécessitera toujours un accord écrit distinct avec le client concerné, qui décrira les objectifs spécifiques, les garanties et les bases juridiques d'une telle formation.
9.2 Minimisation et rédaction a) Dans la mesure du possible, la couche d'orchestration de PageMind minimise la quantité de données à caractère personnel client envoyées aux fournisseurs LLM, par ex. par :
- Restreindre les invites aux segments de produits pertinents ;
- Rédaction des identifiants personnels évidents lorsque la tâche ne les nécessite pas. b) Pour les cas d'utilisation de catalogue uniquement, PageMind peut fonctionner principalement sur les attributs et les descriptions de produits plutôt que sur des données à caractère personnel de forme libre.9.3 Stabilité, journalisation et auditabilité a) PageMind est conçu de manière à ce que les étapes de traitement et les configurations clés (y compris les modèles utilisés, les signatures de configuration et les empreintes digitales de l'environnement) soient enregistrées, permettant à inAi et au client de reconstruire et expliquer comment des sorties particulières ont été produites. Bien que certaines sorties du AI puissent intrinsèquement varier d'une exécution à l'autre, le pipeline, les entrées et la configuration sous-jacents peuvent être tracés à des fins d'audit et de dépannage. b) les sous-traitants AI/LLM ne bénéficient pas d'un accès illimité à ces journaux ; ils ne voient que ce qui est nécessaire à l'inférence et à la stabilité de leur service.
9.4 Cas d'utilisation à haut risque en vertu de la réglementation AI PageMind n'est pas destiné à être utilisé comme un système AI à haut risque en vertu de la loi UE AI (par exemple pour l'emploi, la notation de crédit ou l'identification biométrique). ([Artificial Intelligence Act][6]) Si un client envisage une telle utilisation, celle-ci doit faire l'objet d'un accord écrit distinct et d'une évaluation des risques, y compris un examen des sous-traitants ultérieurs et de leurs obligations spécifiques en vertu de la réglementation AI applicable.
Il appartient au Client d'évaluer si son utilisation de PageMind fait partie d'un système qualifié de à haut risque au sens de la loi sur l'intelligence artificiell’UE ou d'une autre réglementation sectorielle, et de mettre en œuvre toutes les mesures organisationnelles et techniques associées. inAi ne fournit pas de conseils juridiques et n’assume pas les obligations réglementaires du client en tant que déployeur ou fournisseur d’un système AI à haut risque, sauf accord exprès dans un accord écrit séparé.
10. Mesures de sécurité appliquées par les sous-traitants ultérieurs
10.1 Attentes de base Chaque sous-traitant engagé par inAi doit mettre en œuvre des contrôles de sécurité qui sont au moins conformes aux normes du secteur et adaptés au risque, tels que : a) Chiffrement en transit (par exemple TLS) et au repos le cas échéant ; b) Séparation logique des environnements clients et des données ; c) Contrôle d'accès basé sur le moindre privilège avec authentification multifacteur pour l'accès privilégié ; d) Enregistrement et surveillance de l'accès aux systèmes traitant les données à caractère personnel des clients ; e) Gestion régulière des vulnérabilités et correctifs ; f) Procédures de détection, de réponse et de notification des incidents.
10.2 Certifications et audits indépendants Lorsqu’ils sont disponibles et pertinents, nous privilégions les sous-traitants ultérieurs qui peuvent démontrer leur niveau de sécurité via : a) Certification ISO/IEC 27001 ou équivalent ; b) rapports SOC 2 de type II ou rapports d'audit tiers similaires ; c) Cadres de conformité cloud UE ou programmes nationaux, le cas échéant.
10.3 Alignement avec le programme de sécurité de inAi Les contrôles de sécurité des sous-traitants doivent être compatibles avec la propre architecture de sécurité et de confidentialité du inAi, y compris notre approche de résidence des données axée sur l’UE, la journalisation des audits et les workflows de gestion des incidents, comme décrit dans notre documentation juridique et de sécurité.
11. Notification des nouveaux sous-traitants ultérieurs et droit d'opposition
11.1 Autorisation générale et mises à jour a) Lorsque et dans la mesure où le DPA prévoit que le client accorde à inAi une autorisation écrite générale pour engager des sous-traitants ultérieurs conformément à l'article 28(2) RGPD, cette autorisation est mise en œuvre conformément à la présente section 11. Si le DPA nécessite à la place une autorisation spécifique, les mécanismes de notification et d'objection de cette section ne s'appliquent que dans la mesure où ils sont cohérents avec ce mécanisme. ([RGPD Local][7]) b) Ce document (ou une liste de sous-traitants équivalente référencée dans le DPA) sera conservé sur une page Web accessible. inAi peut le mettre à jour de temps à autre pour refléter les ajouts, remplacements ou suppressions de sous-traitants ultérieurs.
11.2 Mécanisme de notification a) En cas de changements importants, tels que l'ajout d'un nouveau sous-traitant susceptible de traiter les données à caractère personnel des clients, inAi fournira un préavis aux clients en :
- Mise à jour de ce document ; et
- Envoi d'un e-mail ou d'une notification de plateforme au contact désigné (si le Client a accepté de recevoir de telles notifications),dans un délai de préavis raisonnable (généralement au moins 30 jours avant que le sous-traitant secondaire devienne actif pour les charges de travail PageMind), lorsque cela est raisonnablement réalisable et à moins qu'une utilisation antérieure ne soit requise pour des raisons urgentes de sécurité, de résilience ou de continuité, comme décrit ci-dessous. b) Pour les ajouts d'urgence motivés par la sécurité, la réponse à un incident ou la continuité du service, inAi informera les clients dès que raisonnablement possible par la suite.
11.3 Droit d'opposition du client a) Dans le délai de préavis spécifié dans le DPA (par exemple 30 jours), le client peut s'opposer par écrit à l'engagement d'un nouveau sous-traitant ultérieur pour des motifs raisonnables et documentés en matière de protection des données. b) Dès réception d'une telle objection, inAi :
- Discuter de l'objection de bonne foi avec le Client et tenter d'identifier une alternative commercialement raisonnable ;
- Lorsqu'aucune alternative n'est réalisable sans coût déraisonnable ou dégradation matérielle des services, informez le client de toutes les options disponibles dans le cadre du DPA et de l'accord (telles que la désactivation des fonctionnalités pertinentes, la création d'un environnement de traitement distinct ou l'autorisation au client de suspendre ou de résilier les services concernés conformément aux conditions de résiliation et de remboursement déjà énoncées dans l'accord). c) Le fait de ne pas s'opposer dans le délai de préavis vaut acceptation du nouveau sous-traitant ultérieur.
12. Responsabilités du client
12.1 Base légale et transparence Le Client est responsable de : a) S'assurer qu'il dispose d'une base juridique valide pour traiter les données à caractère personnel du client via PageMind et pour toute instruction qu'il donne à inAi ; b) Fournir des avis de confidentialité et des informations de transparence appropriés aux personnes concernées, y compris des divulgations concernant l'utilisation des sous-traitants et des sous-traitants ultérieurs.
12.2 Minimisation des données et pertinence des téléchargements Le Client reste responsable de : a) Télécharger uniquement les documents et données vers PageMind qui sont nécessaires au cas d'utilisation prévu des opérations de catalogue ; b) Éviter le téléchargement de catégories particulières de données à caractère personnel ou d'autres types de données à haut risque, sauf lorsque cela est strictement nécessaire et légalement justifié ; c) S'assurer que toutes les données à caractère personnel intégrées dans les documents du catalogue sont traitées conformément à la loi applicable et aux politiques internes.
12.3 Configuration et gestion des accès Le Client est responsable de : a) Configurer les droits d'accès et les rôles de ses utilisateurs au sein de PageMind ; b) Maintenir la confidentialité et la sécurité des informations d'authentification ; c) Examiner et répondre aux notifications concernant les nouveaux sous-traitants ultérieurs ou les modifications apportées au traitement.
12.4 Intégrations tierces Lorsque le Client choisit de connecter PageMind à des outils, API ou sources de données tiers sous son propre contrôle, le Client est responsable de : a) évaluer ces tiers ; b) Conclure avec eux des accords appropriés sur la protection des données ; c) S'assurer que tout flux de données entre PageMind et ces tiers est licite et conforme au DPA.
12.5 Réglementation AI et obligations spécifiques au secteur Le Client est responsable de :
a) Déterminer si et comment son utilisation de PageMind est soumise à des cadres réglementaires spécifiques (y compris, le cas échéant, la loi sur l'intelligence artificiell’UE et les règles sectorielles de protection des produits ou des consommateurs) ; et b) Mettre en œuvre toutes les mesures techniques, organisationnelles ou de gouvernance supplémentaires requises par ces cadres dans son propre environnement.
inAi ne fournit pas de conseils juridiques et n’assume pas les obligations du Client en vertu de tels cadres, sauf accord exprès par écrit.
13. Tenue de registres et démonstration de la conformité
13.1 Enregistrements de traitement inAi tient des registres internes des activités de traitement liées à PageMind, y compris les catégories de sous-traitants ultérieurs engagés, afin de démontrer le respect de l'article 28 RGPD et des obligations associées. ([ISMS.online][8])13.2 Documentation et preuves Sur demande raisonnable et sous réserve d'obligations de confidentialité, inAi peut fournir aux clients des informations supplémentaires raisonnablement nécessaires pour démontrer le respect de ses obligations relatives aux sous-traitants ultérieurs, notamment : a) Des liens vers la documentation relative à la confidentialité et à la sécurité du sous-traitant ultérieur ; b) Résumés de haut niveau des DCI ; c) Confirmation des mécanismes légaux de transfert en place.
inAi n'est pas obligé de divulguer des TIA complets, des rapports de sécurité détaillés ou d'autres documents dont la divulgation violerait les droits ou les obligations de confidentialité de inAi ou de ses sous-traitants.
14. Modifications de ce document
14.1 Mises à jour unilatérales par inAi inAi peut mettre à jour ce document de temps à autre pour : a) refléter les changements dans son écosystème de sous-traitants ultérieurs ; b) Refléter les changements requis par la loi, la réglementation ou les directives des autorités de surveillance ; c) Clarifier le langage ou améliorer la transparence, à condition que ces changements ne réduisent pas matériellement le niveau de protection accordé aux données à caractère personnel du client.
14.2 Notification de changements importants Les changements importants relatifs aux sous-traitants ultérieurs qui traitent les données à caractère personnel des clients seront communiqués conformément à l'article 11 (Notification et droit d'opposition) et au DPA.
14.3 Gestion des versions Chaque version de ce document indiquera son numéro de version et sa date de dernière mise à jour. inAi peut conserver les versions précédentes disponibles sur demande ou via une archive à des fins d'audit et de conformité.
15. Contact et informations complémentaires
15.1 Contact pour la protection des données Les questions ou préoccupations concernant ce document, l'utilisation de sous-traitants par inAi ou les pratiques de protection des données de PageMind peuvent être adressées à :
INAI SASU – Protection des données 142 rue d'Iéna, 59000 Lille, France E-mail : privacy@inai.world (contact pour la protection des données)
15.2 Autorité de contrôle Rien dans ce document ne limite les droits des personnes concernées ou des clients de déposer une plainte auprès d'une autorité de contrôle compétente ou de rechercher d'autres recours disponibles en vertu de la loi applicable.
Annexe A – Modèle de fiche technique du sous-traitant ultérieur
Cette annexe fournit un modèle standard pour documenter chaque sous-traitant ultérieur engagé dans le cadre de PageMind. Le modèle peut être complété et maintenu en interne par inAi et, le cas échéant, mis à la disposition des Clients sous réserve d'obligations de confidentialité.
Cette annexe est avant tout un outil de gouvernance interne ; il ne crée pas, en soi, de droits ou d'obligations contractuelles pour les clients, à moins qu'ils ne soient expressément incorporés dans le DPA ou dans l'accord.
A.1 Identification
- Nom légal du sous-traitant ultérieur :
- Adresse enregistrée :
- Numéro d'enregistrement / identifiant d'entreprise (si disponible) :
- URL du site Web/du contact principal :
- Contrepartie contractuelle (si différente de ci-dessus) :
A.2 Rôle et services
Catégorie (selon la section 6 de ce document) :
- ☐ Infrastructure et hébergement
- ☐ Fournisseur AI / LLM / ML
- ☐ Observabilité, journalisation, surveillance
- ☐ E-mail, messagerie, notifications
- ☐ Support et billetterie
- ☐ Opérations commerciales et facturation
- ☐ Sécurité et anti-abus
- ☐ Autre (préciser) : _________________________________________
Description des services fournis :
- Description concise de ce que fait le sous-traitant pour PageMind (par exemple : "Fournit un calcul et un stockage gérés pour les charges de travail de production", "Fournit une inférence LLM pour l'extraction et la traduction d'attributs", etc.).
Ce sous-traitant est-il obligatoire pour l'utilisation de PageMind ?
- ☐ Oui, utilisé par défaut pour tous les clients
- ☐ Non, utilisé uniquement pour des fonctionnalités ou des configurations spécifiques (décrire) : ___________________________
Modules/fonctionnalités dépendants :
- Liste des composants ou fonctionnalités PageMind qui s'appuient sur ce sous-sous-traitant (par exemple, « pipeline d'ingestion de base », « module Verify.UE », « exécuter des e-mails de notification »).
A.3 Détails du traitement des données
Catégories de personnes concernées concernées :
- ☐ Employés/utilisateurs clients
- ☐ Salariés/contacts fournisseurs apparaissant dans les documents
- ☐ Autres personnes dont les données sont contenues dans les documents téléchargés (décrire) : ___________________________
Catégories de données à caractère personnel des clients traitées :* ☐ Données de compte et d'identification (par exemple, noms d'utilisateur, adresses e-mail, identifiants d'utilisateur)
- ☐ Données de contact et d'organisation (par exemple coordonnées professionnelles, rôle, entreprise)
- ☐ Données de contenu (par exemple copies ou extraits de fichiers fournisseurs, texte extrait, intégrations)
- ☐ Données techniques et d'utilisation (par exemple adresses IP, journaux, métadonnées de demande, télémétrie)
- ☐ Données d'assistance et de ticket (par exemple, contenu des tickets d'assistance, pièces jointes)
- ☐ Autre (préciser) : _________________________________________
Nature et finalité du traitement :
- Bref récit décrivant pourquoi ce sous-traitant traite les données à caractère personnel du client (par exemple « hébergement et stockage », « inférence sur des segments de texte pour la traduction et l'extraction », « livraison d'e-mails transactionnels »).
Fréquence de traitement :
- ☐ Continu (toujours activé pour les charges de travail PageMind)
- ☐ Événementiel / occasionnel (par exemple uniquement sur demandes de support, lots spécifiques)
Périodes de conservation sous le contrôle du sous-traitant ultérieur (si connu) :
- Données de travail : ___________________________
- Journaux/télémétrie : ___________________________
- Sauvegardes : ___________________________
- Notes (par exemple, SLA de suppression, conservation configurable) : ___________________________
A.4 Emplacements et transferts internationaux
Centre de données principal/emplacements de traitement :
- Pays/Région n° 1 : ___________________________
- Pays/Région n°2 (le cas échéant) : ___________________________
Accès potentiel depuis des pays tiers :
- Répertoriez tous les pays en dehors de l’EEE à partir desquels le personnel ou les systèmes peuvent accéder aux données à caractère personnel du client (par exemple à des fins d'assistance ou de maintenance) : ___________________________
Mécanisme(s) de transfert pour l'accès aux pays tiers :
- ☐ UE SCCs (sous-traitant à sous-traitant)
- ☐ Décision d'adéquation (préciser) : ___________________________
- ☐ Participation au Data Privacy Framework (si États-Unis ; préciser le statut) : ___________________________
- ☐ Autre mécanisme / dérogation (décrire) : ___________________________
Résumé des résultats de l'évaluation de l'impact du transfert (TIA) (note interne) :
- Cote de risque (faible/moyen/élevé) : ___________________________
- Mesures supplémentaires clés (par exemple cryptage, minimisation, restrictions d'accès) : ___________________________
A.5 Sécurité et conformité
Certifications ou attestations pertinentes (le cas échéant) :
- ☐ ISO/CEI 27001
- ☐ SOC 2 Type II
- ☐ Autre (par exemple certification cloud locale, programmes spécifiques) : ___________________________
- ☐ Aucun divulgué
Principales mesures de sécurité (résumé) :
- Chiffrement des données au repos : ☐ Oui ☐ Non ☐ Inconnu
- Chiffrement des données en transit (TLS) : ☐ Oui ☐ Non ☐ Inconnu
- Contrôle d'accès basé sur les rôles : ☐ Oui ☐ Non ☐ Inconnu
- Authentification multifacteur pour accès privilégié : ☐ Oui ☐ Non ☐ Inconnu
- Journalisation et suivi de l'accès aux données à caractère personnel des clients : ☐ Oui ☐ Non ☐ Inconnu
Gestion des incidents et des violations :
- Obligation contractuelle d'informer inAi sans retard injustifié en cas de violation de données à caractère personnel : ☐ Oui ☐ Non ☐ Inconnu
- Délai de notification typique (si indiqué) : ___________________________
Droits d'audit et d'inspection :
- Mécanisme d'audit (par exemple, rapports de tiers, audits sur site, questionnaires) : ___________________________
- Fréquence et conditions d'accès aux documents d'audit : _________________________________________
A.6 Commandes spécifiques au AI/LLM (le cas échéant)
(Complet uniquement pour les sous-sous-traitants AI / LLM / ML.)
Type de modèles utilisés :
- ☐ Fondation LLM (usage général)
- ☐ Modèle spécifique à une tâche/NLU
- ☐ OCR / modèle de vision
- ☐ Autre (préciser) : _________________________________________
Utilisation des données à caractère personnel du client à des fins de formation :
*Position par défaut du fournisseur :
- ☐ Pas de formation sur les données clients par défaut
- ☐ Formation par défaut avec opt-out
- ☐ Formation par défaut sans opt-out
- Configuration choisie par inAi : ___________________________
Conservation des invites et des sorties :
*Durée de conservation maximale indiquée : ___________________________
- Possibilité de configurer une rétention plus courte/pas de rétention : ☐ Oui ☐ Non
Documentation spécifique au AI disponible :* ☐ Modèles de fiches / rapports de transparence
- ☐ Documentation sur la sécurité et les risques (par exemple, alignement, politiques d'utilisation abusive)
- ☐ Déclarations de droits d'auteur / provenance du contenu
- ☐ Aucun fourni / non applicable
A.7 Conditions contractuelles avec inAi
Date de la mission initiale : _________________________________________
Documents contractuels clés :
- Convention de traitement des données ou avenant : ☐ Oui ☐ Non
- Planning de sécurité/annexe : ☐ Oui ☐ Non
- Addendum spécifique au AI (le cas échéant) : ☐ Oui ☐ Non
Transfert des obligations :
- Obligations de confidentialité : ☐ Aligné sur inAi DPA ☐ Supplémentaire ☐ Plus faible (nécessite des mesures d'atténuation)
- Obligations d'assistance (par exemple droits des personnes concernées, DPIA) : ☐ Adéquat ☐ Nécessite un suivi
Conditions de renouvellement/résiliation pertinentes pour les données :
- Conditions de durée et de renouvellement : ___________________________
- Obligation de suppression/restitution des données en cas de résiliation : ___________________________
A.8 Évaluation et état des risques (usage interne)
Niveau de risque global :
- ☐ Faible
- ☐ Moyen
- ☐ Élevé
Principaux risques identifiés :
Mesures d'atténuation mises en œuvre par inAi :
- Technique (par exemple minimisation, cryptage, ségrégation) : ___________________________
- Organisationnel (par exemple fonctionnalités limitées, accès restreint, contrôles compensatoires) : ___________________________
Date de la prochaine révision : ___________________________
Propriétaire chez inAi (nom/fonction) : ___________________________
Annexe B – Journal des modifications du sous-traitant (modèle)
Cette annexe fournit une structure suggérée pour enregistrer les changements historiques dans l’écosystème du sous-traitant ultérieur. Il pourra être tenu sous forme de registre interne et, le cas échéant, synthétisé à l'intention des Clients.
Cette annexe est conçue comme un modèle de journal des modifications interne. Il peut être conservé par inAi à des fins de tenue de registres et, le cas échéant, résumé pour les clients, mais il ne fait pas lui-même partie du Contrat à moins qu'il n'y soit expressément mentionné.
| Version | Date d'entrée en vigueur | Type de changement | Sous-traitant(s) secondaire(s) concerné(s) | Catégorie | Description du changement | Impact client / Actions | Remarques |
|---|---|---|---|---|---|---|---|
| 0,1 | [jj/mm/aaaa] | Ajout | [Nom] | Hébergement | Ajouté en tant que principal fournisseur d'infrastructure UE pour les charges de travail de production PageMind | Clients avertis par email le [date] ; délai d'opposition [X] jours | — |
| 0,2 | [jj/mm/aaaa] | Remplacement | [Ancien] → [Nouveau] | LLM | Remplacement du fournisseur LLM existant par un nouveau fournisseur LLM basé sur UE pour l'extraction d'attributs | Aucun changement de configuration requis pour les clients ; désinscription facultative disponible | — |
| 0,3 | [jj/mm/aaaa] | Suppression | [Nom] | Journalisation | Service de journalisation existant retiré, ne traite plus les données à caractère personnel des clients | Aucun impact ; service désactivé et données supprimées par contrat | — |
| 0,4 | [jj/mm/aaaa] | Changement de lieu | [Nom] | Hébergement | Ajout d'une nouvelle région UE ; région non-UE désactivée pour les charges de travail PageMind | Résidence des données améliorée ; aucune action requise | — |
| 0,5 | [jj/mm/aaaa] | Changement de politique | [Nom] | LLM | Le fournisseur a modifié les paramètres par défaut de conservation des données ; configuration mise à jour pour maintenir « aucune formation » et une rétention minimale | Clients informés ; configuration technique vérifiée | — |
Pour chaque entrée, inAi doit s'assurer que :1. Le Type de changement est clairement indiqué (Ajout, Remplacement, Suppression, Changement d'emplacement, Changement de politique, etc.). 2. La Description du changement est suffisamment spécifique pour comprendre ce qui a été modifié dans la pratique. 3. La colonne Impact client/Actions indique clairement si les clients doivent prendre des mesures ou si le changement est transparent, et comment le droit d'opposition a été offert (le cas échéant). 4. Le champ Notes est utilisé pour référencer des tickets internes, des TIA ou des enregistrements d'approbation, sans exposer d'informations confidentielles.
