Version : 2.0 – Date de mise à jour : 11 février 2025.

Accord de Traitement des Données (Data Processing Agreement)

Objet et Portée de l’Accord

Ce Data Processing Agreement (« Accord » ou DPA) définit les conditions dans lesquelles Polaria Technologies SAS (ci-après « Polaria Technologies » ou le Sous-Traitant), en sa qualité d’éditeur de solutions de chatbots à IA générative, traite des données à caractère personnel pour le compte de son client (ci-après le Client ou Responsable du Traitement) dans le cadre des services fournis par Polaria Technologies. Cet Accord fait partie intégrante du contrat de service liant Polaria Technologies et le Client et vise à assurer le respect du Règlement (UE) 2016/679 dit Règlement Général sur la Protection des Données (RGPD). Il est conforme aux exigences de l’article 28(3) du RGPD, en précisant notamment l’objet, la durée, la nature et la finalité des traitements effectués, les types de données personnelles concernées, les catégories de personnes concernées, ainsi que les obligations et droits de chaque partie​.

Par défaut, les services de Polaria Technologies n’exigent aucune collecte de données personnelles : aucune donnée personnelle n’est enregistrée ni exploitée à l’insu des utilisateurs finaux lorsque le chatbot Polaria Technologies est utilisé sans configuration spécifique du Client​. Le chatbot peut ainsi être déployé sans données personnelles par défaut. Toutefois, en fonction de l’usage et des paramétrages effectués par le Client, des données à caractère personnel peuvent éventuellement être traitées via la plateforme Polaria Technologies. Le présent DPA s’applique exclusivement aux traitements de données personnelles effectués par Polaria Technologies en tant que sous-traitant du Client. Les traitements de données pour lesquels Polaria Technologies détermine les finalités et moyens (par exemple, les données d’inscription du Client à la plateforme d’administration) ne relèvent pas de cet Accord et sont couverts par la politique de confidentialité de Polaria Technologies le cas échéant.

Polaria Technologies SAS est une société par actions simplifiée de droit français, immatriculée au RCS de Paris sous le numéro 849 997 945​, au capital social de 1 000 €​, dont le siège social est situé 15 rue des Halles, 75001 Paris, France. Polaria Technologies opère principalement en France et prévoit une expansion de ses activités au sein de l’Union européenne, dans le respect des législations applicables en matière de protection des données. Le Client désigne l’entité (entreprise, administration ou autre organisation) ayant souscrit aux services de Polaria Technologies et agissant en qualité de responsable du traitement des données qu’elle décide de traiter via ces services.

Le Client et Polaria Technologies sont ci-après collectivement désignés « les Parties ».

Définitions

Aux fins du présent Accord, les termes suivants ont la signification indiquée ci-dessous, qu’ils soient employés au singulier ou au pluriel :

-Données à caractère personnel (ou Données Personnelles) : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l’article 4(1) du RGPD.

-Traitement (ou Traiter/Traité): toute opération ou ensemble d’opérations appliquées à des Données Personnelles (collecte, conservation, consultation, utilisation, transmission, effacement, etc.), qu’elles soient effectuées ou non par des moyens automatisés, au sens de l’article 4(2) du RGPD.

-Responsable du Traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement, détermine les finalités et les moyens du Traitement. Dans le cadre du présent Accord, le Client est le Responsable du Traitement des Données Personnelles qu’il décide de traiter via les services de Polaria Technologies.

-Sous-Traitant : la personne physique ou morale qui Traite des Données Personnelles pour le compte du Responsable du Traitement. En l’occurrence, Polaria Technologies intervient en tant que Sous-Traitant pour les services couverts par ce DPA.

-Sous-Traitant ultérieur (ou Sous-traitant Subséquent ou Sous-traitant Secondaire, équivalent du terme sub-processor en anglais) : toute entité tierce engagée par le Sous-Traitant (Polaria Technologies) pour réaliser des activités de Traitement spécifiques pour le compte du Responsable du Traitement. Les Sous-Traitants ultérieurs autorisés dans le cadre de cet Accord sont listés à la section Sous-Traitants autorisés ci-dessous.

-Services : la plateforme SaaS, les chatbots à IA générative et de manière générale les solutions logicielles fournies par Polaria Technologies au Client, telles que décrites dans le contrat principal liant les Parties (conditions générales de service, contrat commercial ou tout document équivalent).

-Réglementation Applicable en Matière de Protection des Données : le RGPD, ainsi que toute loi ou réglementation nationale applicable (telle que la loi française Informatique et Libertés n°78-17 modifiée) et tout autre texte en vigueur régissant la protection des Données Personnelles applicable aux Traitements objet du présent Accord.

Durée de l’Accord

Le présent DPA entre en vigueur à la date de prise d’effet du contrat principal liant Polaria Technologies et le Client ou à la date d’acceptation du DPA par le Client (si celle-ci est postérieure). Il reste en vigueur pendant toute la durée de la relation contractuelle où Polaria Technologies traite des Données Personnelles pour le compte du Client. En pratique, l’Accord couvre toute période durant laquelle Polaria Technologies dispose ou traite des Données Personnelles du Client, y compris éventuellement après la fin du contrat principal, jusqu’à la restitution ou suppression complète des données conformément aux instructions du Client et aux dispositions du présent DPA.

Les obligations prévues par cet Accord (notamment en matière de confidentialité et de sécurité) survivent à l’expiration ou la résiliation de celui-ci aussi longtemps que Polaria Technologies conserve des Données Personnelles du Client conformément à la section « Sort des Données » ci-après, ou tant que la loi l’exige.

Description des Traitements concernées

Ce DPA s’applique uniquement aux opérations de Traitement de Données Personnelles effectuées par Polaria Technologies dans le cadre des Services fournis au Client. Les caractéristiques de ces Traitements sont les suivantes :

-Objet du Traitement – Finalité : Fourniture, par Polaria Technologies, d’une plateforme de chatbot à intelligence artificielle générative et de services associés, permettant au Client de configurer et déployer des agents conversationnels (chatbots) répondant aux questions des utilisateurs finaux. Les Traitements poursuivent pour finalité exclusive la bonne exécution des Services sollicités par le Client (ex. répondre aux requêtes des utilisateurs via le chatbot, accéder à une base de connaissances configurée par le Client, assurer le support technique, etc.), conformément aux instructions du Client et aux conditions du contrat principal. Aucune autre utilisation des Données Personnelles par Polaria Technologies n’est effectuée sans instruction ou autorisation du Client.

-Nature des Opérations de Traitement : Polaria Technologies réalise des opérations de stockage, d’organisation, d’analyse algorithmique (génération de réponses par le moteur d’IA), de transmission et de suppression des données, selon les besoins du Service. Par défaut, les interactions des utilisateurs avec le chatbot ne sont pas conservées par Polaria Technologies​. Ainsi, Polaria Technologies ne stocke pas de façon permanente le contenu des conversations, sauf si le Client active explicitement une fonctionnalité de journalisation ou d’enregistrement. Dans ce dernier cas, la conservation se fait selon les modalités déterminées par le Client (par exemple, durée de rétention configurable via l’interface d’administration ou instructions spécifiques).

-Types de Données Personnelles Traitées : Par conception, le Service peut être utilisé sans traiter de Données Personnelles identifiantes​. Néanmoins, en fonction de l’usage, les Données traitées peuvent inclure tout type de données que le Client choisit d’intégrer dans le chatbot ou la base de connaissances sous-jacente. Il peut s’agir notamment de données d’identification (par ex. nom, prénom, pseudonyme d’un utilisateur final), de coordonnées de contact (adresse e-mail, numéro de téléphone), de données professionnelles (poste, département), de données fournies via les questions posées au chatbot (qui pourraient contenir des informations personnelles insérées par l’utilisateur final), ou toute autre catégorie de données que le Client décide d’utiliser via le Service. Par défaut, aucune de ces données n’est requise pour utiliser le Service, et toute inclusion de Données Personnelles relève de la seule initiative du Client. Il est conseillé au Client d’éviter de soumettre des catégories particulières de données (données sensibles au sens de l’article 9 du RGPD, telles que données de santé, données biométriques, etc.) dans le Service, sauf nécessité et mesures de protection supplémentaires appropriées.

-Catégories de Personnes Concernées : Les personnes physiques dont les données peuvent être traitées dans le cadre du Service sont déterminées par le Client. Il peut s’agir principalement (i) des utilisateurs finaux du chatbot déployé par le Client (par exemple les clients, administrés ou employés posant des questions au chatbot et susceptibles de fournir leurs informations dans leurs requêtes), (ii) des employés, collaborateurs ou agents du Client dont les données figureraient dans la base de connaissances ou dans les contenus utilisés par le chatbot pour formuler des réponses, et (iii) plus généralement, de toute personne physique dont les données seraient intégrées par le Client dans les contenus exploités via le Service. Polaria Technologies n’ayant pas de contact direct avec les personnes concernées (utilisateurs finaux du chatbot ou autres tiers dont les données sont traitées), il revient au Client de fournir les informations légales requises à ces personnes et de recueillir, le cas échéant, les bases légales adéquates (par ex. consentement) pour les Traitements réalisés via le Service.

-Durée du Traitement – Conservation : Polaria Technologies traite les Données Personnelles du Client uniquement pendant la durée nécessaire à la fourniture des Services et conformément aux instructions du Client et au présent DPA. Sauf instruction contraire, les Données Personnelles ponctuellement traitées via le chatbot (par ex. contenu d’une question posée) ne sont pas conservées de manière persistante (pas de stockage permanent par Polaria Technologies, hors logs techniques anonymisés), à moins que le Client n’active des options de conservation (telles que l’enregistrement des conversations ou l’archivage des données). En tout état de cause, les données ne seront pas conservées par Polaria Technologies au-delà de la durée du contrat de service, sous réserve des obligations légales de conservation applicables. Les modalités de restitution ou suppression des données à l’issue des Services sont précisées à la section Sort des Données du présent Accord.

Obligations de Polaria Technologies en tant que Sous-Traitant

Conformément au RGPD, Polaria Technologies s’engage à respecter les obligations suivantes lorsqu’elle traite des Données Personnelles pour le compte du Client :

-Traitement sur instruction documentée : Polaria Technologies ne traite les Données Personnelles du Client que sur instruction documentée de ce dernier, y compris en ce qui concerne les transferts de données vers un pays tiers. L’utilisation des Services par le Client, conformément au contrat principal et à la documentation de Polaria Technologies, vaut instruction du Client à Polaria Technologies pour traiter les données dans le cadre des finalités prévues. Polaria Technologies s’abstiendra de toute utilisation, accès ou traitement des Données Personnelles du Client à d’autres fins (y compris à des fins propres, commerciales ou marketing) sans l’autorisation préalable du Client. Si Polaria Technologies considère qu’une instruction du Client enfreint le RGPD ou d’autres dispositions applicables en matière de protection des données, elle en informe le Client sans délai (sauf interdiction légale).

-Confidentialité du personnel : Polaria Technologies garantit que les personnes autorisées à traiter les Données Personnelles du Client (personnel, collaborateurs et sous-traitants ultérieurs) s’engagent à la plus stricte confidentialité. Toutes les personnes ayant accès aux données sont soumises à une obligation légale ou contractuelle de confidentialité appropriée. Polaria Technologies veille à ce que l’accès aux Données Personnelles soit limité aux seuls employés et agents qui en ont besoin pour exécuter le Service, et que ces accès soient régulièrement revus.

-Sécurité des Données : Polaria Technologies met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les Données Personnelles contre la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, de manière adaptée au risque. En particulier, Polaria Technologies applique les meilleures pratiques de sécurité de l’industrie : chiffrement des données en transit (communications sécurisées via SSL/TLS) et, lorsque applicable, chiffrement des données au repos sur les serveurs ou bases de données​. L’accès aux données est strictement contrôlé et consigné, de sorte que seul le personnel dûment habilité de Polaria Technologies (ou du Client, dans le cas d’environnements dédiés) peut accéder aux informations nécessaires, dans le respect des engagements de confidentialité​. Polaria Technologies a également mis en place des dispositifs de protection périmétrique et de surveillance proactive pour prévenir les intrusions et logiciels malveillants (pare-feux, systèmes de détection/prévention d’intrusion, etc.), et procède à des mises à jour régulières de ses systèmes afin de corriger rapidement d’éventuelles vulnérabilités connues​. De manière générale, Polaria Technologies s’assure que l’infrastructure utilisée pour le Service est sécurisée et conforme à l’état de l’art en matière de protection des données (y compris en faisant appel à des centres de données certifiés et fiables, voir section Sous-Traitants autorisés).

-Respect de la vie privée dès la conception : Polaria Technologies adhère aux principes de Privacy by Design et by Default. Les Services sont conçus de façon à minimiser la collecte de Données Personnelles (aucune donnée nominative n’est requise par défaut pour utiliser le chatbot​). Polaria Technologies intègre la protection des données dès la phase de conception et tout au long du cycle de vie des produits et services.

-Sous-traitance ultérieure : Polaria Technologies ne fait appel à des Sous-Traitants ultérieurs (sous-traitants secondaires) pour réaliser des opérations de Traitement qu’avec l’autorisation du Client. Le Client accorde par le présent Accord une autorisation générale à Polaria Technologies pour recourir aux Sous-Traitants listés à la section Sous-Traitants Autorisés ci-dessous, étant entendu que Polaria Technologies s’assure que chacun de ces sous-traitants respecte des obligations équivalentes aux siennes en matière de protection des données (via un contrat de sous-traitance conforme à l’article 28 du RGPD). Polaria Technologies informera le Client de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants, ce dans un délai raisonnable, afin que le Client ait la possibilité d’émettre des objections pour des raisons légitimes. En l’absence d’objection formulée dans le délai imparti, le nouveau sous-traitant sera réputé accepté.

-Aide dans le respect des obligations du Client : Polaria Technologies apporte son assistance au Client pour lui permettre de respecter ses propres obligations en vertu de la Réglementation Applicable. Notamment, Polaria Technologies aide le Client, par des mesures techniques et organisationnelles appropriées, à satisfaire aux demandes d’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, etc.) reçues par le Client, dans la mesure où le Client ne peut y répondre lui-même via les fonctionnalités mises à disposition. De même, Polaria Technologies fournira au Client l’assistance nécessaire pour réaliser, le cas échéant, des analyses d’impact sur la protection des données (DPIA) relatives aux Traitements effectués dans le cadre du Service, et pour effectuer d’éventuelles consultations préalables de l’autorité de contrôle compétente, dans la mesure où ces informations sont en possession de Polaria Technologies. Cette assistance est fournie sur demande écrite du Client et peut inclure la mise à disposition de documentation sur les mesures de sécurité, l’organisation technique des traitements, et plus généralement toute information utile au Client pour démontrer la conformité du traitement aux obligations légales.

-Notification des violations de données : Polaria Technologies notifie au Client toute violation de sécurité affectant les Données Personnelles traitées (violation de données à caractère personnel au sens de l’article 4(12) du RGPD) dès qu’elle en a connaissance. Cette notification sera effectuée dans les meilleurs délais (et si possible dans les 48 heures suivant la détection de l’incident), accompagnée de toute documentation utile pour permettre au Client, si nécessaire, de notifier cette violation à l’autorité de protection des données et/ou aux personnes concernées, conformément aux articles 33 et 34 du RGPD. Polaria Technologies communiquera au Client les informations disponibles sur la nature de la violation, les catégories et le volume de données potentiellement concernées, les conséquences probables, ainsi que les mesures correctives déjà prises ou envisagées pour remédier à la violation et en atténuer les effets. Polaria Technologies s’engage à investiguer rapidement toute violation et à prendre les mesures appropriées pour restaurer l’intégrité, la sécurité et la confidentialité des données. Elle collaborera de bonne foi avec le Client pour faciliter le respect des obligations légales consécutives à la violation.

-Sort des Données au terme du contrat : A l’expiration du contrat de service ou en cas de cessation anticipée de celui-ci, Polaria Technologies, au choix du Client et sur instruction de ce dernier, supprimera intégralement toutes les Données Personnelles traitées pour le compte du Client, ou restituera au Client l’intégralité de ces données dans un format structuré et couramment utilisé, puis en supprimera toutes les copies existantes dans ses systèmes (sauf obligation légale contraire). Sauf instruction spécifique contraire du Client communiquée avant la fin du contrat, Polaria Technologies procédera, par défaut, à la suppression sécurisée des données résiduelles encore en sa possession à l’issue d’un délai raisonnable suivant la fin du contrat. Polaria Technologies pourra conserver une copie des données si une loi de l’Union ou d’un État membre l’y oblige (par exemple, à des fins probatoires ou de respect d’obligations comptables) ; dans ce cas, Polaria Technologies garantit que ces données resteront soumises aux mesures de protection appropriées et ne seront plus activement traitées sauf pour satisfaire aux exigences légales concernées.

-Documentation et droit d’audit : Polaria Technologies met à la disposition du Client toutes les informations raisonnables nécessaires pour démontrer le respect des obligations prévues par le présent DPA et permettre la réalisation d’audits de conformité. En pratique, Polaria Technologies pourra fournir au Client, sur demande, sa documentation relative à la sécurité et à la confidentialité, y compris les politiques internes, les certifications ou audits tiers le cas échéant, attestant du niveau de protection mis en place. Le Client est en droit de réaliser ou faire réaliser, une fois par an au maximum (sauf indication contraire de la loi ou en cas d’incident avéré), un audit des activités de Polaria Technologies liées aux Traitements effectués pour son compte. Cet audit devra être diligenté par le Client ou un tiers indépendant mandaté par lui, moyennant un préavis d’au moins 15 jours ouvrés, et ne devra pas perturber de manière significative les opérations de Polaria Technologies. Le périmètre de l’audit sera limité aux installations, systèmes et documents pertinents pour les données du Client. Polaria Technologies collaborera de bonne foi à l’audit en fournissant l’accès aux informations demandées, sous réserve de mesures de confidentialité appropriées. Les frais d’audit sont à la charge du Client, sauf si l’audit révèle un manquement grave de Polaria Technologies aux obligations du présent Accord.

Obligations du Client en tant que Responsable du Traitement

Le Client, en sa qualité de Responsable du Traitement, s’engage à respecter les obligations suivantes dans le cadre de l’utilisation des Services de Polaria Technologies :

-Conformité et base légale : Le Client garantit que les Traitements de Données Personnelles qu’il confie à Polaria Technologies sont effectués en conformité avec la Réglementation Applicable. Il appartient notamment au Client de déterminer et documenter une base légale valide pour chaque Donnée Personnelle traitée via le Service (par exemple, consentement de la personne concernée, intérêt légitime, obligation légale ou exécution d’un contrat) et de s’assurer que les finalités poursuivies sont autorisées par la loi. Le Client déclare et garantit qu’il est dûment autorisé à traiter et à faire traiter les Données Personnelles concernées et qu’il a accompli l’ensemble des formalités éventuellement requises (y compris, lorsque nécessaire, l’obtention du consentement des personnes concernées pour l’utilisation de leurs données dans le cadre du Service).

-Information des personnes concernées : Il incombe au Client de fournir aux personnes concernées les informations requises par les articles 13 et 14 du RGPD concernant le Traitement de leurs données via les services de Polaria Technologies. Le Client veillera à informer clairement les utilisateurs finaux de la présence du chatbot et du fait que leurs interactions peuvent être traitées informatiquement, ainsi que, le cas échéant, de toute collecte de données personnelles les concernant. Par exemple, si le Client active la journalisation des conversations du chatbot incluant des informations personnelles, il doit en avertir préalablement les utilisateurs et, si nécessaire, recueillir leur consentement.

-Qualité et proportionnalité des données : Le Client est responsable des données qu’il intègre dans le Service. Il s’engage à ne fournir à Polaria Technologies que des Données Personnelles exactes, à jour et strictement nécessaires au regard des finalités d’usage du Service. Le Client s’interdit de détourner le Service de Polaria Technologies pour collecter massivement ou traiter des données sans lien avec les finalités du chatbot, et s’engage à ne pas stocker de données illicites ou sensibles de manière disproportionnée via la plateforme de Polaria Technologies sans mesures appropriées.
Configuration du service : Dans la mesure où le Service offre des options de configuration impactant la protection des données (par exemple, définir une durée de rétention des conversations, etc.), le Client est responsable des choix de configuration effectués via l’interface d’administration. Il appartient au Client de paramétrer le Service de manière conforme aux principes de minimisation des données et de limiter la conservation des données personnelles au strict nécessaire. Polaria Technologies fournit des outils et paramètres permettant au Client de garder le contrôle sur les données (suppression de contenus, export des connaissances, etc.), dont le Client doit faire usage pour se conformer à ses obligations réglementaires.

-Sécurité côté Client : Le Client s’engage à utiliser le Service de Polaria Technologies dans un environnement technique sûr. Il devra en particulier préserver la confidentialité des identifiants d’accès à la plateforme Polaria Technologies et veiller à ce que les accès à son instance soient sécurisés. Le Client notifiera sans délai Polaria Technologies en cas de suspicion d’accès non autorisé ou de compromission de ses identifiants, afin de permettre à Polaria Technologies de prendre les mesures adéquates. Par ailleurs, si le Client collecte lui-même des données auprès des utilisateurs pour les injecter dans le Service (par exemple via des formulaires connectés au chatbot), il lui appartient d’assurer la sécurisation de cette collecte et de transmettre les données à Polaria Technologies par des moyens de communication chiffrés et sécurisés.

-Coopération : Le Client coopérera de bonne foi avec Polaria Technologies pour faciliter le respect du présent DPA. Notamment, le Client fournira à Polaria Technologies les informations sur les traitements qu’il entend réaliser via le Service si cela est nécessaire à Polaria Technologies pour remplir ses propres obligations (par ex. en cas de réalisation d’une analyse d’impact, le Client partagera les sections pertinentes avec Polaria Technologies). De même, en cas de demande ou d’enquête d’une autorité de protection des données concernant le Service, le Client impliquera Polaria Technologies le cas échéant pour obtenir les éléments techniques relevant de cette dernière.

-Usage conforme : Le Client s’assure que son utilisation des Services de Polaria Technologies restera conforme aux termes et finalités prévues dans le contrat. Le Client s’engage à ne pas demander à Polaria Technologies de traiter des Données Personnelles d’une manière qui violerait la Réglementation Applicable. Si le Client donne une instruction de Traitement à Polaria Technologies, celle-ci doit être licite et nécessaire à l’exécution des Services. En cas de doute sur la légalité d’une instruction ou d’une utilisation particulière du Service, le Client s’engage à consulter Polaria Technologies et, si nécessaire, l’autorité de protection des données compétente avant de poursuivre.

Sous-Traitants Autorisés (Liste des Sous-Traitants ultérieurs)

Polaria Technologies a recours à des sous-traitants ultérieurs soigneusement sélectionnés pour l’assister dans la fourniture de ses Services. Ces sous-traitants agissent uniquement selon les instructions de Polaria Technologies et présentent des garanties suffisantes quant à la mise en œuvre de mesures de protection des données conformes au RGPD. Le Client autorise expressément Polaria Technologies à faire appel aux Sous-Traitants suivants dans le cadre des Traitements effectués pour son compte :

-OVHcloud (OVH SAS, France) – Hébergeur cloud principal. OVHcloud fournit l’infrastructure d’hébergement sur laquelle sont déployées les applications et données de Polaria Technologies. Les serveurs sont situés en France. Polaria Technologies héberge notamment sa suite logicielle sur l’infrastructure sécurisée d’OVH​, dans une optique de souveraineté et de sécurité.

-Dassault Systèmes (Outscale) (France) – Hébergeur cloud alternatif. Polaria Technologies peut également s’appuyer sur 3DS Outscale (filiale cloud de Dassault Systèmes) pour l’hébergement de certaines instances ou environnements dédiés, en particulier pour des clients requérant un niveau de cloud souverain certifié (Outscale disposant notamment de la qualification SecNumCloud délivrée par l’ANSSI). Les centres de données d’Outscale utilisés par Polaria Technologies sont situés en France. Ce sous-traitant est soumis aux mêmes exigences de sécurité et de conformité que OVH.

-Sarbacane Software (France) – Solution d’envoi d’e-mails transactionnels. Polaria Technologies utilise la plateforme Sarbacane (également connue sous le nom Mailify) pour l’envoi des emails liés aux Services, notamment les courriers électroniques émis par l’application app.polaria.ai (par exemple : courriels de confirmation, notifications aux utilisateurs, réinitialisation de mot de passe, etc.). Dans ce cadre, les adresses e-mail des utilisateurs finaux ou administrateurs du Client, ainsi que le contenu des messages nécessaires (texte du mail, liens) sont transmis aux serveurs de Sarbacane pour expédition. Sarbacane Software SAS est une société française, et les données de messagerie traitées sont hébergées sur des serveurs situés en France. Ce sous-traitant s’engage à respecter la réglementation RGPD (Sarbacane dispose d’un DPO interne et d’une politique active de protection des données conforme au RGPD). Aucune donnée n’est transmise par Sarbacane à des tiers, sauf nécessité technique du routage via les opérateurs de messagerie.

Polaria Technologies s’engage à ne pas ajouter ou remplacer de sous-traitant sans en informer préalablement le Client. En cas de changement de sous-traitant ultérieur, Polaria Technologies notifiera le Client par tout moyen de contact convenu (par exemple, e-mail ou publication sur le site web corporate) au moins 15 jours avant le changement effectif. Le Client dispose de la faculté d’émettre une objection motivée si le nouveau sous-traitant proposé présente, selon lui, un risque substantiel pour la protection de ses données. En cas d’objection légitime et non résolue, le Client pourra résilier le service concerné conformément aux modalités du contrat principal. Dans tous les cas, Polaria Technologies demeure pleinement responsable vis-à-vis du Client de la bonne exécution par ses sous-traitants de leurs obligations en matière de protection des données. Chaque sous-traitant ultérieur est lié à Polaria Technologies par un contrat de sous-traitance conforme à l’article 28 du RGPD, incluant des obligations de sécurité, de confidentialité et de respect des instructions équivalentes à celles du présent DPA.

Localisation des Données et Transferts Internationaux

Polaria Technologies privilégie une infrastructure entièrement localisée en France pour le traitement et le stockage des Données Personnelles du Client. Par défaut, les données sont hébergées en France, notamment via OVHcloud ou Dassault Systèmes Outscale. Ainsi, les Données Personnelles confiées à Polaria Technologies restent sur le territoire français.

Polaria Technologies confirme qu’à date de signature du présent DPA, aucun transfert massif ou systématique de Données Personnelles du Client vers des pays hors UE n’est effectué en dehors des utilisations spécifiques mentionnées. Si le Client souhaite une localisation des données différente, il peut en faire la demande à Polaria Technologies qui s’efforcera de proposer une solution adaptée (potentiellement via une offre optionnelle). Polaria Technologies s’engage à informer le Client si, durant l’exécution du contrat, elle devait envisager de transférer des Données Personnelles du Client hors de l’UE dans des conditions non prévues par le présent Accord.

Droits des Personnes Concernées et Assistance du Sous-Traitant

Compte tenu de la nature des Traitements, Polaria Technologies aidera le Client à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits des personnes concernées (droit d’accès, de rectification, d’effacement, d’opposition, de limitation, de portabilité, etc.).

-Si une personne concernée adresse directement à Polaria Technologies une demande concernant ses Données Personnelles traitées via les Services (ce qui serait rare, Polaria Technologies n’étant pas en contact direct avec les utilisateurs finaux du Client), Polaria Technologies transmettra cette demande au Client dans les plus brefs délais sans y répondre elle-même (sauf instruction contraire du Client ou obligation légale directe faite à Polaria Technologies). Il revient au Client, en tant que Responsable du Traitement, de fournir la suite appropriée à la demande. Polaria Technologies assistera le Client, sur demande, en lui fournissant les informations et les outils nécessaires pour répondre à la demande (par exemple, en extrayant les données pertinentes ou en appliquant une mesure d’effacement).

-Via l’interface d’administration du Service ou sur demande au support de Polaria Technologies, le Client peut accéder, rectifier ou supprimer les Données Personnelles sous son contrôle. Polaria Technologies mettra en œuvre les actions demandées par le Client concernant les données (par ex. suppression d’un ensemble de contenus contenant des données personnelles, restitution d’un enregistrement spécifique, etc.) dans les meilleurs délais et conformément aux instructions documentées reçues.

-Si la complexité d’une demande d’exercice de droits nécessite une assistance technique particulière de Polaria Technologies (par ex. extraction de données d’un backup, recherche spécifique dans des journaux), Polaria Technologies s’efforcera de fournir cette assistance. En fonction de la charge de travail induite, Polaria Technologies et le Client pourront convenir de modalités financières pour couvrir le coût raisonnable de cette assistance exceptionnelle, conformément à l’article 12(5) du RGPD (qui permet de facturer des frais raisonnables en cas de demandes manifestement infondées ou excessives, ou en cas de demandes supplémentaires).

Par ailleurs, Polaria Technologies aidera le Client à garantir le respect des autres obligations prévues aux articles 32 à 36 du RGPD (sécurité des traitements, notification des violations, analyses d’impact et consultation préalable). Les dispositions relatives à la sécurité et aux violations de données figurent dans le présent Accord. S’agissant des analyses d’impact sur la vie privée (DPIA), Polaria Technologies fournira au Client sur demande toutes informations relatives aux Services nécessaires à la réalisation de la DPIA (notamment description technique des traitements effectués, mesures de sécurité appliquées, sous-traitants impliqués, etc.). Si l’autorité de contrôle devait exiger une consultation préalable avant l’utilisation du Service, Polaria Technologies assistera le Client en fournissant les informations requises par ladite autorité.

En résumé, Polaria Technologies s’engage à coopérer activement avec le Client pour permettre à ce dernier de respecter ses obligations vis-à-vis des personnes concernées et des autorités de protection des données. L’ensemble de cette assistance est fournie dans la limite des informations dont dispose Polaria Technologies et de la mesure où le Client ne dispose pas lui-même des moyens de répondre aux obligations en question.

Notification des Violations de Données

En cas de violation de données à caractère personnel (accidentelle ou illicite) concernant les Données Personnelles traitées pour le compte du Client, Polaria Technologies notifiera au Client ladite violation sans délai inutile, et au plus tard dans un délai de 48 heures après en avoir pris connaissance. Cette notification comprendra, dans la mesure du possible, les informations suivantes :

-la nature de la violation (par exemple, accès non autorisé, perte, divulgation, altération ou destruction de données) et, si disponible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données affectés ;
-les conséquences probables de la violation sur les personnes concernées (impacts potentiels sur la vie privée, risques encourus) ;
-les mesures techniques et organisationnelles déjà mises en place par Polaria Technologies avant la violation (ex: chiffrement) susceptibles de limiter l’impact de celle-ci, ainsi que les mesures correctives immédiates prises ou proposées pour remédier à la violation (ex: isolation du système affecté, restauration des données, correctifs de sécurité) ;
-le nom et les coordonnées de la personne de contact chez Polaria Technologies auprès de qui des informations complémentaires peuvent être obtenues.

Polaria Technologies fournira au Client des mises à jour régulières concernant l’enquête en cours et les actions entreprises, à mesure que des informations supplémentaires sur l’incident seront disponibles. Il appartient ensuite au Client, en tant que Responsable du Traitement, d’évaluer si la violation doit être notifiée à l’autorité de contrôle compétente et/ou aux personnes concernées, conformément aux articles 33 et 34 du RGPD. Polaria Technologies assistera le Client dans cette démarche si nécessaire, en fournissant des informations complémentaires ou rapports d’incident requis.

Polaria Technologies documentera en interne toute violation de données, en consignant les faits relatifs à la violation, ses effets et les mesures prises, conformément à l’article 33(5) du RGPD. Sur demande, Polaria Technologies mettra cette documentation à disposition du Client et de l’autorité de contrôle, afin de pouvoir vérifier le respect des obligations légales.

Sort des Données à l’issue du Contrat

Au terme de la prestation de Services impliquant le Traitement de Données Personnelles (notamment en cas de résiliation ou d’expiration du contrat entre Polaria Technologies et le Client, ou en cas de cessation d’une fonctionnalité du Service), le sort des Données Personnelles du Client sera le suivant :

-Restitution des données : À la demande expresse du Client, formulée au plus tard à la date de fin du contrat, Polaria Technologies restituera au Client l’ensemble des Données Personnelles traitées pour son compte. Cette restitution pourra prendre la forme d’un ou plusieurs fichiers extractibles via l’interface d’administration ou fournis par Polaria Technologies (par exemple, export des bases de connaissances, des éventuels journaux de conversations sauvegardés, etc.), dans un format structuré, couramment utilisé et lisible par machine. Polaria Technologies fournira également, sur demande, les documents ou supports nécessaires à la compréhension des données restituées (par ex. dictionnaire de données si applicable).

-Suppression des données : Une fois la restitution effectuée (ou si le Client n’a pas demandé de restitution à l’échéance du contrat), Polaria Technologies procédera à la suppression complète et définitive des Données Personnelles du Client encore en sa possession. La suppression inclut l’effacement des données des bases actives, ainsi que la purge des copies de sauvegarde et des journaux, dans des délais opérationnels raisonnables. Polaria Technologies s’engage à ce que les données du Client ne soient plus exploitées à quelque fin que ce soit à compter de la fin du contrat, et qu’elles soient éliminées de manière sécurisée de tous ses systèmes de production et de sauvegarde (sauf contrainte légale contraire). Si, pour des raisons techniques, la suppression immédiate de certaines données de sauvegarde n’est pas possible, Polaria Technologies garantit que ces données résiduelles seront protégées par des mesures de sécurité appropriées et qu’elles seront détruites selon les cycles de rétention maximaux préétablis.

-Preuve de destruction : Sur demande du Client, Polaria Technologies pourra fournir une attestation écrite confirmant que la suppression des Données Personnelles a bien été effectuée conformément aux termes du présent Accord. Cette attestation pourra prendre la forme d’un certificat de destruction ou d’un courriel officiel émanant du responsable technique ou du délégué à la protection des données de Polaria Technologies, une fois l’ensemble des opérations d’effacement réalisées.

-Exception légale : Si la législation de l’Union européenne ou de l’État membre applicable impose à Polaria Technologies une obligation de conservation de certaines Données Personnelles au-delà de la fin du contrat (par exemple, archivage légal, conservation de données de facturation, preuves en cas de contentieux), Polaria Technologies informe le Client de cette obligation. Dans ce cas, Polaria Technologies s’engage à ne traiter ces données conservées que pour se conformer à la loi applicable et pour aucune autre finalité, et à les supprimer dès l’expiration de la période légale de conservation.

Le Client est invité à récupérer, avant la fin du contrat, les données qu’il souhaite conserver, Polaria Technologies n’ayant pas l’obligation de stocker les données du Client au-delà de la durée contractuelle prévue (sous réserve des dispositions ci-dessus). En tout état de cause, après suppression ou restitution, Polaria Technologies n’a plus aucune obligation de conservation des données du Client et décline toute responsabilité en cas de perte définitive de données consécutive à la fin du contrat, dès lors que ces actions ont été menées conformément aux instructions du Client et aux termes du présent DPA.

Documentation et Droit d’Audit du Client

Polaria Technologies s’engage à tenir à jour une documentation interne relative aux Traitements effectués pour le compte du Client, conformément à l’article 30(2) du RGPD (registre des activités du sous-traitant). Sur demande, Polaria Technologies peut fournir au Client les éléments pertinents de ce registre concernant les catégories d’activités réalisées pour lui, sous réserve de ne pas divulguer d’informations sensibles ou confidentielles relatives à d’autres clients.

En outre, Polaria Technologies met à disposition du Client toutes les informations nécessaires pour démontrer la conformité aux obligations prévues par le présent DPA et pour permettre la réalisation d’audits, y compris des inspections, par le Client ou un autre auditeur mandaté, et contribuer à ces audits. Les modalités d’exercice du droit d’audit par le Client sont décrites ci-dessus (section "Documentation et droit d’audit" des obligations de Polaria Technologies).

Polaria Technologies considère que les rapports d’audit de tiers indépendants qu’elle pourrait obtenir constituent une preuve valable de son respect des exigences du présent Accord. Le Client acceptera de bonne foi de prendre en compte de tels rapports/certificats pour réduire la fréquence ou l’étendue de ses propres audits, dans un esprit de collaboration.

En cas d’audit initié par une autorité de contrôle (ex. CNIL) concernant les activités de Polaria Technologies en lien avec ce DPA, Polaria Technologies en informera le Client si cela concerne directement les données de celui-ci (sauf interdiction légale). Polaria Technologies fournira l’accès et la coopération nécessaires à l’autorité dans les conditions requises par la loi.

Points de Contact et Délégué à la Protection des Données

Chaque Partie indique un point de contact pour les questions relatives à la protection des données dans le cadre du présent Accord. Du côté de Polaria Technologies, toute demande ou question concernant ce DPA ou les données traitées peut être adressée à son Délégué à la Protection des Données (DPO) à l’adresse email suivante : dpo (at) polaria (dot) ai​. Ce contact peut être utilisé notamment pour : signaler une violation de données, poser des questions sur les mesures de sécurité, demander une assistance relative aux droits des personnes ou toute autre requête liée aux données personnelles.

Polaria Technologies s’engage à répondre promptement aux sollicitations du Client via son DPO ou son équipe en charge de la protection des données. En complément, le Client peut également contacter son interlocuteur commercial ou technique habituel chez Polaria Technologies, qui fera suivre la demande aux personnes compétentes en interne.

Le Client devra de son côté fournir à Polaria Technologies les coordonnées de son propre référent pour les questions de protection des données (par exemple, le DPO ou correspondant Informatique & Libertés du Client, s’il en a désigné un). Ce contact servira pour l’envoi par Polaria Technologies de toute information relative aux données (notification de violation, information sur un nouveau sous-traitant, etc.). Il appartient au Client de maintenir à jour ces informations de contact et de notifier Polaria Technologies en cas de changement.

Loi Applicable et Juridiction

Le présent Accord est régi par le droit français, y compris pour ce qui concerne sa validité, son interprétation, son exécution ou sa résiliation, et ce sans préjudice de l’application directe du RGPD et des lois impératives applicables localement au Client le cas échéant. En cas de différend relatif à l’interprétation ou l’exécution de cet Accord, les Parties s’efforceront de résoudre amiablement le litige dans un esprit de coopération et de bonne foi. À défaut d’accord amiable, et sous réserve des dispositions légales impératives plus protectrices, les tribunaux compétents du ressort du siège de Polaria Technologies (à savoir les tribunaux de Paris, France) seront seuls compétents pour connaître de tout litige découlant du présent DPA, y compris, le cas échéant, en référé ou en requête.

Cette clause de juridiction s’applique sous réserve que le tribunal compétent en vertu du contrat principal liant les Parties soit situé dans un État membre de l’Union européenne. Si le contrat principal prévoit une autre juridiction ou loi applicable, il pourra être fait exception aux dispositions ci-dessus, à condition que cela n’entraîne pas de diminution des garanties de protection des données prévues par le présent DPA et par le RGPD. En tout état de cause, le RGPD demeure applicable aux Traitements entrant dans son champ d’application territorial, et toute clause du présent Accord sera interprétée à la lumière de ce règlement.

Fait à Paris, en deux exemplaires numériques, à la date de la dernière acceptation électronique. Les Parties déclarent avoir lu, compris et accepté le contenu du présent Data Processing Agreement qui entre en vigueur dès son acceptation par le Client via le procédé prévu (signature électronique, validation en ligne, ou acceptation tacite des conditions générales incluant ce DPA).

Curieux d'en savoir plus ? Réservez une démo gratuite de 30 minutes avec notre équipe dès aujourd'hui !

Réserver une démo
Notre produit IA
100% souverain