Accord de traitement des données

Pour les données importées par le client dans ses projets, Client Rooms, fichiers, prompts, mémoires et livrables, le client agit en principe comme responsable de traitement et Alfred OS comme sous-traitant. Pour les données de compte, facturation, sécurité et prospection, Alfred OS peut agir comme responsable de traitement distinct.

Alfred OS traite les données personnelles uniquement selon les instructions documentées du client, notamment pour fournir le Service, orchestrer les agents, produire les livrables, assurer le support, la sécurité et la facturation.

• ·Données d’identité et de contact.
• ·Données professionnelles.
• ·Données de projet, prompts, fichiers, commentaires et livrables.
• ·Journaux techniques, audit logs et métadonnées de sécurité.
• ·Données de paiement limitées aux informations nécessaires, les données carte étant traitées par le prestataire de paiement.

Alfred OS peut recourir à des sous-traitants ultérieurs pour l’hébergement, le paiement, l’email, les modèles IA, le monitoring et le support. La liste doit être tenue à jour : [registre sous-traitants]. Le client est informé des changements substantiels selon les modalités contractuelles.

Tout transfert hors de l’Espace économique européen doit être encadré par un mécanisme reconnu par le RGPD : décision d’adéquation, clauses contractuelles types, mesures complémentaires ou autre garantie applicable. Les fournisseurs LLM doivent être listés explicitement.

• ·Chiffrement en transit.
• ·Contrôle d’accès et séparation des tenants.
• ·RLS Supabase ou garde équivalente.
• ·Journalisation des actions sensibles.
• ·Validation humaine pour actions sensibles.
• ·Gestion des secrets côté serveur uniquement.
• ·Procédure de notification d’incident.

À la fin du contrat, Alfred OS supprime ou restitue les données traitées pour le compte du client selon ses instructions, sauf obligation légale de conservation. Les délais opérationnels doivent être précisés : [délais suppression/export].