Connexion Démarrer

RGPD — Article 28

Accord de traitement des données personnelles

Engagements de Netaix en tant que sous-traitant de vos données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD).

Version 1.0 — En vigueur à compter du 11 avril 2026

En résumé : Vos données sont hébergées en France chez OVH. Netaix ne les utilise jamais pour entraîner des modèles d'IA. Seul le contenu de vos messages est transmis au fournisseur du modèle IA choisi, sans donnée d'identification. Vous pouvez exporter ou supprimer toutes vos données à tout moment.

Article 1 — Définitions

  • Données à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (article 4(1) du RGPD).
  • Traitement : toute opération appliquée à des données personnelles (article 4(2) du RGPD).
  • Responsable de traitement : le Client, qui détermine les finalités et les moyens du traitement.
  • Sous-traitant : NETAIX, qui traite des données personnelles pour le compte du Client.
  • Sous-traitant ultérieur : tout prestataire engagé par NETAIX pour effectuer des opérations de traitement pour le compte du Client.
  • Violation de données : violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles (article 4(12) du RGPD).
  • Workspace : espace de travail isolé attribué au Client, tel que défini dans les CGV.

Article 2 — Objet et durée du traitement

2.1 Objet

Le présent Accord définit les obligations respectives des parties en matière de protection des données personnelles traitées par NETAIX, agissant en qualité de sous-traitant, pour le compte du Client, agissant en qualité de responsable de traitement, dans le cadre de la fourniture du service Netaix.

2.2 Durée

Le présent Accord est conclu pour la durée de l'utilisation du service par le Client, quel que soit son plan (y compris le plan Découverte). Il prend effet à la date de création du compte et reste en vigueur aussi longtemps que NETAIX traite des données personnelles pour le compte du Client.

Les obligations relatives à la confidentialité et à la sécurité des données survivent à la résiliation pour une durée de trois (3) ans.

Article 3 — Nature et finalité du traitement

3.1 Nature du traitement

NETAIX effectue les opérations de traitement suivantes pour le compte du Client :

  • Collecte : réception des données saisies par le Client et ses membres via l'interface du service.
  • Enregistrement et conservation : stockage dans la base de données PostgreSQL hébergée en France (OVH).
  • Isolation : cloisonnement des données par workspace (architecture multi-tenant).
  • Transmission : envoi des requêtes de conversation aux fournisseurs de modèles d'intelligence artificielle.
  • Chiffrement : chiffrement des données sensibles (clés API personnelles) via le protocole Fernet.
  • Restitution : mise à disposition des données en cas de demande d'export.
  • Effacement : suppression des données en fin de contrat.

3.2 Finalité du traitement

Les données personnelles sont traitées exclusivement aux fins suivantes :

  • Fourniture du service : exécution des fonctionnalités de la plateforme Netaix (chat IA, gestion de workspace, suivi de consommation).
  • Acheminement des requêtes IA : transmission des requêtes de conversation aux modèles d'intelligence artificielle pour génération de réponses.
  • Gestion des comptes : administration des comptes membres du workspace.
  • Suivi de consommation : décompte et affichage de l'usage des crédits IA.
  • Sécurité et audit : journalisation des accès et des actions sensibles.
  • Support technique : traitement des demandes d'assistance.

NETAIX s'engage à ne pas traiter les données personnelles à d'autres fins que celles strictement nécessaires à l'exécution du service.

Article 4 — Types de données personnelles traitées

Catégorie Données Classification
Identification Nom d'affichage, adresse email professionnelle C2 — Sensible
Authentification Hash du mot de passe (bcrypt), secret TOTP (2FA) C3 — Très sensible
Conversations IA Contenu textuel des échanges entre les membres et les modèles IA C2 — Sensible
Clés API (BYOK) Clés d'accès aux API fournisseurs, chiffrées Fernet C3 — Très sensible
Connexion Adresses IP, dates et heures de connexion, user-agent C1 — Interne
Consommation Volume de crédits IA consommés, modèles utilisés, timestamps C1 — Interne
Fichiers joints Documents et images téléchargés dans les conversations C2 — Sensible
Paramètres Configuration du workspace, branding, préférences C0 — Public
Données sensibles (article 9 RGPD) : NETAIX ne collecte ni ne traite intentionnellement de catégories particulières de données au sens de l'article 9 du RGPD (données de santé, opinions politiques, orientation sexuelle, données biométriques, etc.). Le Client s'engage à ne pas transmettre volontairement de telles données via le service, sauf s'il dispose d'une base légale appropriée et en assume l'entière responsabilité.

Article 5 — Catégories de personnes concernées

  • Membres du workspace : salariés, collaborateurs, prestataires ou toute personne physique à laquelle le Client accorde un accès à son workspace.
  • Personnes mentionnées dans les conversations : toute personne physique dont les données personnelles seraient mentionnées par les membres dans leurs échanges avec les modèles IA.
  • Utilisateurs finaux du Client : le cas échéant, toute personne physique dont les données seraient traitées par le Client via le service dans le cadre de ses propres activités.

Engagements NETAIX

Article 6 — Obligations de Netaix (sous-traitant)

Conformément à l'article 28 du RGPD, NETAIX s'engage à :

6.1 Instructions documentées

Traiter les données personnelles uniquement sur instruction documentée du Client. Les présentes CGV, le présent DPA et l'utilisation du service constituent les instructions documentées du Client. Toute instruction supplémentaire doit être communiquée par écrit à contact@netaix.fr.

6.2 Confidentialité

Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

6.3 Sécurité du traitement

Prendre toutes les mesures de sécurité requises en vertu de l'article 32 du RGPD, telles que détaillées à l'Article 9 du présent Accord.

6.4 Coopération — droits des personnes concernées

Aider le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD), notamment :

  • Droit d'accès (art. 15) : fournir au Client les données relatives à une personne concernée.
  • Droit de rectification (art. 16) : modifier les données sur instruction du Client.
  • Droit à l'effacement (art. 17) : supprimer les données sur instruction du Client.
  • Droit à la portabilité (art. 20) : fournir les données dans un format structuré (JSON ou CSV).
  • Droit à la limitation et d'opposition (art. 18, 21) : implémenter les restrictions demandées.

NETAIX s'engage à traiter les demandes d'assistance dans un délai de cinq (5) jours ouvrables.

6.5 Registre des activités de traitement

Tenir un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client, conformément à l'article 30.2 du RGPD.

6.6 Information en cas d'instruction illicite

Informer immédiatement le Client si, de l'avis de NETAIX, une instruction du Client constitue une violation du RGPD ou d'autres dispositions applicables.

Sous-traitants

Article 7 — Sous-traitants ultérieurs

7.1 Autorisation générale

Conformément à l'article 28.2 du RGPD, le Client autorise NETAIX à recourir aux sous-traitants ultérieurs listés ci-dessous (autorisation écrite générale).

7.2 Liste des sous-traitants ultérieurs autorisés

Sous-traitant Pays Traitement Transfert hors UE
OVH SAS
Roubaix, France		 France Hébergement plateforme, base de données, fichiers N/A — France
Mistral AI SAS
Paris, France		 France Traitement des conversations via les modèles Mistral (chat) N/A — France/UE
OpenAI, LLC
San Francisco, USA		 États-Unis Traitement des conversations via les modèles GPT et DALL-E CCT — Décision (UE) 2021/914
Anthropic PBC
San Francisco, USA		 États-Unis Traitement des conversations via les modèles Claude (chat) CCT — Décision (UE) 2021/914
Google LLC
Mountain View, USA		 États-Unis Traitement des conversations via les modèles Gemini (chat) CCT — Décision (UE) 2021/914
Stripe, Inc.
San Francisco, USA		 États-Unis Traitement des paiements CCT — Décision (UE) 2021/914

7.3 Information et droit d'opposition

NETAIX informe le Client par email de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, avec un préavis minimum de trente (30) jours.

Le Client dispose d'un délai de quinze (15) jours pour émettre une opposition motivée par écrit. En cas d'opposition légitime sans solution alternative mutuellement acceptable, le Client pourra résilier le service sans frais, avec restitution des données conformément à l'Article 12.

7.4 Mode BYOK (Bring Your Own Key)

Lorsque le Client utilise ses propres clés API (mode BYOK), le traitement des conversations par le fournisseur IA concerné s'effectue dans le cadre de la relation contractuelle directe entre le Client et ledit fournisseur. NETAIX agit alors en qualité d'intermédiaire technique acheminant les requêtes. Le Client est seul responsable de vérifier la conformité du fournisseur à la réglementation applicable.

Transferts internationaux

Article 8 — Transferts de données hors Union européenne

8.1 Principe

Les données personnelles sont hébergées en France (OVH, Roubaix). Toutefois, certains traitements effectués par les sous-traitants ultérieurs impliquent des transferts vers les États-Unis.

8.2 Base juridique des transferts

Conformément aux articles 44 à 49 du RGPD, les transferts hors UE sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne par Décision d'exécution (UE) 2021/914 du 4 juin 2021, Module 3 (sous-traitant à sous-traitant ultérieur).

8.3 Mesures supplémentaires

Conformément aux recommandations 01/2020 du CEPD post-arrêt « Schrems II », NETAIX met en oeuvre les mesures supplémentaires suivantes :

  • Chiffrement TLS 1.2/1.3 pour tous les échanges avec les sous-traitants ultérieurs.
  • Pas de stockage permanent : les conversations sont transmises par appel API en temps réel et ne sont pas conservées par les fournisseurs (zero data retention ou rétention limitée conformément à leurs DPA respectifs).
  • Clés API BYOK protégées : les clés personnelles ne sont jamais transmises aux fournisseurs IA ; elles sont déchiffrées côté serveur au moment de l'appel, puis immédiatement retirées de la mémoire.
  • Vérification périodique des DPA des sous-traitants et de leurs engagements en matière de réponse aux demandes d'accès gouvernementales.
Choix souverain disponible : pour rester 100 % en France, les clients peuvent sélectionner exclusivement les modèles Mistral dans leur workspace. Aucune donnée ne quitte alors le territoire français.

Sécurité — Article 32 RGPD

Article 9 — Mesures de sécurité techniques et organisationnelles

Conformément à l'article 32 du RGPD, NETAIX met en oeuvre les mesures suivantes :

9.1 Chiffrement

  • En transit : TLS 1.2/1.3 obligatoire pour toutes les communications (HTTPS).
  • Au repos : les données sensibles (clés API, secrets TOTP) sont chiffrées via Fernet (AES-128-CBC + HMAC-SHA256).
  • Mots de passe : hashés avec bcrypt (facteur de coût 12), jamais stockés en clair.

9.2 Isolation des données (multi-tenant)

  • Chaque workspace dispose d'un identifiant unique (workspace_id).
  • Toute requête en base de données est filtrée systématiquement par workspace_id issu du jeton JWT.
  • Aucun accès inter-workspace n'est possible, y compris pour l'administration.

9.3 Authentification et contrôle d'accès

  • Authentification par jeton JWT (HS256), stocké en sessionStorage (non persistant).
  • Double authentification (TOTP 2FA) disponible et recommandée.
  • Gestion des rôles et permissions par workspace.
  • Rate limiting : 5 tentatives/minute/IP sur l'authentification, 60 requêtes/minute/workspace sur l'API.

9.4 Infrastructure

  • Hébergement OVH sur serveurs dédiés en France (datacenter Gravelines / Roubaix).
  • Système d'exploitation Debian GNU/Linux, maintenu à jour.
  • Conteneurisation Docker avec isolation réseau.
  • Reverse proxy Traefik v3 avec certificats TLS Let's Encrypt (renouvellement automatique).
  • Accès SSH sur port non standard, authentification par clé uniquement.
  • Sauvegardes quotidiennes de la base de données, chiffrées GPG, conservées 30 jours.
  • Architecture bi-VPS (production + standby) avec réplication PostgreSQL en streaming.

9.5 Sécurité applicative

  • Headers de sécurité HTTP : X-Content-Type-Options, X-Frame-Options, Cache-Control.
  • Validation stricte des entrées via schémas Pydantic avec contraintes de longueur.
  • Protection contre les injections SQL via l'ORM SQLAlchemy (requêtes paramétrées).
  • Journalisation des actions sensibles via un système d'audit trail.
  • Masquage des données sensibles dans les réponses API et les logs.

9.6 Mesures organisationnelles

  • Accès aux systèmes de production limité au fondateur et aux prestataires expressément autorisés.
  • Principe du moindre privilège pour tous les accès.
  • Revue de code systématique avant mise en production.
  • Veille sur les vulnérabilités (CVE) des dépendances logicielles.
  • Objectif de certification ISO 27001 en cours de mise en oeuvre.

NETAIX s'engage à revoir et mettre à jour les mesures de sécurité au moins une fois par an.

Article 10 — Notification des violations de données

10.1 Délai de notification

En cas de violation de données personnelles, NETAIX notifie le Client dans les meilleurs délais et au plus tard dans les quarante-huit (48) heures après en avoir pris connaissance.

10.2 Contenu de la notification

La notification contient au minimum (article 33.3 du RGPD) :

  • La nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés.
  • Le nom et les coordonnées du point de contact de NETAIX.
  • Les conséquences probables de la violation.
  • Les mesures prises ou proposées pour y remédier et en atténuer les conséquences.

10.3 Coopération

NETAIX aide le Client à s'acquitter de ses propres obligations de notification auprès de la CNIL (article 33 du RGPD) et, le cas échéant, de communication aux personnes concernées (article 34), en fournissant toute information utile.

10.4 Documentation

NETAIX documente toute violation de données et met cette documentation à la disposition du Client et de l'autorité de contrôle sur demande.

Article 11 — Droit d'audit du Client

11.1 Principe

Conformément à l'article 28.3.h du RGPD, NETAIX met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent Accord et permet la réalisation d'audits.

11.2 Modalités

  • Demande écrite à contact@netaix.fr avec un préavis de trente (30) jours ouvrables.
  • Audit réalisé pendant les heures ouvrables, sans perturber le service.
  • Auditeur tiers soumis à des obligations de confidentialité, préalablement agréé par NETAIX.
  • Limité à un (1) audit par année civile, sauf violation avérée ou demande de la CNIL.
  • L'audit porte exclusivement sur les traitements du Client et ne donne pas accès aux données d'autres clients.

11.3 Coûts

Les coûts de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement imputable à NETAIX.

11.4 Suivi

En cas de non-conformité, NETAIX présente un plan d'action correctif dans un délai de quinze (15) jours ouvrables.

Fin de contrat

Article 12 — Sort des données en fin de contrat

12.1 Restitution des données

À l'issue du contrat, le Client peut demander la restitution de l'ensemble de ses données dans un format structuré et lisible par machine (JSON ou CSV). La demande doit être adressée à contact@netaix.fr dans un délai de trente (30) jours suivant la fin du contrat.

NETAIX met les données à disposition dans un délai de quinze (15) jours ouvrables.

12.2 Suppression des données

À l'expiration du délai de trente (30) jours, NETAIX procède à la suppression définitive de l'ensemble des données du workspace, y compris :

  • Données en base (conversations, profils membres, paramètres).
  • Fichiers joints et documents.
  • Sauvegardes contenant des données du Client (dans un délai maximum de 30 jours supplémentaires, correspondant au cycle de rotation).
  • Clés API personnelles chiffrées.

12.3 Attestation de suppression

Sur demande, NETAIX fournit une attestation écrite de suppression dans un délai de quinze (15) jours ouvrables.

12.4 Exceptions — conservation légale

Par exception, NETAIX peut conserver certaines données au-delà du délai de suppression :

  • Données de facturation : 10 ans (article L.123-22 du Code de commerce).
  • Logs de connexion : 12 mois (article 6-II de la LCEN).
  • Données de compte : 3 ans après la fin du contrat (prescription civile, article 2224 du Code civil).

Ces données conservées sont isolées, protégées et non accessibles en usage courant.

Article 13 — Responsabilité et indemnisation

13.1 Responsabilité de NETAIX

NETAIX est responsable des dommages causés par le traitement lorsque celui-ci n'a pas été effectué dans le respect des obligations du RGPD applicables aux sous-traitants, ou lorsque NETAIX a agi en dehors des instructions licites du Client (article 82 du RGPD).

13.2 Limitation de responsabilité

Sans préjudice de l'article 82 du RGPD et des cas de dol ou faute lourde, la responsabilité de NETAIX est limitée au montant total des abonnements effectivement payés par le Client au cours des douze (12) mois précédant le fait générateur, conformément aux CGV.

13.3 Obligations du Client

Le Client est responsable de la licéité des traitements qu'il met en oeuvre via le service. Il s'engage notamment à :

  • Disposer d'une base légale pour chaque traitement (article 6 du RGPD).
  • Informer les personnes concernées (articles 13 et 14 du RGPD).
  • Ne pas traiter de catégories particulières de données (article 9) sans base légale appropriée.
  • Donner des instructions conformes au RGPD.
  • Répondre aux demandes d'exercice de droits dans les délais légaux.

Engagement fort

Article 14 — Non-utilisation pour l'entraînement IA

NETAIX s'engage formellement à ne pas utiliser les données du Client, et notamment les conversations IA, pour entraîner, affiner (fine-tuning) ou améliorer des modèles d'intelligence artificielle, qu'ils soient propres à NETAIX ou fournis par des tiers.

NETAIX utilise exclusivement des API professionnelles dont les conditions contractuelles excluent l'utilisation des données à des fins d'entraînement :

  • OpenAI : API Business — les données ne sont pas utilisées pour l'entraînement.
  • Anthropic : API commerciale — les données ne sont pas utilisées pour l'entraînement par défaut.
  • Mistral AI : API La Plateforme — données non utilisées pour l'entraînement.
  • Google : API Gemini — les données ne sont pas utilisées pour l'entraînement.

Article 15 — Dispositions générales

  • Hiérarchie : en cas de contradiction entre le présent DPA et les CGV, les dispositions du DPA prévalent pour tout ce qui concerne le traitement des données personnelles.
  • Intégralité : le présent Accord constitue, avec les CGV et la Politique de confidentialité, l'intégralité de l'accord en matière de protection des données.
  • Modifications : toute modification fait l'objet d'un avenant écrit. NETAIX peut mettre à jour les annexes techniques (mesures de sécurité, liste des sous-traitants) dans les conditions prévues au présent Accord.
  • Divisibilité : si une stipulation est déclarée non valide, les autres stipulations restent en vigueur.
  • Loi applicable : le présent Accord est soumis au droit français.
  • Juridiction : tout litige relève de la compétence exclusive du Tribunal de commerce de Chambéry (73).

Contact protection des données

NETAIX — Emmanuel LE QUEC

Email : contact@netaix.fr
Pour toute question relative au présent Accord ou au traitement de vos données personnelles.