Data Processing Agreement (DPA) — Trame by JDKL

Accord de traitement des données à caractère personnel Version : 1.1 — brouillon pré-ouverture commerciale (30/04/2026) Base : article 28 du Règlement (UE) 2016/679 (RGPD) Marque commerciale : Trame (Trame Financement, Trame Matériel, Trame Bureau) — éditée par JDKL

À relire par un avocat spécialisé RGPD avant signature d'un premier contrat B2B avec une fédération, une collectivité ou un financeur public. Les grandes DSI proposent souvent leur propre DPA — prévoir la possibilité de l'accepter si ses clauses ne sont pas plus défavorables que celles-ci.

1. Parties

Responsable de traitement (ci-après le « Client ») :

Dénomination : [à compléter par le Client]
Forme juridique : [à compléter]
SIREN : [à compléter]
Adresse : [à compléter]
Représenté par : [nom, qualité]
Contact RGPD : [email]

Sous-traitant (ci-après l'« Éditeur ») :

Judicaël GOELZER, entrepreneur individuel, nom commercial JDKL
SIRET : [en cours d'immatriculation — mai/juin 2026]
Adresse : [adresse à compléter]
Représenté par : Judicaël GOELZER
Contact RGPD : u7332264067@gmail.com

2. Objet et cadre

Le présent DPA définit les conditions dans lesquelles l'Éditeur traite des données à caractère personnel pour le compte du Client, dans le cadre de l'exécution des CGV et de la fourniture du Service SARA by JDKL.

Il constitue une annexe contractuelle aux CGV. En cas de contradiction entre le DPA et les CGV sur le traitement des données personnelles, le DPA prévaut.

L'Éditeur agit en qualité de sous-traitant au sens de l'article 4, 8° et 28 du RGPD. Le Client agit en qualité de responsable de traitement au sens de l'article 4, 7° du RGPD.

Pour certains traitements annexes (facturation de l'abonnement, support, administration du Compte), l'Éditeur agit en tant que responsable de traitement autonome : ces traitements relèvent de sa Politique de confidentialité et non du présent DPA.

3. Description du traitement

3.1. Finalités

Fourniture du Service SARA by JDKL : veille d'appels à projets et dispositifs permanents, matching opportunités/structure, pré-remplissage CERFA, génération de notes d'intention et dossiers, atelier IA, bibliothèque, bilan, gestion de parcours.
Support utilisateur et assistance technique, à la demande du Client.

3.2. Nature des opérations

Collecte, enregistrement, organisation, structuration, conservation, consultation, extraction, utilisation, communication par transmission (aux sous-traitants ultérieurs listés à l'annexe A), rapprochement ou interconnexion interne au Service, limitation, effacement.

3.3. Catégories de personnes concernées

Utilisateurs mandatés par le Client (salariés, bénévoles, élus, prestataires internes, administrateurs).
Contacts référencés dans la fiche structure (dirigeants, représentants, contacts partenaires, financeurs).
Personnes physiques désignées dans les projets, subventions, dossiers de mécénat, documents téléversés (auteurs, bénéficiaires nommés, signataires).

3.4. Catégories de données traitées

Données d'identification : nom, prénom, fonction, coordonnées professionnelles (email, téléphone).
Données de connexion : identifiant, mot de passe (haché), horodatage, adresse IP, journal d'activité.
Données relatives à la structure : informations juridiques, financières, fiscales, territoriales, agréments, partenaires.
Données de projets : descriptifs, budgets, documents téléversés, historique des démarches.
Contenu des échanges avec le support, avec le chat Mimir et dans les outils Trame (rapports d'activité, comptes-rendus, courriers, demandes de prêt de matériel).
Photos ajoutées aux rapports d'activité (Trame Bureau) et aux fiches d'item (Trame Matériel).
Enregistrements audio de réunion (Trame Bureau) et leurs transcriptions automatiques. La voix est une donnée à caractère personnel : le Client doit recueillir l'accord des participants avant tout enregistrement, mentionner explicitement l'usage de l'IA pour la transcription et préciser la durée de conservation. L'Éditeur conserve les fichiers audio pendant la durée maximale précisée à l'article 9.1 ou jusqu'à demande de suppression.
Coordonnées de bénéficiaires externes (Trame Matériel — système de prêt) : nom, email, téléphone, lieu de rattachement des demandeurs externes (animateurs, bénévoles, intervenants).

Aucune donnée sensible au sens de l'article 9 du RGPD n'est sollicitée. Si le Client téléverse un document contenant des données sensibles (état de santé, orientation syndicale ou religieuse, origine, etc.) ou enregistre un audio contenant des informations personnelles sensibles, il reconnaît en assumer la responsabilité et en informe l'Éditeur sans délai afin que des mesures spécifiques soient mises en œuvre le cas échéant (limitation d'accès renforcée, suppression à la demande).

3.4 bis. Traitements par intelligence artificielle

L'Éditeur recourt à des modèles d'IA générative tiers (Anthropic — Claude Sonnet et Claude Haiku) pour les traitements suivants :

structuration de comptes-rendus de réunion à partir de notes brutes ;
transcription d'enregistrements audio (lorsque la fonctionnalité est activée) ;
rédaction de sections de rapport d'activité à partir de notes brutes ;
extraction d'actions et décisions depuis un compte-rendu ;
pré-remplissage de CERFA, génération de notes d'intention, structuration de fiches dispositif ;
analyse de documents officiels téléversés par le Client (règlements d'AAP, statuts) ;
moteur conversationnel Mimir appelable depuis tous les outils Trame.

L'Éditeur garantit, en complément de l'annexe A :

que le sous-traitant Anthropic ne réutilise pas les données API client pour entraîner ses modèles (cf. politique commerciale Anthropic) ;
qu'aucune donnée personnelle n'est transmise à un modèle ouvert (Llama, Mistral, etc.) ni à un tiers non listé en annexe A ;
que les prompts envoyés à l'IA sont conçus pour limiter la quantité de données personnelles transmises (extraction ciblée, masquage des champs non nécessaires) ;
que les sorties IA sont stockées sous le contrôle du Client (DB Trame), supprimables à tout moment via l'interface ou sur demande.

L'Éditeur n'est pas responsable du contenu produit par l'IA (cf. article 11.4 des CGV). Le Client conserve la responsabilité de toute exploitation des sorties IA.

3.5. Durée du traitement

Pour la durée du contrat, augmentée des périodes de conservation post-résiliation prévues à la Politique de confidentialité (notamment 30 jours d'archivage intermédiaire après résiliation du Compte, 10 ans pour la facturation).

4. Obligations de l'Éditeur (sous-traitant)

L'Éditeur s'engage à :

Traiter les données sur instruction documentée du Client, conformément au présent DPA, aux CGV, aux demandes écrites du Client et aux instructions figurant dans l'interface du Service. Il informe immédiatement le Client s'il estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions européennes ou nationales.
Garantir la confidentialité des données : toute personne autorisée à traiter les données pour le compte de l'Éditeur est soumise à une obligation de confidentialité (contractuelle ou légale).
Mettre en œuvre des mesures techniques et organisationnelles appropriées (voir annexe B).
Assister le Client dans le respect de ses obligations en matière de sécurité, de notification de violation, d'analyse d'impact (AIPD) et de consultation préalable de la CNIL. L'assistance raisonnable est comprise dans l'abonnement ; au-delà d'une charge manifestement disproportionnée, un devis peut être présenté.
Permettre au Client d'exercer les droits des personnes concernées : l'Éditeur transmet sans délai les demandes reçues, fournit les outils d'extraction/suppression et procède aux opérations demandées dans le délai raisonnable.
Notifier toute violation de données dans les conditions de l'article 7.
Ne pas recourir à un autre sous-traitant sans autorisation préalable dans les conditions de l'article 6.
Supprimer ou restituer les données à l'issue du contrat dans les conditions de l'article 9.
Mettre à disposition du Client toutes les informations nécessaires pour démontrer la conformité à l'article 28 du RGPD et, le cas échéant, se soumettre aux audits dans les conditions de l'article 8.

5. Obligations du Client (responsable de traitement)

Le Client s'engage à :

fournir à l'Éditeur des instructions documentées, licites et conformes au RGPD ;
garantir la licéité du traitement en amont : information des personnes concernées, base légale adaptée, durée adaptée, proportionnalité ;
n'introduire dans le Service que des données qu'il est habilité à traiter ;
coopérer de bonne foi pour garantir le respect du RGPD ;
désigner un point de contact RGPD unique ;
mettre en œuvre les mesures de sécurité côté Client (gestion rigoureuse des accès utilisateurs, mots de passe, révocation des comptes quittant la structure).

6. Sous-traitants ultérieurs

6.1. Autorisation générale

Le Client autorise l'Éditeur à faire appel aux sous-traitants ultérieurs listés à l'annexe A, nécessaires à la fourniture du Service.

6.2. Information et droit d'opposition

L'Éditeur informe le Client, par email et via la Politique de confidentialité actualisée, de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, au moins 30 jours avant l'activation effective.

Pendant ce délai, le Client peut émettre une opposition motivée par écrit. À défaut d'accord entre les parties dans les 30 jours suivant l'opposition, le Client peut résilier le contrat sans frais ni pénalité, au prorata des prestations fournies.

6.3. Engagements contractuels équivalents

L'Éditeur impose à chaque sous-traitant ultérieur, par contrat écrit, des obligations équivalentes à celles du présent DPA. L'Éditeur reste entièrement responsable vis-à-vis du Client des manquements éventuels de ses sous-traitants ultérieurs.

7. Notification des violations de données

7.1. Délai

L'Éditeur notifie au Client toute violation de données à caractère personnel (au sens de l'article 4.12 du RGPD) dans un délai maximum de 48 heures après en avoir pris connaissance.

7.2. Contenu de la notification

La notification comprend au minimum :

la nature de la violation (confidentialité, intégrité, disponibilité) ;
les catégories et le volume approximatif de personnes concernées et d'enregistrements affectés ;
les conséquences probables ;
les mesures prises ou proposées pour remédier à la violation et, le cas échéant, pour en atténuer les conséquences ;
le point de contact pour toute information complémentaire.

7.3. Coopération

L'Éditeur coopère avec le Client pour permettre à ce dernier, si requis :

de notifier la CNIL dans le délai de 72 heures (article 33 RGPD) ;
d'informer les personnes concernées (article 34 RGPD) ;
de documenter la violation et sa gestion.

8. Audits

8.1. Documentation mise à disposition

L'Éditeur met à disposition du Client, sur simple demande écrite et dans un délai raisonnable :

la liste actualisée des sous-traitants ultérieurs ;
la description des mesures techniques et organisationnelles (annexe B) ;
les DPA signés avec les sous-traitants ultérieurs (sur demande motivée) ;
les éventuels rapports d'audit ou de conformité dont il dispose.

8.2. Audit sur site

Le Client peut, une fois par an et à ses frais, mandater un auditeur indépendant (non concurrent de l'Éditeur) pour un audit limité à la conformité au présent DPA.

Les modalités sont convenues au moins 30 jours à l'avance :

périmètre précis ;
durée (maximum 3 jours ouvrés) ;
signature préalable d'un engagement de confidentialité par l'auditeur ;
respect des contraintes opérationnelles de l'Éditeur ;
prise en charge par le Client des frais raisonnables mobilisés par l'Éditeur au-delà d'une demi-journée/an.

L'audit de type « pentest » ou test d'intrusion nécessite une autorisation écrite spécifique définissant le périmètre, la fenêtre temporelle et les règles d'engagement.

9. Fin du contrat

À l'issue du contrat (résiliation, non-renouvellement, cessation), et sous 30 jours :

l'Éditeur permet au Client d'exporter les données (interface dédiée, format JSON ou CSV) ;
passé ce délai, l'Éditeur supprime l'ensemble des données personnelles confiées, à l'exception de celles soumises à une obligation légale de conservation (notamment les données de facturation — 10 ans, article L123-22 du Code de commerce — conservées sous accès restreint).

L'Éditeur atteste par écrit, sur demande, de la suppression effective.

10. Transferts hors Union européenne

10.1. Principe

Certains sous-traitants ultérieurs listés à l'annexe A peuvent traiter les données depuis les États-Unis (Railway, Anthropic, Stripe pour l'infrastructure globale, Brave).

10.2. Encadrement

Les transferts sont encadrés :

par la décision d'adéquation Data Privacy Framework du 10 juillet 2023 pour les sous-traitants certifiés DPF ;
à défaut, par les clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 du 4 juin 2021, dans leurs modules appropriés ;
le cas échéant, par des mesures techniques supplémentaires : chiffrement en transit (TLS 1.2+), chiffrement au repos des bases de données.

10.3. Option « UE strict » — engagement conditionnel

Si le Client est un acteur public ou para-public pour lequel un hébergement strictement UE est une exigence contractuelle, les parties peuvent convenir d'une migration vers un hébergeur UE natif (Scaleway, OVH Cloud, Clever Cloud). Cette option est soumise à un avenant technique et tarifaire.

11. Responsabilité

Chaque partie est responsable des dommages causés par son manquement à ses obligations. La responsabilité financière de l'Éditeur au titre du présent DPA est soumise, sauf dol, faute lourde ou dommage corporel, au plafond défini à l'article 11.3 des CGV (douze mois de sommes effectivement payées par le Client).

Les sanctions administratives prononcées directement contre le Client par la CNIL ou une autorité équivalente, au titre d'un manquement propre au Client, ne sont pas imputables à l'Éditeur.

12. Entrée en vigueur et durée

Le DPA entre en vigueur à la date de signature ou, à défaut, à la date d'acceptation des CGV. Il reste en vigueur tant que l'Éditeur traite des données personnelles pour le compte du Client. Les clauses applicables à la restitution, à la suppression et à la confidentialité survivent à la fin du contrat.

13. Droit applicable et juridiction

Droit français. Compétence exclusive des tribunaux du ressort du siège de l'Éditeur.

Signatures

Pour le Client : Nom, prénom, qualité : .......................................... Date : .......................... Signature :

Pour l'Éditeur : Judicaël GOELZER, JDKL Date : .......................... Signature :

Annexe A — Liste des sous-traitants ultérieurs

Liste à jour au [date à compléter]. Version en ligne : agent-aap.up.railway.app/sous-traitants (à publier une fois le service ouvert).

#	Sous-traitant	Rôle	Données transmises	Pays de traitement	Encadrement transferts
1	Railway Corp. (2261 Market St #4059, San Francisco, CA 94114, USA)	Hébergement applicatif et bases de données (infrastructure Google Cloud sous-jacente)	Toutes les données du Service (stockage)	USA + UE selon région	DPA Railway + CCT + DPF
2	Anthropic PBC (548 Market St PMB 90375, San Francisco, CA 94104, USA)	Modèles Claude (Sonnet, Haiku) pour extraction, scoring, chat atelier	Contenu Client transmis aux requêtes IA (fiche structure, extraits de documents, texte des AAP)	USA	DPA Anthropic + CCT + engagement « no training on customer data » + rétention ≤ 30 jours
3	Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Dublin 2, Irlande)	Encaissement carte bancaire et SEPA, facturation	Identité du titulaire, email, adresse de facturation, SIRET, statut de paiement	Irlande + USA (infrastructure globale)	DPA Stripe + CCT + certification PCI-DSS N1
4	Zoho Corporation B.V. (région EU)	Boîte email professionnelle `u7332264067@gmail.com`, messages support	Messages échangés avec le support	UE (région EU Zoho)	DPA Zoho + CCT
5	Brave Software, Inc. (512 2nd Street, 2nd Floor, San Francisco, CA 94107, USA)	API Brave Search — veille sur mots-clés	Mots-clés de veille (pas de données personnelles du Client)	USA	Uniquement requêtes, aucune donnée personnelle client transmise
6	Aides-territoires (Direction interministérielle du numérique, France)	API publique de veille (Open License Etalab v2.0)	Uniquement des requêtes paramétrées (aucune donnée personnelle)	France	API publique, Licence Ouverte Etalab
7	Gandi SAS (63-65 boulevard Masséna, 75013 Paris)	Gestion des noms de domaine et DNS	Aucune donnée du Service	France	Non concerné (pas de traitement de données personnelles du Service)

Modifications :

Ajout ou remplacement : information du Client 30 jours à l'avance (voir article 6.2).
Retrait : simple information au renouvellement de la politique de confidentialité.

Annexe B — Mesures techniques et organisationnelles

B.1. Sécurité applicative

HTTPS/TLS 1.2 minimum sur l'ensemble des connexions entrantes et sortantes.
Pare-feu applicatif au niveau de l'hébergeur (Railway).
Protection contre les attaques CSRF, XSS, injection SQL (validation côté serveur, ORM paramétré, en-têtes de sécurité).
Rate limiting sur les points d'entrée sensibles.
Gestion des secrets via variables d'environnement isolées.
Clé de signature de session (SECRET_KEY) générée aléatoirement et stockée hors code.

B.2. Sécurité des données au repos

Chiffrement du disque côté hébergeur (Railway/GCP AES-256 ou équivalent).
Hachage des mots de passe avec algorithme à facteur de coût configurable (Werkzeug/PBKDF2 ou bcrypt).
Séparation stricte environnement de développement / environnement de production.
Pas de données personnelles en environnement de développement autre que des jeux de test fictifs.

B.3. Sauvegardes

Sauvegardes automatiques régulières du SGBD par l'hébergeur.
Tests de restauration périodiques.
Conservation des sauvegardes pour une durée bornée et alignée sur les durées de conservation applicables.

B.4. Gestion des accès

Accès administrateur au back-office réservé à Judicaël GOELZER.
Authentification forte du compte administrateur (mot de passe long unique + gestionnaire de mots de passe ; activation 2FA recommandée dès que l'outil le permet).
Principe du moindre privilège sur les accès techniques (bases, logs, plateformes tierces).
Traçabilité des actions administratives sensibles.

B.5. Journaux d'accès applicatifs

Journaux d'accès techniques (connexions, requêtes, erreurs) conservés 12 mois maximum (recommandation CNIL / ordonnance n° 2021-1017).
Pas de journalisation du contenu des échanges de l'atelier IA au-delà de la durée nécessaire au fonctionnement du Service.

B.6. Gestion des incidents

Procédure écrite de gestion d'incident : détection, qualification, contention, notification, post-mortem.
Point de contact unique : u7332264067@gmail.com.
Délai cible de notification au Client en cas de violation : 48 h (cf. article 7).

B.7. Formation et sensibilisation

L'Éditeur maintient à jour ses connaissances sur la sécurité et le RGPD (formations, veille).
Tout intervenant (salarié, stagiaire, prestataire) signe une clause de confidentialité avant tout accès.

B.8. Limitations assumées au lancement

Au lancement du Service, l'Éditeur n'a pas mis en place :

test d'intrusion annuel externe (prévu au premier gros contrat fédération) ;
certification HDS, ISO 27001 ou équivalent (prévu seulement si requis par un client et économiquement soutenable) ;
SOC 24/7 (hors périmètre d'une micro-entreprise — supervision basique via alertes Railway et monitoring applicatif).

Ces limitations sont rendues transparentes dès le premier échange commercial et ne sont pas un motif pour engager des garanties au-delà des CGV.

Brouillon généré en session du 18/04/2026. À faire relire par un avocat spécialisé RGPD avant signature d'un premier contrat B2B avec un financeur public, une fédération nationale ou une collectivité. Placeholders à compléter : SIRET, adresse, identité du Client, date.

Accord de traitement des données (DPA)