Entreprise

L'accord de traitement des données RGPD, expliqué

Périmètre du traitement, sous-traitants, mécanismes de transfert et exécution — ce que couvre le DPA et le parcours exact que suit votre équipe confidentialité pour le faire signer.

L'accord de traitement des données RGPD de Ciao est le contrat qui régit la façon dont Ciao traite les données personnelles en votre nom : le périmètre du traitement, les sous-traitants impliqués — y compris les fournisseurs de modèles opérant sous des contrats de rétention zéro — et les mécanismes de transfert applicables. Contrairement aux fournisseurs qui traitent le DPA comme un détail secondaire, Ciao l'achemine via un parcours d'achat défini afin que votre équipe juridique examine et exécute des documents réels, pas des résumés.

Idéal pourRevue confidentialité et DPOIntégration fournisseur RGPDDiligence raisonnable sur les sous-traitants

Publié 2026-07-03 · Dernière mise à jour 2026-07-03

Pourquoi le DPA est l'endroit où les plateformes IA achoppent

Pour une équipe confidentialité européenne — ou toute équipe servant des utilisateurs européens — le DPA n'est pas de la paperasse, c'est le contrôle. Il définit ce que le sous-traitant peut faire des données personnelles, quels sous-traitants ultérieurs y touchent, et sur quelle base légale les données franchissent les frontières. Une plateforme de développement IA ajoute une couche que les anciens modèles de DPA n'ont jamais anticipée : les fournisseurs de modèles, situés dans la chaîne de traitement, avec leur propre comportement de rétention.

C'est là que de nombreuses évaluations d'outils IA s'enlisent. La démonstration du produit se passe bien, puis le service confidentialité demande la liste des sous-traitants et les conditions de rétention du fournisseur de modèle, et la réponse du fournisseur est un fil de ticket support. Des semaines passent. Des contrats — et des projets internes — meurent dans cet écart, non parce que la réponse était mauvaise mais parce que personne ne l'avait consignée par écrit.

L'approche de Ciao consiste à faire du DPA un document d'achat de premier ordre. L'accord couvre le traitement effectué par Ciao pour exploiter la plateforme, nomme les catégories de sous-traitants impliqués, et s'accompagne des engagements que vos évaluateurs voudront voir à côté : le code client n'est pas utilisé pour entraîner des modèles, l'inférence s'exécute sous des contrats de rétention zéro, et les rapports SOC 2 Type II sont disponibles sous NDA.

Ce que couvre le DPA

  • Périmètre et rôles du traitement — Ce que Ciao traite en votre nom pour exploiter la plateforme, dans quel rôle, et à quelle fin — le socle responsable-sous-traitant sur lequel repose votre évaluation de confidentialité.
  • Sous-traitants — Les catégories de sous-traitants derrière la plateforme — infrastructure cloud et fournisseurs de modèles parmi eux — avec la liste actuelle maintenue dans le cadre de l'ensemble documentaire du DPA que votre équipe examine avant signature.
  • Fournisseurs de modèles inclus dans le cadre — La couche modèle est traitée comme faisant partie de la chaîne de traitement, pas comme une exception à celle-ci : l'inférence s'exécute sous des contrats de rétention zéro, et le code client n'est pas utilisé pour entraîner des modèles.
  • Mécanismes de transfert — Les mécanismes légaux applicables à tout transfert transfrontalier sont documentés dans l'accord, si bien que votre DPO évalue un langage réel plutôt que des assurances.
  • Postures de déploiement qui réduisent la question — Déployer sur votre propre compte AWS, Azure ou GCP, un VPC privé, ou sur site selon des conditions distinctes conserve les données d'application au sein d'une infrastructure que vous contrôlez, simplifiant l'analyse de résidence. Voir la page résidence des données pour cette dimension.
  • Mesures de sécurité adossées à des preuves — Les mesures techniques et organisationnelles référencées par le DPA renvoient à des artefacts vérifiables : rapports SOC 2 Type II sous NDA et dossier de sécurité sur demande.

Comment exécuter le DPA

  1. 1. Demander l'ensemble des documents

    Contactez l'équipe entreprise via la page de contact et demandez le DPA aux côtés du dossier de sécurité — ils sont conçus pour être examinés ensemble.

  2. 2. Examiner le périmètre et les sous-traitants

    Votre équipe confidentialité fait correspondre la description du traitement et la liste des sous-traitants à vos registres de traitement et à votre référentiel de risque.

  3. 3. Évaluer la couche modèle

    Examinez les engagements de rétention zéro et de non-entraînement dans le cadre du même exercice ; si vous apportez vos propres clés ou points de terminaison de modèle, vos conditions fournisseur existantes s'intègrent à l'analyse.

  4. 4. Résoudre les questions avec un interlocuteur

    Les questions sur le DPA sont acheminées vers l'équipe entreprise dans le cadre de l'achat — un processus nommé, pas un forum communautaire.

  5. 5. Exécuter et classer

    Le DPA signé fait partie de votre dossier fournisseur avec le rapport SOC 2 Type II examiné sous NDA, donnant à vos auditeurs un ensemble de preuves cohérent.

Notes de vérification et commerciales

Une page comme celle-ci ne peut se substituer à l'accord lui-même, et ne le tente pas : le DPA, la liste des sous-traitants et les conditions de traitement des données sont des documents que votre équipe juridique lit intégralement lors de l'achat. Ce à quoi cette page s'engage, c'est le parcours — demande via la page de contact, examen avec un interlocuteur entreprise nommé, exécution dans le cadre de l'engagement. L'exécution du DPA est incluse dans l'achat entreprise plutôt que vendue séparément ; les programmes de production sérieux démarrent à 10 000 USD par an. Rien ici n'est un conseil juridique — c'est une description du flux de travail et des documents, pour les personnes dont le métier est de les évaluer.

Un conseil pratique des équipes qui ont mené cette revue rapidement : paralléliser. Envoyez le DPA à la confidentialité, le rapport SOC 2 Type II à la sécurité et les conditions commerciales aux achats la même semaine — l'ensemble documentaire est conçu pour que les trois revues ne se bloquent pas mutuellement, et l'équipe entreprise peut traiter les trois fils à la fois.

La liste de contrôle de l'évaluateur du DPA, cartographiée

Question de l'évaluateurOù se trouve la réponse
Quel traitement le fournisseur effectue-t-il ?Périmètre du traitement dans le DPA
Qui sont les sous-traitants ?Liste des sous-traitants dans l'ensemble documentaire du DPA
Les fournisseurs de modèles retiennent-ils ou entraînent-ils sur nos données ?Contrats de rétention zéro pour les modèles ; pas d'entraînement sur le code client — conditions contractuelles
Quels mécanismes de transfert s'appliquent ?Dispositions de transfert dans le DPA
Quelles mesures de sécurité appuient cela ?Rapport SOC 2 Type II sous NDA ; dossier de sécurité sur demande
Où s'exécutent physiquement les données d'application ?Posture de déploiement : cloud Ciao, votre compte cloud, VPC privé, ou sur site selon des conditions distinctes

Questions fréquentes

Comment obtenons-nous le DPA ?

Demandez-le via la page de contact dans le cadre d'une conversation entreprise. Il arrive avec le dossier de sécurité et les conditions de traitement des données afin que vos revues confidentialité et sécurité puissent se dérouler en parallèle plutôt qu'en séquence.

Les fournisseurs de modèles sont-ils listés comme sous-traitants ?

La couche modèle est documentée dans le cadre de la chaîne de traitement de l'ensemble documentaire du DPA, avec les engagements qui comptent le plus : l'inférence s'exécute sous des contrats de rétention zéro, et le code client n'est pas utilisé pour entraîner des modèles.

Comment les changements de sous-traitants sont-ils communiqués ?

Le mécanisme de notification est défini dans le DPA lui-même — votre équipe examine les conditions exactes lors de l'achat plutôt que de s'appuyer sur une paraphrase ici. La liste actuelle des sous-traitants fait partie de l'ensemble documentaire que vous recevez.

Déployer dans notre propre cloud change-t-il l'analyse du DPA ?

Cela la restreint. Lorsque l'application s'exécute dans votre propre compte AWS, Azure ou GCP, un VPC privé, ou sur site selon des conditions distinctes, les données d'application restent au sein d'une infrastructure que vous contrôlez, ce qui simplifie les questions de résidence et de transfert auxquelles votre DPO doit répondre.

Notre conseil externe peut-il examiner avant l'engagement commercial ?

Oui. Le DPA et le dossier de sécurité sont partagés lors de l'achat précisément pour que la revue juridique ait lieu avant la signature, aux côtés du rapport SOC 2 Type II sous NDA. Impliquez votre conseil aussi tôt que vous le souhaitez — les documents sont prêts pour lui.

Pages associées

Obtenez le dossier sécurité.

DPA RGPD : périmètre, sous-traitants, signature | Ciao