Aegis – Contrat de sous-traitance de données

État au : 27 mars 2026

Contrat de sous-traitance de données (DPA)

conformément à l'art. 28, par. 3 du Règlement (UE) 2016/679 (Règlement général sur la protection des données — RGPD)

entre

l’utilisateur du service Aegis — y compris l’extension Chrome et la démo du site web (ci-après le « Responsable du traitement »)

et

Kaino GmbH
Grabenweg 68, 4. OG E5_2
6020 Innsbruck, Autriche
TVA : ATU77867578 · FN : 573644w
E-mail : aegis@kaino.io
(ci-après le « Sous-traitant »)

— ci-après dénommés ensemble les « Parties » —

§ 1 Objet et durée du traitement

1.1 Objet

Le présent contrat régit les droits et obligations des parties dans le cadre du traitement de données à caractère personnel par le sous-traitant pour le compte du responsable du traitement. Il précise les obligations des parties en matière de protection des données découlant de l’utilisation du service Aegis — y compris tous les tarifs (PLUS, PRO et ENTERPRISE) ainsi que la démonstration du site web proposée sur la page du produit (« Try It »).

Le sous-traitant traite les données à caractère personnel exclusivement pour le compte et selon les instructions documentées du responsable du traitement (art. 28, par. 3, point a du RGPD), à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis. Dans un tel cas, le sous-traitant informe le responsable du traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d’intérêt public.

1.2 Durée

Pour les abonnés, le présent contrat entre en vigueur dès la conclusion de l’abonnement (Aegis PLUS ou Aegis PRO) et prend fin automatiquement à la résiliation de l’abonnement, quel qu’en soit le motif. Pour l’utilisation de la démonstration du site web, le présent contrat entre en vigueur lors du téléchargement d’un document et prend fin à l’issue du traitement respectif. Les obligations découlant des §§ 5, 7, 8 et 10 subsistent au-delà de la fin du contrat, le droit d’audit selon le § 8 étant limité à 60 jours après la fin du contrat.

§ 2 Nature et finalité du traitement

2.1 Finalité

Détection et anonymisation des données à caractère personnel dans les documents du responsable du traitement au moyen d’un traitement assisté par l’IA, avant que ces documents ne soient transmis à des plateformes de chat IA (telles que ChatGPT, Claude ou Gemini).

2.2 Nature du traitement

  • Réception de contenus de documents chiffrés (HTTPS/TLS)
  • Détection de données à caractère personnel assistée par IA (Reconnaissance d’entités nommées)
  • Traitement OCR pour les fichiers images (PNG, JPEG, TIFF)
  • Suppression des métadonnées intégrées dans les fichiers images
  • Remplacement des données à caractère personnel détectées par des espaces réservés
  • Restitution du texte anonymisé et de l’attribution des espaces réservés au responsable du traitement

2.3 Absence de stockage

Les contenus des documents ne sont pas conservés par le sous-traitant après le traitement. Le traitement s’effectue exclusivement dans la mémoire vive (In-Memory-Processing). Après la restitution du résultat, toutes les données du document sont immédiatement supprimées.

2.4 Aucun entraînement de modèle

Les contenus des documents ne sont utilisés ni par le sous-traitant ni par les sous-traitants ultérieurs mentionnés au § 6.1 pour l’entraînement ou l’amélioration de modèles d’IA.

§ 3 Nature des données à caractère personnel et catégories de personnes concernées

3.1 Types de données à caractère personnel

Les documents du responsable du traitement peuvent notamment contenir les catégories de données à caractère personnel suivantes :

  • Noms (prénoms et noms de famille, titres académiques)
  • Coordonnées (adresses e-mail, numéros de téléphone, adresses postales)
  • Numéros d’identification (numéros de sécurité sociale, numéros de pièces d’identité)
  • Informations financières (numéros de cartes de crédit, coordonnées bancaires)
  • Dates de naissance
  • Adresses IP
  • Autres données à caractère personnel contenues dans les documents

Catégories particulières de données à caractère personnel (art. 9 du RGPD) : Le responsable du traitement est chargé de veiller à ce que le traitement de catégories particulières de données à caractère personnel (par ex. données de santé, données biométriques) n’ait lieu que si une base juridique conformément à l’art. 9, par. 2 du RGPD est présente. Le sous-traitant ne peut techniquement pas déterminer à l’avance la présence de telles données.

3.2 Catégories de personnes concernées

Selon les documents du responsable du traitement, les personnes concernées peuvent être :

  • Employés et candidats du responsable du traitement
  • Clients et partenaires commerciaux du responsable du traitement
  • Patients, mandants, clients
  • Autres personnes physiques mentionnées dans les documents

§ 4 Obligations du responsable du traitement

Le responsable du traitement est seul responsable de la licéité du traitement des données à caractère personnel. Il garantit notamment :

  1. qu’il dispose d’une base juridique appropriée pour la transmission de données à caractère personnel de tiers au sous-traitant (par ex. art. 6, par. 1, point f du RGPD — intérêt légitime à l’anonymisation) ;
  2. qu’il a informé les personnes concernées du traitement, dans la mesure où cela est raisonnable et légalement requis (art. 13, 14 du RGPD) ;
  3. qu’il a évalué de manière autonome les risques pour les droits et libertés des personnes concernées avant la transmission ;
  4. que les instructions données au sous-traitant sont conformes au RGPD.

§ 5 Obligations du sous-traitant

5.1 Respect des instructions

Le sous-traitant traite les données à caractère personnel exclusivement sur instruction documentée du responsable du traitement — y compris en ce qui concerne le transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale —, à moins qu’il ne soit tenu d’y procéder en vertu du droit de l’Union ou du droit de l’État membre auquel il est soumis (art. 28, par. 3, point a du RGPD).

L’utilisation du service Aegis conformément aux conditions d’utilisation en vigueur constitue l’instruction documentée du responsable du traitement. Toute instruction individuelle complémentaire doit être formulée par écrit (un e-mail suffit) à aegis@kaino.io.

5.2 Confidentialité

Le sous-traitant garantit que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de secret (art. 28, par. 3, point b du RGPD).

5.3 Mesures techniques et organisationnelles

Le sous-traitant prend toutes les mesures techniques et organisationnelles requises en vertu de l’art. 32 du RGPD afin de garantir un niveau de sécurité adapté au risque. Les mesures sont décrites dans l’Annexe 1 (à la fin du présent contrat).

5.4 Assistance au responsable du traitement

Le sous-traitant aide le responsable du traitement, compte tenu de la nature du traitement :

  1. à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits prévus au chapitre III du RGPD (art. 28, par. 3, point e du RGPD) ;
  2. à respecter les obligations prévues aux art. 32 à 36 du RGPD (sécurité du traitement, notification de violations de données à caractère personnel, analyse d’impact relative à la protection des données, consultation préalable) (art. 28, par. 3, point f du RGPD).

5.5 Notification de violations de données

Le sous-traitant informe le responsable du traitement sans délai après avoir pris connaissance d’une violation de données à caractère personnel (art. 33, par. 2 du RGPD). La notification contient au moins :

  • une description de la nature de la violation ;
  • les catégories et le nombre approximatif de personnes et de fichiers concernés ;
  • une description des conséquences probables ;
  • une description des mesures prises ou proposées.

La notification est effectuée par e-mail à l’adresse e-mail du responsable du traitement renseignée lors de l’abonnement. Pour les utilisateurs de la démonstration du site web dont l’adresse e-mail n’est pas connue du sous-traitant, la notification s’effectue par publication sur le site web du sous-traitant.

5.6 Information en cas d’instructions illicites

Le sous-traitant informe immédiatement le responsable du traitement s’il estime qu’une instruction constitue une violation du RGPD ou d’autres dispositions relatives à la protection des données (art. 28, par. 3, alinéa 2 du RGPD).

§ 6 Sous-traitants ultérieurs

6.1 Sous-traitants ultérieurs autorisés

Le responsable du traitement donne par la présente au sous-traitant une autorisation écrite générale pour le recrutement des sous-traitants ultérieurs suivants (art. 28, par. 2 du RGPD) :

Sous-traitant ultérieur Finalité Lieu
OVHCloud SAS, Roubaix, France Anonymisation assistée par l’IA et traitement OCR des contenus de documents (Zero Data Retention) UE (France)
Scaleway SAS, Paris, France Anonymisation assistée par IA et traitement OCR du contenu des documents (Zero Data Retention) UE (France)
Hetzner Online GmbH, Gunzenhausen, Allemagne Hébergement de serveurs et infrastructure API (aegis.kaino.io) Allemagne
Raidboxes GmbH, Münster, Allemagne Hébergement du site web et traitement des téléchargements de documents de démonstration Allemagne

Le sous-traitant a conclu avec tous les sous-traitants ultérieurs des contrats conformément à l’art. 28, par. 4 du RGPD, leur imposant les mêmes obligations de protection des données que celles définies dans le présent contrat.

6.2 Modification de sous-traitants ultérieurs

Le sous-traitant informe préalablement le responsable du traitement de tout changement envisagé concernant l’ajout ou le remplacement de sous-traitants ultérieurs et donne au responsable du traitement la possibilité d’émettre des objections contre ces changements (art. 28, par. 2 du RGPD).

L’information est effectuée par la mise à jour de la liste des sous-traitants ultérieurs sur le site web du sous-traitant (kaino.io/aegis/privacy, section 7) ainsi que par e-mail au responsable du traitement au moins 30 jours avant le changement prévu.

Si le responsable du traitement émet une objection motivée dans les 30 jours suivant la notification, les parties s’efforcent de trouver une solution amiable. Si aucun accord ne peut être trouvé, le responsable du traitement dispose d’un droit de résiliation extraordinaire de l’abonnement.

6.3 Pas de transfert vers un pays tiers

L’intégralité du traitement des documents s’effectue exclusivement au sein de l’UE/EEE. Le sous-traitant ne transfère aucun contenu de document vers des pays tiers.

§ 7 Suppression et restitution des données

7.1 Pendant le traitement

Les contenus des documents sont supprimés immédiatement et automatiquement une fois l’anonymisation terminée. Aucun stockage permanent des contenus de documents n’est effectué.

7.2 Après la fin du contrat

Le sous-traitant supprime dans un délai de 30 jours après la fin de l’abonnement toutes les données à caractère personnel liées à la sous-traitance, à moins qu’une conservation ne soit prescrite par le droit de l’Union ou le droit de l’État membre (art. 28, par. 3, point g du RGPD).

Comme aucun contenu de document n’est stocké de manière permanente, la suppression se limite aux :

  • Données de base client (adresse e-mail, nom, nom de l’entreprise) : anonymisation irréversible dans les 30 jours suivant la fin de l’abonnement
  • Statistiques d’utilisation : anonymisation dans les 30 jours suivant la fin de l’abonnement
  • Journaux d’accès au serveur : suppression automatique après 30 jours

§ 8 Droits de contrôle et d’audit

8.1 Droit d’audit du responsable du traitement

Le sous-traitant met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’art. 28 du RGPD et permet la réalisation d’audits — y compris d’inspections — par le responsable du traitement ou un autre auditeur mandaté par lui, et y contribue (art. 28, par. 3, point h du RGPD).

8.2 Réalisation

Les audits sont réalisés dans les conditions suivantes :

  1. Annonce écrite au moins 30 jours à l’avance (un e-mail suffit)
  2. Réalisation pendant les heures de bureau habituelles
  3. L’auditeur est tenu à la confidentialité
  4. L’audit ne doit pas perturber de manière disproportionnée l’exploitation du sous-traitant
  5. Un audit maximum par année civile, à moins qu’un motif concret ne nécessite un audit supplémentaire

8.3 Preuve de conformité

Le sous-traitant peut également apporter la preuve du respect de ses obligations en présentant un certificat actuel, un rapport d’audit ou un extrait de celui-ci établi par un auditeur indépendant.

§ 9 Responsabilité

La responsabilité des parties est régie par l’art. 82 du RGPD. Pour le reste, les dispositions générales relatives à la responsabilité des conditions d’utilisation d’Aegis s’appliquent.

§ 10 Dispositions finales

10.1 Priorité

En cas de contradiction entre le présent DPA et d’autres accords entre les parties — y compris les conditions d’utilisation —, le présent DPA prévaut en ce qui concerne la protection des données à caractère personnel.

10.2 Modifications

Toute modification du présent contrat doit être faite sous forme textuelle. Les modifications substantielles sont communiquées au responsable du traitement au moins 30 jours avant leur entrée en vigueur. Si le responsable du traitement n’émet pas d’objection dans les 30 jours suivant la notification, la modification est considérée comme acceptée.

10.3 Droit applicable et juridiction compétente

Le présent contrat est soumis au droit autrichien. La juridiction compétente est Innsbruck, Autriche, dans la mesure où la loi le permet.

10.4 Clause de sauvegarde

Si une disposition du présent contrat était nulle ou inapplicable, les autres dispositions n’en seraient pas affectées. La disposition nulle doit être remplacée par une disposition valide se rapprochant le plus possible de l’objectif économique visé.

Annexe 1 : Mesures techniques et organisationnelles (art. 32 du RGPD)

Kaino GmbH n’exploite pas ses propres centres de données. Les mesures de sécurité physique (accès, alimentation électrique, protection contre les incendies, climatisation) sont garanties par les fournisseurs d’infrastructure Hetzner Online GmbH (Allemagne, ISO 27001), OVHCloud SAS (France, ISO 27001) et Scaleway SAS (France, ISO 27001). Pour leurs mesures techniques et organisationnelles, nous renvoyons à :

Kaino GmbH est responsable des mesures suivantes au niveau de l’application :

1. Traitement transitoire (caractéristique de sécurité centrale)

Les contenus des documents sont exclusivement traités dans la mémoire vive (In-Memory-Processing) et sont immédiatement rejetés après la restitution du résultat. Aucun stockage permanent des contenus de documents n’est effectué. Ce principe d’architecture élimine les risques majeurs liés à la conservation des données : en cas de défaillance du système, aucune donnée de document n’est perdue, car aucune n’est stockée. Le principe de « Zero Data Retention » s’applique tout au long de la chaîne de traitement — y compris pour les sous-traitants ultérieurs OVHCloud et Scaleway.

Minimisation des données grâce à un prétraitement basé sur des règles : Avant la transmission au traitement assisté par l’IA, Kaino GmbH effectue côté serveur un prétraitement basé sur des règles, au cours duquel les données à caractère personnel déjà détectées (p. ex. noms, adresses e-mail, numéros de téléphone) sont remplacées par des espaces réservés. Les contenus transmis aux modèles d’IA sont donc déjà partiellement anonymisés, ce qui réduit la quantité de données à caractère personnel traitées par les sous-traitants ultérieurs au minimum techniquement nécessaire.

2. Confidentialité (art. 32, par. 1, point b du RGPD)

Mesure Mise en œuvre
Contrôle de l’accès physique Accès API exclusivement avec une clé de produit valide ; pas d’accès anonyme
Contrôle de l’accès logique Accès au serveur limité à un cercle restreint de personnes ; accès via SSH avec authentification par clé ; authentification à deux facteurs (2FA) pour tous les systèmes ; principe du moindre privilège
Contrôle de la séparation Séparation des clients par des clés de produit individuelles ; pas de traitement de données entre clients
Engagement de confidentialité Toutes les personnes ayant accès aux données à caractère personnel sont tenues à la confidentialité (§ 5.2 du présent contrat)

3. Intégrité (art. 32, par. 1, point b du RGPD)

Mesure Mise en œuvre
Contrôle de la divulgation Transmission exclusivement chiffrée (HTTPS/TLS) ; pas de connexions non chiffrées
Contrôle de l’introduction Journalisation des accès API (journaux d’accès au serveur, conservation de 30 jours)

4. Disponibilité et résilience (art. 32, par. 1, points b, c du RGPD)

La disponibilité et la résilience sont assurées par les fournisseurs d’infrastructure (alimentation électrique redondante, connexion réseau, climatisation). Comme aucun contenu de document n’est stocké de manière permanente, la nécessité de procédures de sauvegarde et de restauration pour les données de documents est caduque.

5. Chiffrement et pseudonymisation (art. 32, par. 1, point a du RGPD)

Mesure Mise en œuvre
Chiffrement du transport HTTPS/TLS pour toutes les communications API
Chiffrement du stockage Encryption-at-Rest pour les données de base client (adresse e-mail, nom, nom de l’entreprise)
Pseudonymisation Fonction centrale du service : remplacement des données à caractère personnel par des espaces réservés

6. Contrôle (art. 32, par. 1, point d du RGPD)

Mesure Mise en œuvre
Révision régulière Évaluation annuelle de l’efficacité des mesures techniques et organisationnelles
Contrôle ponctuel et lié aux modifications Examen des mesures techniques et organisationnelles lors de modifications de l’infrastructure, d’incidents de sécurité et de changements de sous-traitants ultérieurs
Contrôle de la sous-traitance DPA conclus avec tous les sous-traitants ultérieurs ; vérification lors de modifications de contrat ou de changement de fournisseur

Kaino GmbH

Legal

© 2026 Kaino GmbH