Accord de traitement des données (DPA)

1. Parties

Sous-traitant : HumAIn (JARVIS), Fribourg, Suisse
Responsable du traitement : le Client, tel qu'identifié lors de la souscription.

2. Objet et périmètre

HumAIn traite les données personnelles du Client exclusivement aux fins de fournir les services JARVIS décrits dans les CGV. Tout traitement à d'autres fins est interdit sans accord écrit préalable.

3. Catégories de données traitées

• Données d'identification : nom, prénom, e-mail, organisation
• Données de contenu : textes de posts LinkedIn soumis au calibrage
• Données d'usage : logs d'activité, validations, préférences

Aucune donnée sensible (art. 5 nLPD) n'est traitée, sauf accord exprès du Client.

4. Instructions du responsable du traitement

HumAIn traite les données uniquement sur instruction documentée du Client. En cas d'instruction illicite, HumAIn en informe le Client sans délai.

5. Mesures de sécurité

• Chiffrement en transit (TLS 1.3) et au repos (AES-256)
• Accès aux données restreint au personnel nécessaire (principe du moindre privilège)
• Audit log des accès conservé 12 mois (Entreprise)
• Pen test annuel par tiers indépendant (Entreprise)
• Rotation des clés API tous les 90 jours

6. Sous-traitants ultérieurs

HumAIn informe le Client de tout changement de sous-traitant ultérieur avec un préavis de 30 jours. Le Client peut s'y opposer par écrit. Sous-traitants actuels : Anthropic (Claude API, SCC UE-USA), Stripe (paiements, SCC UE-USA), Infomaniak (hébergement CH).

7. Notification de violations

En cas de violation de données susceptible d'engendrer un risque pour les personnes concernées, HumAIn notifie le Client dans les 72 heures suivant la découverte, conformément à l'art. 24 nLPD.

8. Assistance au Client

HumAIn assiste le Client dans l'exercice des droits des personnes concernées (accès, rectification, suppression, portabilité) et dans la réalisation d'analyses d'impact (DPIA), si applicable.

9. Suppression et retour des données

À la résiliation du contrat, HumAIn remet au Client l'ensemble de ses données dans un format standard (CSV/JSON) dans un délai de 30 jours, puis procède à la suppression sécurisée de toutes les copies.

10. Durée et droit applicable

Le présent DPA prend effet à la date de souscription et reste valide pendant toute la durée du contrat de services, ainsi que pendant la période de conservation légale post-résiliation. Il est régi par le droit suisse.