ACCORD SUR LE TRAITEMENT DES DONNÉES (DPA)

Version 1.0 — En vigueur à compter du 1er mai 2026

Le présent Accord sur le Traitement des Données ("DPA") est conclu entre ATLANTICOM (sous-traitant) et tout souscripteur d'un abonnement Kaliopia (responsable du traitement). Il est partie intégrante des Conditions Générales d'Utilisation et est accepté automatiquement lors de toute souscription.

PRÉAMBULE

Dans le cadre de l'utilisation du service Kaliopia, l'Utilisateur (ci-après "le Responsable du Traitement") confie à ATLANTICOM (ci-après "le Sous-traitant") le traitement de données à caractère personnel pour son compte. Cet accord encadre cette relation conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679).

ARTICLE 1 — DÉFINITIONS

• Responsable du Traitement : l'Organisme de Formation abonné à Kaliopia, qui détermine les finalités et les moyens du traitement de données de ses clients et stagiaires.
• Sous-traitant : ATLANTICOM (SIRET 480 142 033 00012), éditeur de Kaliopia, qui traite des données à caractère personnel pour le compte du Responsable du Traitement.
• Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable (stagiaires, contacts clients, formateurs).
• Traitement : toute opération appliquée à des données personnelles (collecte, stockage, utilisation, transmission, suppression).
• Sous-sous-traitant : tout prestataire auquel ATLANTICOM recourt pour exécuter le service (voir Annexe 2).

ARTICLE 2 — OBJET ET PÉRIMÈTRE

Le présent DPA s'applique aux traitements de données à caractère personnel réalisés par le Sous-traitant dans le cadre de la fourniture du service Kaliopia, tels que décrits en Annexe 1.

Le Sous-traitant ne traite les données que pour les finalités définies au présent accord et conformément aux instructions documentées du Responsable du Traitement.

ARTICLE 3 — OBLIGATIONS DU SOUS-TRAITANT

ATLANTICOM s'engage à :

1. Traiter uniquement sur instruction : ne traiter les données qu'aux fins définies à l'Annexe 1 et conformément aux instructions du Responsable du Traitement. En cas d'obligation légale contraire, en informer le Responsable du Traitement sauf interdiction légale.
2. Confidentialité : garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité appropriée.
3. Sécurité : mettre en œuvre les mesures techniques et organisationnelles visées à l'article 5 du présent accord.
4. Sous-traitance ultérieure : ne pas recruter un autre sous-traitant sans autorisation préalable écrite du Responsable du Traitement, sauf pour les sous-traitants listés en Annexe 2 qui sont pré-autorisés. Toute modification de cette liste fera l'objet d'une notification avec 30 jours de préavis.
5. Assistance : aider le Responsable du Traitement à répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, opposition).
6. Notification des violations : notifier toute violation de données dans un délai de 72 heures après en avoir pris connaissance, avec les informations requises par l'art. 33 RGPD.
7. Restitution ou suppression : à la fin du service, restituer les données ou les supprimer selon le choix du Responsable du Traitement, et certifier cette suppression.
8. Démonstration de conformité : mettre à disposition du Responsable du Traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent accord.

ARTICLE 4 — OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

L'Organisme de Formation s'engage à :

1. Documenter les traitements de données réalisés via Kaliopia dans son registre des activités de traitement (art. 30 RGPD).
2. Informer ses stagiaires et clients de l'utilisation du service Kaliopia pour le traitement de leurs données, conformément aux articles 13 et 14 du RGPD.
3. S'assurer de disposer d'une base légale valide pour les traitements réalisés via Kaliopia (exécution du contrat de formation, obligation légale, consentement).
4. Ne saisir dans Kaliopia que les données strictement nécessaires à l'exécution du service (principe de minimisation, art. 5.1.c RGPD).
5. Respecter les droits des personnes concernées et traiter leurs demandes dans les délais légaux.

ARTICLE 5 — MESURES DE SÉCURITÉ

ATLANTICOM met en œuvre les mesures techniques et organisationnelles suivantes pour assurer un niveau de sécurité adapté au risque :

5.1 Mesures techniques

• Chiffrement en transit : TLS 1.3 minimum sur toutes les communications
• Chiffrement au repos : AES-256 pour toutes les données stockées
• Authentification forte : OTP par email, aucun mot de passe stocké, sessions sécurisées
• Isolation des données : Row Level Security (RLS) PostgreSQL — chaque organisation n'accède qu'à ses propres données
• Sauvegardes automatiques : quotidiennes, rétention 30 jours, testées régulièrement
• Journalisation : logs d'accès et d'événements de sécurité, conservés 12 mois

5.2 Mesures organisationnelles

• Accès aux données limité au personnel habilité selon le principe du moindre privilège
• Engagement de confidentialité pour les personnes accédant aux données
• Surveillance continue des accès et alertes en cas d'anomalie
• Procédure de gestion des incidents de sécurité et des violations de données documentée

ARTICLE 6 — DROITS DES PERSONNES CONCERNÉES

Lorsque des personnes concernées (stagiaires, contacts clients) exercent leurs droits RGPD directement auprès d'ATLANTICOM, le Sous-traitant :

• Redirige la demande vers le Responsable du Traitement (l'Organisme de Formation) s'il est identifiable ;
• Fournit, dans les 5 jours ouvrés, les informations techniques nécessaires pour permettre au Responsable du Traitement de répondre à la demande ;
• Met en œuvre techniquement les décisions prises par le Responsable du Traitement (suppression, export, rectification).

ARTICLE 7 — VIOLATIONS DE DONNÉES

En cas de violation de données à caractère personnel, ATLANTICOM :

1. Notifie le Responsable du Traitement dans les 72 heures suivant la prise de connaissance de l'incident, par email à l'adresse enregistrée sur le compte ;
2. Fournit dans cette notification : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées ;
3. Apporte une assistance pour les notifications aux personnes concernées et à la CNIL si nécessaire.

ARTICLE 8 — TRANSFERTS HORS UNION EUROPÉENNE

Les transferts de données hors UE réalisés par ATLANTICOM ou ses sous-traitants sont encadrés par l'un des mécanismes suivants :

• Clauses Contractuelles Types (SCC) adoptées par la Commission européenne (décision d'exécution 2021/914) ;
• Mode zéro rétention pour les prestataires d'IA : les données transmises dans les requêtes ne sont pas conservées ni utilisées pour l'entraînement des modèles.

Les détails par prestataire sont disponibles en Annexe 2.

ARTICLE 9 — DURÉE ET FIN DU TRAITEMENT

Le présent accord s'applique pendant toute la durée de l'abonnement Kaliopia et prend fin à la résiliation ou expiration de celui-ci.

À la fin du traitement, ATLANTICOM :

• Supprime toutes les données à caractère personnel du Responsable du Traitement dans un délai de 90 jours suivant la clôture du compte ;
• Fournit, sur demande, une attestation de suppression ;
• Peut conserver les données de facturation pour une durée de 10 ans conformément aux obligations légales françaises.

ARTICLE 10 — DROIT APPLICABLE ET LITIGES

Le présent accord est soumis au droit français. En cas de litige relatif à son interprétation ou son exécution, les parties s'engagent à rechercher une solution amiable dans un délai de 30 jours. À défaut, les tribunaux de Nantes seront compétents.

ANNEXE 1 — DESCRIPTION DES TRAITEMENTS

A. Objet du traitement

Fourniture du service Kaliopia : génération automatisée de documents administratifs conformes au Référentiel National Qualité (Qualiopi) pour les organismes de formation.

B. Nature des traitements

• Collecte et saisie de données de formation et de participants
• Stockage des données en base de données sécurisée
• Traitement par intelligence artificielle pour la génération de documents
• Transcription audio optionnelle (entretiens de découverte client)
• Génération et stockage de documents PDF
• Envoi d'emails transactionnels (authentification, notifications)

C. Finalités du traitement

• Génération de devis, programmes de formation, conventions, convocations
• Génération de feuilles d'émargement et d'attestations de formation
• Gestion du compte utilisateur et de l'abonnement
• Support technique

D. Catégories de données traitées

• Données utilisateur (formateur/OF) : nom, prénom, email, téléphone, données organisme (SIRET, NDA, numéro Qualiopi, adresse)
• Données clients des formations : raison sociale, SIRET, nom et coordonnées du contact
• Données stagiaires : nom, prénom (aucune donnée sensible — pas d'état civil complet, pas de données de santé)
• Données audio : enregistrements de réunions (si consentement)

E. Catégories de personnes concernées

• Utilisateurs de Kaliopia (formateurs, responsables d'organismes de formation)
• Stagiaires des formations créées dans Kaliopia
• Contacts des entreprises clientes des formations

ANNEXE 2 — LISTE DES SOUS-SOUS-TRAITANTS AUTORISÉS

La liste détaillée et à jour est disponible sur la page Liste des sous-traitants.

Toute modification de cette liste fera l'objet d'une notification par email avec 30 jours de préavis, sauf en cas d'urgence ou d'obligation légale.

Pour toute question relative au présent DPA : contact@atlanticom.fr
ATLANTICOM — SIRET 480 142 033 00012