Accord de Traitement de Données (DPA)
Data Processing Agreement — Article 28 RGPD
Dernière mise à jour : 9 mai 2026
Le présent Accord de Traitement de Données (ci-après le « DPA ») complète les Conditions Générales d'Utilisation et de Vente de C2G Meet et encadre le traitement, par C2G en qualité de sous-traitant, des données à caractère personnel pour le compte du Client en qualité de responsable de traitement.
Le présent DPA est conclu entre :
Le Responsable de traitement : la personne morale ayant souscrit un abonnement à C2G Meet (ci-après le « Client »).
Et le Sous-traitant : C2G — Consulting General Gevaert, SARL-S de droit luxembourgeois, RCS Luxembourg B284867, dont le siège social est situé 251 Route de Longwy, L-4831 Rodange, Luxembourg, représentée par Axel Gevaert, gérant (ci-après « C2G »).
1. Objet
Le présent DPA a pour objet de définir les conditions dans lesquelles C2G, en sa qualité de sous-traitant au sens de l'article 4.8 du RGPD, s'engage à effectuer pour le compte du Client, responsable de traitement au sens de l'article 4.7 du RGPD, les opérations de traitement de données à caractère personnel décrites ci-après.
2. Description du traitement
| Élément | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, analyse automatisée par IA, génération, édition, exportation et conservation de procès-verbaux de réunion |
| Finalité | Fourniture du service C2G Meet conformément aux CGU/CGV |
| Catégories de personnes concernées | Utilisateurs du Client ; participants aux réunions ; intervenants cités dans les fichiers sources |
| Catégories de données | Identité (nom, prénom, fonction) ; coordonnées professionnelles ; contenu des échanges ; voix (fichiers audio) ; image (le cas échéant via documents/images) |
| Durée du traitement | Durée de l'abonnement + 30 jours (période de grâce) |
3. Obligations de C2G en tant que sous-traitant
C2G s'engage à :
3.1. Traitement conforme aux instructions
Traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts hors UE, sauf obligation légale contraire. La signature des CGU/CGV et l'utilisation du Service constituent les instructions documentées du Client.
3.2. Confidentialité
Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
3.3. Sécurité
Mettre en œuvre les mesures techniques et organisationnelles appropriées énumérées à l'Annexe 2 afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.
3.4. Sous-traitance ultérieure
Recourir à des sous-traitants ultérieurs uniquement avec l'autorisation écrite préalable (générale ou spécifique) du Client. Le Client autorise C2G à recourir aux sous-traitants ultérieurs listés à l'Annexe 1. C2G informera le Client de tout changement prévu 30 jours à l'avance.
3.5. Assistance au Client
Aider le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) et à garantir le respect de ses obligations en matière de sécurité et de notification de violation de données.
3.6. Notification des violations de données
Notifier au Client toute violation de données à caractère personnel dans un délai maximum de 48 heures à compter de sa découverte, afin de permettre au Client de notifier la violation à l'autorité de contrôle dans le délai de 72 heures imposé par l'article 33 du RGPD.
3.7. Sort des données en fin de prestation
Au terme de la prestation, C2G s'engage à supprimer toutes les données à caractère personnel dans un délai de 30 jours, sauf obligation légale de conservation. Le Client peut, avant la suppression, demander l'exportation de ses données dans un format structuré et lisible par machine.
3.8. Droit d'audit
Mettre à la disposition du Client, sur demande raisonnable, toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et le présent DPA. Dans la limite d'une fois par an et avec un préavis raisonnable, le Client peut faire réaliser, à ses frais, un audit par un tiers indépendant soumis à confidentialité.
3.9. Registre des traitements
Tenir, conformément à l'article 30.2 du RGPD, un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client.
4. Obligations du Client en tant que responsable de traitement
Le Client s'engage à :
- ne déposer dans le Service que des données pour lesquelles il dispose d'une base légale appropriée au titre du RGPD ;
- informer les personnes concernées (utilisateurs, participants à des réunions, intervenants cités) du traitement de leurs données, conformément aux articles 13 et 14 du RGPD ;
- recueillir, le cas échéant, le consentement des personnes concernées (notamment en cas d'enregistrement audio de réunions) ;
- veiller à un usage du Service conforme à ses obligations en matière de protection des données ;
- répondre aux demandes des personnes concernées ;
- documenter ses propres analyses d'impact relatives à la protection des données (AIPD) lorsqu'elles sont requises.
5. Transferts hors Union européenne
Les transferts de données vers des sous-traitants ultérieurs situés hors de l'Union européenne sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution 2021/914), et le cas échéant par le Data Privacy Framework UE-US lorsque le sous-traitant ultérieur est certifié. C2G a obtenu de ses sous-traitants ultérieurs Anthropic et OpenAI l'engagement contractuel que les données transmises via leurs API ne sont pas utilisées pour entraîner leurs modèles.
6. Responsabilité
La responsabilité de C2G dans le cadre du présent DPA est régie par les CGU/CGV. Chaque Partie est responsable des manquements dont elle est l'auteur, conformément aux articles 82 et 83 du RGPD.
7. Durée
Le présent DPA prend effet à la date de souscription au Service par le Client et reste en vigueur pendant toute la durée du traitement des données personnelles par C2G dans le cadre du Service.
8. Loi applicable
Le présent DPA est régi par le droit luxembourgeois. Tout litige relève de la compétence exclusive des tribunaux de Luxembourg-Ville.
Annexe 1 — Liste des sous-traitants ultérieurs autorisés
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVH SAS (424 761 419 RCS Lille) | Hébergement infrastructure (VPS, base de données, fichiers) | France / UE | DPA, certifications hébergement |
| Stripe Payments Europe Ltd. | Traitement des paiements | Irlande / États-Unis | DPA, CCT |
| Anthropic, PBC | API Claude / Claude Vision (analyse documents et images) | États-Unis | DPA, CCT, engagement de non-entraînement |
| OpenAI, L.L.C. | API Whisper (transcription audio) | États-Unis | DPA, CCT, engagement de non-entraînement |
| Functional Software, Inc. (Sentry) | Monitoring d'erreurs techniques | États-Unis | DPA, CCT (données techniques uniquement) |
Annexe 2 — Mesures techniques et organisationnelles
Mesures techniques
- Chiffrement des communications : HTTPS/TLS 1.2 ou supérieur pour toutes les communications client-serveur ;
- Chiffrement au repos : chiffrement des disques du serveur d'hébergement ;
- Authentification : mots de passe hachés avec algorithme bcrypt + sel ; sessions sécurisées (NextAuth.js) ;
- Isolation des données : architecture multi-tenant avec cloisonnement des données par utilisateur (
userId) ; - Contrôle d'accès : accès SSH par clé publique uniquement pour l'administration ; principe du moindre privilège ;
- Sauvegardes : sauvegardes régulières automatisées ;
- Mise à jour : mises à jour de sécurité régulières du système d'exploitation et des dépendances ;
- Monitoring : journalisation des accès et des actions sensibles ; alerting via Sentry pour les erreurs anormales ;
- Protection contre les attaques : protection CSRF, en-têtes de sécurité (HSTS, CSP), reverse proxy avec terminaison TLS (Caddy + Let's Encrypt).
Mesures organisationnelles
- Habilitations : accès aux données limité aux personnes ayant un besoin opérationnel ;
- Engagement de confidentialité des personnes ayant accès aux données ;
- Sensibilisation continue à la protection des données ;
- Politique de mots de passe robustes pour les comptes administrateurs ;
- Gestion des incidents : procédure de gestion des incidents de sécurité avec notification dans les 48 heures ;
- Documentation : tenue d'un registre des traitements conformément à l'article 30.2 du RGPD.