AT
Accord de traitement des données
Cette page présente l'AT standard qu'Auditus.ai (The Upcapital Inc., le Sous-traitant) offre aux clients (Responsables du traitement) pour le traitement de données personnelles au sens de l'art. 28 du RGPD. Pour contresigner, écrivez à ceo@theupcapital.com.
1. Objet
Traitements nécessaires à la fourniture de la plateforme Auditus.ai, de l'analyseur de documents, de la facturation et services connexes au Responsable du traitement et à ses utilisateurs autorisés.
2. Durée
Effectif dès la première utilisation du service par le Responsable, jusqu'à la résiliation de toutes les commandes d'abonnement plus la durée de conservation indiquée dans la Politique de confidentialité.
3. Nature et finalité
Stockage, consultation, analyse structurée, génération de constatations et production de rapports. Catégories : compte, facturation, papiers de travail d'audit, contacts WhatsApp/courriel facultatifs.
4. Sous-traitants ultérieurs
Listés à /subprocessors. Auditus informe au moins 30 jours à l'avance des ajouts ou modifications. Les Responsables peuvent s'y opposer pour des motifs légitimes ; si l'opposition ne peut être raisonnablement résolue, la commande concernée peut être résiliée pour motif justifié.
5. Mesures de sécurité (Art. 32)
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
- Contrôle d'accès basé sur les rôles + cloisonnement par locataire sur chaque point d'accès.
- Chaîne de signatures cryptographiques (SHA-256) sur les livrables signés.
- Journal d'activité forensique conservé selon la politique de conservation.
- Test d'intrusion annuel sur la surface publique (phase pilote : prime aux bogues continue en développement).
6. Assistance aux demandes des personnes concernées (Art. 28(3)(e))
Les Responsables peuvent satisfaire eux-mêmes les demandes d'accès, de rectification et d'effacement de leurs utilisateurs depuis /account. Pour les demandes libres (opposition, limitation), Auditus répond sous 5 jours ouvrables.
7. Notification de violation
Auditus informe le Responsable sans retard injustifié, au plus tard sous 48 heures après avoir pris connaissance d'une violation affectant les données du Responsable, avec les informations prévues à l'art. 33(3).
8. Transferts internationaux
Les transferts de données personnelles UE/Royaume-Uni vers des sous-traitants hors EEE s'appuient sur les Clauses contractuelles types de l'UE (2021/914) Module 3 (sous-traitant à sous-traitant) le cas échéant, ainsi que sur les mesures supplémentaires décrites dans la Politique de confidentialité.
9. Restitution / suppression en fin de service
À la résiliation, le Responsable peut exporter toutes les données via /api/account/export sous 30 jours. Au-delà, les données sont supprimées de manière sécurisée, sauf conservation imposée par la loi (fiscale, audit minimal).
10. Droit d'audit
Auditus fournit aux Responsables les rapports SOC 2 Type II (lorsque disponibles) et répond de bonne foi aux questionnaires de sécurité raisonnables une fois par période de 12 mois. Audits sur site possibles pour les clients Enterprise sous accord de confidentialité.
Cette page constitue le modèle non signé. Le PDF contresigné prévaut comme accord opérationnel entre Auditus et le Responsable.