Accord de traitement des données (DPA)
1er mai 2026
01.Parties et objet
Le présent Accord de traitement des données (Data Processing Agreement, ci-après « DPA ») est conclu entre, d'une part, le client professionnel utilisateur du service Pix2Clip agissant en qualité de responsable du traitement (« le Responsable ») et, d'autre part, la société QR Communication, SAS immatriculée au RCS de Paris sous le numéro SIREN 940 163 496, sise 23 rue de Richelieu, 75001 Paris, agissant en qualité de sous-traitant (« le Sous-traitant »). Il est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et complète les Conditions Générales d'Utilisation et de Vente. Il a pour objet de définir les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable, les données à caractère personnel nécessaires à la fourniture des services de génération de contenus par intelligence artificielle. Le DPA s'applique à toute la durée du contrat principal et survit à sa résiliation pour les obligations qui ont vocation à perdurer.
02.Description du traitement
Nature et finalités du traitement : hébergement, traitement, transmission aux modèles d'IA et restitution de contenus générés (vidéos, images, fichiers audio, voix synthétiques) à partir des prompts et fichiers fournis par les utilisateurs du Responsable. Catégories de personnes concernées : utilisateurs autorisés du Responsable, sujets éventuellement représentés dans les contenus téléversés (sous la responsabilité exclusive du Responsable). Catégories de données : données d'identification, données techniques de connexion, contenus textuels et multimédias soumis. Le Sous-traitant ne traite ces données que sur instructions documentées du Responsable, telles que résultant de l'utilisation du service via les interfaces fournies. Toute instruction supplémentaire devra être formulée par écrit. Le Responsable garantit la licéité des données qu'il transmet et l'existence d'une base légale appropriée.
03.Sous-traitants ultérieurs
Le Responsable autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants : Hetzner Online GmbH (Allemagne, hébergement applicatif) ; Scaleway SAS (France, stockage objet S3 fr-par) ; Viva Payment Services SA (Grèce, traitement des paiements) ; MiniMax (Chine, modèles d'IA générative). Chacun est lié au Sous-traitant par un contrat imposant des obligations équivalentes à celles du présent DPA. Le transfert vers MiniMax (Chine) est encadré par les Clauses Contractuelles Types adoptées par la décision d'exécution (UE) 2021/914 de la Commission, complétées par des mesures techniques additionnelles (chiffrement en transit, minimisation des données transmises, absence de transfert de données d'authentification). Toute modification de la liste des sous-traitants ultérieurs sera notifiée au Responsable par email avec un préavis de trente jours, ouvrant droit à objection motivée.
04.Mesures techniques et organisationnelles
Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures suivantes : chiffrement des communications via TLS 1.3 ; chiffrement au repos AES-256 sur le stockage objet ; hachage Argon2id des mots de passe ; cloisonnement strict des environnements de production et de test ; authentification à plusieurs facteurs obligatoire pour les comptes administrateurs ; journalisation horodatée et conservée des accès et opérations sensibles, avec revue périodique ; politique de moindre privilège sur les accès internes ; sauvegardes quotidiennes chiffrées avec rétention sept jours ; tests de restauration réguliers ; procédure de gestion des vulnérabilités et des correctifs de sécurité ; sensibilisation périodique du personnel à la protection des données. Une description détaillée et actualisée peut être communiquée sur demande motivée du Responsable.
05.Droits des personnes concernées et notifications
Le Sous-traitant assiste le Responsable, par des mesures techniques et organisationnelles appropriées, dans l'accomplissement de son obligation de répondre aux demandes des personnes concernées exerçant leurs droits prévus aux articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, opposition, portabilité). Lorsqu'une personne concernée s'adresse directement au Sous-traitant, celui-ci en informe le Responsable dans les meilleurs délais et n'y donne pas suite sans instruction. En cas de violation de données à caractère personnel constatée, le Sous-traitant en notifie le Responsable sans délai injustifié et au plus tard dans les soixante-douze heures suivant sa prise de connaissance, avec toutes les informations utiles permettant au Responsable de notifier l'autorité de contrôle compétente conformément à l'article 33 du RGPD.
06.Audit, fin du contrat et restitution
Le Sous-traitant met à disposition du Responsable, sur demande raisonnable formulée par écrit avec un préavis de trente jours, toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et permet la réalisation d'audits, y compris des inspections, par le Responsable ou un tiers indépendant mandaté, dans la limite d'un audit par an, sauf incident majeur. Au terme du contrat principal, le Sous-traitant procède, au choix du Responsable exprimé par écrit dans les trente jours suivant la résiliation, soit à la restitution intégrale des données dans un format structuré et couramment utilisé, soit à leur suppression définitive de tous les supports actifs et de sauvegarde, dans un délai maximal de quatre-vingt-dix jours, et fournit une attestation de destruction. Les obligations légales de conservation (notamment comptables) restent réservées.