Accord de sous-traitance
Data Processing Agreement (DPA) — Conforme à l'article 28 du RGPD — Version mai 2026
En souscrivant au service KAPH AI, le Client accepte le présent accord de sous-traitance. Cet accord définit les obligations de KAPH AI en tant que sous-traitant au sens du RGPD vis-à-vis du Client (responsable de traitement).
1. Identification des parties
Sous-traitant
Xavier Perigny (KAPH AI)
SIRET : 838 540 409 00001 — Micro-entrepreneur
28 Avenue des Pépinières, 94260 Fresnes
Contact DPA : privacy@kaph-ai.com
Responsable de traitement
Le Client ayant souscrit au service KAPH AI via app.kaph-ai.com.
2. Objet et nature du traitement
KAPH AI fournit un service de chatbot IA intégrable sur le site web du Client. Dans ce cadre, KAPH AI traite des données personnelles pour le compte et selon les instructions du Client.
Catégories de données traitées
- Messages échangés entre les visiteurs et le chatbot
- Données de contact fournies volontairement (email, téléphone, prénom)
- Données techniques (adresse IP, navigateur, URL visitée)
Catégories de personnes concernées
Les visiteurs du site web du Client qui interagissent avec le chatbot KAPH AI.
Finalités
- Répondre aux questions des visiteurs via un assistant IA
- Capturer et qualifier des leads pour le compte du Client
- Fournir le tableau de bord analytics au Client
3. Durée du traitement
Le traitement est effectué pendant toute la durée de l'abonnement actif. À la résiliation :
- Les conversations sont supprimées dans les 90 jours
- Les données leads sont conservées 3 ans (obligation légale) puis supprimées
- Le Client peut demander la suppression anticipée via privacy@kaph-ai.com
4. Obligations de KAPH AI (sous-traitant)
- Traiter les données uniquement sur instruction documentée du Client
- Garantir la confidentialité des données (accès restreint au seul personnel habilité)
- Mettre en œuvre les mesures de sécurité appropriées (chiffrement TLS, accès contrôlés)
- Assister le Client dans la réponse aux demandes d'exercice de droits des personnes concernées
- Notifier le Client dans les 72 heures en cas de violation de données
- Supprimer ou restituer toutes les données à la fin du contrat selon le choix du Client
- Mettre à disposition toutes informations nécessaires pour démontrer la conformité au RGPD
5. Sous-traitants ultérieurs
Le Client autorise KAPH AI à faire appel aux sous-traitants suivants. KAPH AI s'engage à imposer à ces sous-traitants des obligations de protection des données équivalentes :
- Anthropic (États-Unis) — traitement IA des messages — DPA Anthropic
- Vercel Inc. (États-Unis) — hébergement de l'application — DPA Vercel
- Supabase Inc. (EU Frankfurt) — base de données, stockage en région EU — Politique Supabase
- Stripe Inc. (États-Unis / Irlande) — paiements — DPA Stripe
- Resend Inc. (États-Unis) — emails transactionnels
KAPH AI informera le Client de tout changement de sous-traitant avec un préavis de 30 jours.
6. Transferts hors Union Européenne
Certaines données sont transférées vers les États-Unis via les sous-traitants listés ci-dessus (Anthropic, Vercel, Resend). Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne, conformément à l'article 46 du RGPD
- Les décisions d'adéquation applicables
Les données stockées en base (Supabase) sont hébergées en région EU (Frankfurt, Allemagne) — pas de transfert hors UE pour ce sous-traitant.
7. Sécurité
KAPH AI met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des données en transit (TLS 1.2+)
- Accès à la base de données restreint via Row Level Security (RLS)
- Clés API stockées en variables d'environnement chiffrées (Vercel)
- Authentification admin sécurisée (HMAC-SHA256, cookie HttpOnly)
- Authentification 2FA disponible pour les comptes clients
8. Obligations du Client (responsable de traitement)
- Informer ses propres visiteurs du traitement de leurs données (via sa propre politique de confidentialité)
- Disposer d'une base légale valide pour collecter des données via le chatbot
- Ne pas configurer le chatbot pour collecter des données sensibles (santé, données bancaires, etc.)
- Transmettre les demandes d'exercice de droits à KAPH AI via privacy@kaph-ai.com
9. Contact et loi applicable
Pour toute question relative au présent DPA : privacy@kaph-ai.com
Le présent accord est soumis au droit français. Tout litige relève de la compétence des tribunaux de Créteil (94).