Accord de Traitement des Données (DPA)
Version 1.0 — Dernière mise à jour : 12/06/2026
Le présent Accord de Traitement des Données (ci-après « DPA » ou « Accord ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») entre :
- Le Cabinet, utilisateur du service Plaidio, agissant en qualité de Responsable du traitement (« RT ») au sens de l'article 4.7 du RGPD ;
- Optimus Services, éditeur du service Plaidio, agissant en qualité de Sous-traitant (« ST ») au sens de l'article 4.8 du RGPD.
Préambule. Le Cabinet utilise Plaidio pour gérer son activité d'avocat (dossiers, contacts, agenda, facturation, communications). Dans ce cadre, le ST traite, pour le compte du Cabinet, des données à caractère personnel couvertes par le secret professionnel d'avocat (article 226-13 du Code pénal et article 66-5 de la loi n° 71-1130 du 31 décembre 1971). Les parties reconnaissent que ces données nécessitent un niveau de garantie renforcé et conviennent des engagements ci-après.
Article 1 — Définitions
Les termes utilisés dans le présent Accord ont le sens qui leur est donné par le RGPD. À titre indicatif :
- Responsable du traitement (RT) : le Cabinet, qui détermine les finalités et les moyens du traitement.
- Sous-traitant (ST) : Optimus Services, qui traite les données pour le compte du RT, exclusivement sur instructions documentées.
- Données à caractère personnel : toute information relative à une personne physique identifiée ou identifiable (article 4.1 RGPD).
- Traitement : toute opération effectuée sur des données personnelles (collecte, enregistrement, conservation, consultation, transmission, effacement, etc.).
- Sous-traitance ultérieure : recours par le ST à un autre sous-traitant pour exécuter des activités spécifiques pour le compte du RT (article 28.2 et 28.4 RGPD).
- Violation de données : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données (article 4.12 RGPD).
- Personne concernée : la personne physique à laquelle se rapportent les données traitées (client du Cabinet, partie adverse, témoin, magistrat, confrère, etc.).
Article 2 — Objet et durée
Le présent Accord a pour objet d'encadrer les modalités du traitement de données personnelles confiées par le RT au ST, dans le cadre de la fourniture du service Plaidio décrit dans les Conditions Générales d'Utilisation et les Conditions Générales de Vente.
L'Accord prend effet à la date de souscription du Cabinet et reste en vigueur pendant toute la durée de son abonnement. Il s'éteint 30 jours après la résiliation du contrat, délai pendant lequel le ST procède à la restitution puis à la suppression définitive des données conformément à l'article 4.8.
Article 3 — Description du traitement
Le traitement confié au ST est décrit en détail à l'Annexe 1 du présent Accord. À titre synthétique :
- Nature : hébergement, structuration, mise à disposition et traitement assisté par intelligence artificielle de données métier juridiques.
- Finalité : exécution du contrat de fourniture du service Plaidio.
- Catégories de données : données d'identification (nom, prénom, email, coordonnées postales, téléphone), données professionnelles (fonction, employeur), données métier juridiques (faits, qualifications, échanges, pièces, montants), données de connexion (logs d'accès, adresses IP).
- Catégories de personnes concernées : clients du Cabinet, parties adverses, témoins, experts, magistrats, confrères, huissiers, notaires, salariés et collaborateurs du Cabinet.
- Durée : durée du contrat + 30 jours pour restitution/suppression ; obligations légales de conservation (notamment factures pendant 10 ans, art. L. 123-22 du Code de commerce) inopposables au ST.
Article 4 — Obligations du sous-traitant
4.1 — Traitement sur instructions documentées
Le ST s'engage à ne traiter les données qu'sur instructions documentées du RT, y compris en ce qui concerne les transferts hors UE. Le présent Accord, les Conditions Générales d'Utilisation et les paramètres définis par le RT au sein de l'application constituent les instructions documentées. Toute instruction complémentaire devra faire l'objet d'un écrit (email à [email protected] suffit).
Si une instruction du RT constitue, de l'avis du ST, une violation du RGPD ou d'une autre disposition du droit européen ou français, le ST en informe immédiatement le RT (article 28.3.h RGPD).
4.2 — Confidentialité et secret professionnel
Le ST veille à ce que toute personne ayant accès aux données traitées s'engage à la confidentialité par contrat ou par une obligation légale appropriée (article 28.3.b RGPD).
Le ST reconnaît expressément que les données traitées sont, en grande partie, couvertes par le secret professionnel d'avocat au sens de l'article 226-13 du Code pénal et de l'article 66-5 de la loi n° 71-1130 du 31 décembre 1971. À ce titre, le ST :
- s'engage à ne jamais accéder aux données métier du Cabinet à des fins d'analyse, de profilage commercial, d'entraînement de modèles d'intelligence artificielle ou de toute autre finalité non strictement nécessaire à l'exécution du service ;
- impose à ses salariés, dirigeants et prestataires des engagements de confidentialité spécifiques mentionnant explicitement le secret professionnel d'avocat ;
- documente et trace les accès administratifs aux données (audit logs immuables) et met ces journaux à disposition du RT sur demande.
4.3 — Sécurité du traitement
Le ST met en œuvre les mesures techniques et organisationnelles appropriées au sens de l'article 32 RGPD, telles que décrites à l'Annexe 2 du présent Accord. Ces mesures sont évolutives et révisées au moins une fois par an.
4.4 — Sous-traitance ultérieure
Le ST a recours à des sous-traitants ultérieurs pour fournir le service. La liste de ces sous-traitants à la date de signature est jointe en Annexe 3. Le RT donne, par la signature du présent Accord, son autorisation générale au recours à ces sous-traitants (article 28.2 RGPD).
En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le ST en informe le RT par email au moins 30 jours avant l'entrée en service du nouveau sous-traitant. Le RT dispose d'un droit d'opposition motivé pendant ce délai. En cas d'opposition non levée, le ST proposera une solution alternative ou, à défaut, le RT pourra résilier le contrat sans pénalité.
Le ST conclut avec chaque sous-traitant ultérieur un contrat lui imposant des obligations au moins équivalentes à celles du présent Accord.
4.5 — Droits des personnes concernées
Le RT reste responsable de l'information des personnes concernées (articles 13 et 14 RGPD) et de la réponse aux demandes d'exercice des droits (articles 15 à 22 RGPD).
Le ST s'engage à assister le RT, dans la mesure de ses moyens techniques et organisationnels, pour répondre aux demandes des personnes concernées (article 28.3.e RGPD). Cette assistance comprend notamment : l'extraction de données dans un format structuré (export JSON / CSV), la suppression ciblée d'enregistrements, la rectification à la demande. Toute demande exorbitante peut faire l'objet d'une facturation au coût raisonnable.
4.6 — Notification des violations de données
En cas de violation de données affectant les données du RT, le ST notifie le RT sans délai indu après en avoir pris connaissance et, en tout état de cause, dans un délai maximum de 24 heures (article 33.2 RGPD).
La notification contient au minimum : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, les mesures prises ou proposées pour y remédier, les coordonnées du contact ST pour le suivi.
Le RT reste seul responsable de la notification à la CNIL (article 33.1 RGPD) et, le cas échéant, aux personnes concernées (article 34 RGPD). Le ST assiste le RT dans cette démarche.
4.7 — Audits et inspections
Le ST met à la disposition du RT toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD (article 28.3.h).
Le RT dispose d'un droit d'audit annuel, exerçable sur préavis écrit de 30 jours. L'audit peut être réalisé par le RT lui-même ou par un tiers mandaté par lui (à l'exclusion d'un concurrent direct du ST). Les frais d'audit sont à la charge du RT, sauf si l'audit révèle un manquement substantiel du ST aux présentes.
Le ST s'engage à fournir, lorsqu'ils seront disponibles, des rapports d'attestation indépendants (notamment SOC 2 Type II, certification HDS lorsque applicable). Ces rapports peuvent être substitués à un audit sur site, sous réserve d'acceptation du RT.
4.8 — Fin du contrat — Restitution et suppression
À la résiliation du contrat, et au choix du RT (à exprimer par écrit dans les 15 jours suivant la résiliation) :
- Option A — Restitution : le ST met à disposition du RT, pendant 30 jours, un export complet des données dans un format structuré couramment utilisé (JSON / CSV) ;
- Option B — Suppression directe : le ST procède à la suppression immédiate des données.
À l'expiration du délai de 30 jours suivant la résiliation, le ST procède à la suppression définitive de toutes les données du RT (production, sauvegardes incluses dans un délai supplémentaire maximal de 90 jours correspondant à la rotation des sauvegardes), à l'exception des données dont la conservation est imposée par la loi (notamment données comptables et de facturation).
Le ST remet au RT, sur demande, un certificat de suppression attestant de la destruction effective des données.
Article 5 — Obligations du responsable de traitement
Le RT s'engage à :
- Légitimité de la collecte : ne confier au ST que des données collectées de manière licite, loyale et transparente (article 5.1.a RGPD), sur l'une des bases légales prévues à l'article 6 du RGPD (et l'article 9 pour les catégories particulières de données).
- Information des personnes concernées : fournir aux personnes concernées l'information requise par les articles 13 et 14 du RGPD, incluant la mention du recours au ST.
- Instructions claires : transmettre au ST des instructions documentées, précises et conformes au droit applicable, et l'informer sans délai de toute évolution des finalités du traitement.
- Non-instrumentalisation : ne pas demander au ST d'exécuter une opération qui constituerait une violation du RGPD ou d'une autre disposition de droit applicable.
- Sécurité côté RT : sécuriser ses propres équipements, identifiants et accès au service (mots de passe robustes, activation de la double authentification, révocation des accès des collaborateurs partants).
- Validation du DPA : faire valider, à ses frais et le cas échéant par un conseil spécialisé, l'adéquation du présent Accord à sa situation particulière.
Article 6 — Responsabilité
Chaque partie répond des dommages causés par son manquement aux obligations du RGPD ou du présent Accord, dans les conditions de l'article 82 RGPD.
Sans préjudice du caractère d'ordre public des règles de réparation des personnes concernées, la responsabilité contractuelle du ST envers le RT au titre du présent Accord est limitée à un montant équivalent à 12 mois d'abonnement souscrit par le RT, sur les 12 mois précédant le fait générateur. Cette limitation ne s'applique pas en cas de faute lourde, dolosive ou de violation intentionnelle du secret professionnel.
Sont exclus de la réparation les dommages indirects (perte de chiffre d'affaires, perte d'image, perte de clientèle), sauf disposition légale impérative contraire.
Chaque partie garantit l'autre contre toute action d'une personne concernée ou d'une autorité de contrôle qui résulterait d'un manquement qui lui serait imputable.
Article 7 — Droit applicable et juridiction
Le présent Accord est soumis au droit français. En cas de différend, les parties s'efforceront de trouver une solution amiable. À défaut, compétence exclusive est attribuée au Tribunal judiciaire de Lille, sauf disposition impérative contraire.
Annexe 1 — Description détaillée du traitement
| Finalité | Catégories de données | Base légale (RT) | Durée |
|---|---|---|---|
| Gestion des dossiers et des contacts | Identification, coordonnées, données métier juridiques, pièces, échanges | Exécution contrat (avocat-client) | Durée du dossier + archivage légal |
| Agenda et événements | Identité, coordonnées, dates, jurisdictions | Exécution contrat | Durée du dossier |
| Facturation et comptabilité | Identité, montants, paiements | Obligation légale (Code de commerce) | 10 ans |
| Assistance IA (rédaction, synthèse, OCR) | Données métier strictement nécessaires à la requête | Exécution contrat / intérêt légitime | Aucune conservation par le moteur IA |
| Communication client (portail) | Messages, pièces partagées | Exécution contrat | Durée du dossier |
| Sécurité et traçabilité | Logs de connexion, adresses IP, user-agent | Intérêt légitime + obligation légale | 12 mois |
| Sauvegardes | Ensemble des données | Intérêt légitime (continuité) | 30 jours glissants |
Annexe 2 — Mesures techniques et organisationnelles (TOM)
Conformément à l'article 32 RGPD, le ST met en œuvre les mesures suivantes :
Chiffrement et protection des données
- Chiffrement au repos : base de données PostgreSQL et stockage objet S3 chiffrés en AES-256 au niveau du volume et du bucket.
- Chiffrement en transit : TLS 1.3 obligatoire pour toutes les communications externes ; mTLS pour les communications inter-services critiques.
- Chiffrement des jetons sensibles : jetons OAuth (Google Calendar, mailboxes IMAP) chiffrés en base avec une clé maître stockée hors-bande.
- Sauvegardes chiffrées : sauvegardes quotidiennes chiffrées GPG, stockées sur stockage objet redondé (3 zones), rétention 30 jours glissants.
Isolation et contrôle d'accès
- Multi-tenant strict : isolation par Row-Level Security PostgreSQL (116 policies actives) garantissant qu'aucune donnée d'un cabinet ne peut être lue par un autre cabinet, même en cas de bug applicatif.
- Authentification renforcée : mots de passe hachés avec
scrypt, double facteur TOTP, support des passkeys WebAuthn (FIDO2). - Accès administratifs : accès aux serveurs et bases de production exclusivement via Cloudflare Zero Trust Access (ZTNA) avec authentification SSO + 2FA. Aucun accès direct par mot de passe.
- Principe du moindre privilège : comptes administratifs nominatifs, séparation prod / staging, accès limités au strict nécessaire.
- Isolation réseau : services applicatifs déployés sur VPC privé Scaleway, ports sensibles non exposés publiquement.
Traçabilité et journalisation
- Audit logs immuables : journalisation INSERT-ONLY de toutes les actions sensibles (accès dossier, modification, suppression, export, partage), partitionnés mensuellement et conservés 12 mois.
- Monitoring : supervision applicative via Sentry (instance UE) avec masquage actif des données métier dans les traces d'erreur (PII scrubbing, masquage par défaut des payloads).
- Détection d'anomalies : alertes sur connexions inhabituelles (géolocalisation, fréquence, comportement).
Mesures organisationnelles
- Registre des traitements : maintenu conformément à l'article 30 RGPD, consultable sur demande.
- DPO : un délégué à la protection des données est désigné, joignable à [email protected].
- Formation : sensibilisation annuelle des collaborateurs au RGPD et au secret professionnel d'avocat.
- Gestion des incidents : procédure documentée de notification de violation art. 33 (chaîne d'alerte, modèle de notification, registre des incidents).
- Plan de continuité : RPO (Recovery Point Objective) ≤ 24h, RTO (Recovery Time Objective) ≤ 4h ; tests de restauration semestriels.
Annexe 3 — Liste des sous-traitants ultérieurs
Liste à jour des sous-traitants ultérieurs autorisés à la date du présent Accord :
| Prestataire | Finalité | Pays / Région | Garanties |
|---|---|---|---|
| Scaleway SAS | Hébergement compute et stockage objet | France (Paris, fr-par-2) | DPA Scaleway, ISO 27001, hébergeur souverain |
| Brevo (Sendinblue SAS) | Envoi d'emails transactionnels (invitations, notifications) | France | DPA Brevo, ISO 27001 |
| Stripe Payments Europe Ltd. | Paiement des abonnements et des honoraires en ligne | Irlande (UE) | Clauses Contractuelles Types (SCC 2021/914) pour les transferts intra-Stripe, certifié PCI-DSS Niveau 1 |
| Anthropic PBC | Assistant IA (Claude) — rédaction, synthèse, analyse documentaire — uniquement si le RT active les fonctionnalités IA | États-Unis | Clauses Contractuelles Types (SCC 2021/914), Data Processing Addendum Anthropic, aucune conservation au-delà de la requête, pas d'entraînement sur les données client. Mode « Souverain strict » disponible côté Cabinet pour basculer sur un moteur souverain (Mistral hébergé en France) lorsque disponible. |
| Documenso (auto-hébergé) | Signature électronique (eIDAS niveau simple) | France (instance opérée par le ST) | Open-source, hébergement sur infrastructure du ST |
| Sentry GmbH (instance UE) | Observabilité applicative et alerting (traces d'erreur sans données métier grâce au masquage actif) | Allemagne (UE) | DPA Sentry, hébergement UE, PII scrubbing activé |
Cette liste est susceptible d'évolution. Conformément à l'article 4.4 du présent Accord, tout ajout ou remplacement est notifié au Cabinet au moins 30 jours avant son entrée en service.
Annexe 4 — Pays tiers et garanties appropriées
Le ST veille à ce qu'aucun transfert de données ne soit réalisé en dehors de l'Union européenne sans garantie appropriée au sens du chapitre V du RGPD.
- Stripe (Irlande, UE) : les paiements sont opérés par l'entité irlandaise de Stripe (UE). Les flux intra-groupe Stripe vers les États-Unis sont encadrés par les Clauses Contractuelles Types 2021/914 et par l'adhésion de Stripe au cadre EU-US Data Privacy Framework.
- Anthropic (États-Unis) : transferts encadrés par les Clauses Contractuelles Types 2021/914 (modules 2 et 3), complétées par un Data Processing Addendum signé entre le ST et Anthropic. Les requêtes IA sont construites de façon à minimiser les données personnelles transmises ; le Cabinet peut activer le mode « Souverain strict » dans ses paramètres pour basculer intégralement sur un moteur souverain hébergé en France lorsque celui-ci sera disponible.
Tous les autres sous-traitants sont localisés dans l'Union européenne et ne réalisent aucun transfert vers un pays tiers dans le cadre du présent service.
Contact DPO : [email protected] — toute demande relative au présent DPA ou à l'exercice des droits RGPD doit être adressée à cette adresse. Réponse sous 30 jours.
Le présent DPA est un document type. Il est recommandé au Cabinet de le faire relire par un avocat exerçant en droit numérique avant signature. Un exemplaire pré-rempli aux informations du Cabinet est téléchargeable depuis l'espace Paramètres > Conformité.