Version de travail

Ce document est une version préliminaire rédigée à partir des engagements produits de Konstat. La version finale sera validée par un expert juridique avant le go-live commercial. Pour toute question, contactez clement@konstat.fr.

Data Processing Agreement (DPA)

Dernière mise à jour : 4 mai 2026

Le présent Data Processing Agreement (DPA) précise les conditions de traitement des données à caractère personnel par Orcyn, en sa qualité de sous-traitant au sens de l'article 28 du RGPD (Règlement UE 2016/679), pour le compte du Client utilisateur de l'API Konstat (le Responsable de Traitement). Il complète et est subordonné aux CGU API.

1. Objet du traitement

Orcyn traite les données transmises via l'API Konstat (questions posées, contextes éventuels fournis, identifiants techniques) uniquement aux fins de fournir le service de réponse RAG sourcée et de calcul CEE déterministe au Client.

Aucune donnée transmise via l'API n'est utilisée pour entraîner des modèles d'IA, partagée à des tiers à des fins commerciales, ou exploitée à d'autres fins que celles strictement nécessaires à la fourniture du Service.

2. Catégories de données traitées

Données techniques : identifiants de clé API, IP source, timestamps des requêtes, codes de statut, tokens consommés, durées d'exécution.

Contenu transmis par le Client : questions posées en langage naturel, identifiants de conversation, paramètres de calcul. Ce contenu est conservé dans la base de données Konstat (table conversations + messages) pour permettre au Client de consulter son historique.

Le Client est responsable de ne pas transmettre via l'API de données à caractère personnel sensibles (données de santé, opinions politiques/religieuses, données de mineurs, etc.) au-delà de ce qui est strictement nécessaire à la formulation de questions CEE.

3. Localisation et durée de conservation

Stockage primaire : Supabase (PostgreSQL + Storage), région eu-west-1 (Irlande, Union Européenne). Aucune donnée n'est stockée en dehors de l'Union Européenne par Orcyn directement.

Sous-traitants techniques (transferts ponctuels et chiffrés en transit) : Anthropic Inc. (États-Unis) pour la génération des réponses LLM (Claude), Voyage AI (États-Unis) pour les embeddings (voyage-4), Mistral AI (Union Européenne) pour l'OCR le cas échéant. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne.

Durée de conservation : les conversations API sont conservées tant que le compte API est actif, puis 12 mois après la dernière activité. Les logs API techniques sont conservés 90 jours pour des fins d'audit, de facturation et de détection d'abus.

4. Mesures de sécurité

Chiffrement en transit (TLS 1.3) sur toutes les communications avec l'API et entre Orcyn et ses sous-traitants techniques.

Chiffrement au repos sur la base de données Supabase (AES-256).

Hash SHA-256 des clés API en BDD (le secret en clair n'est jamais stocké).

Isolation multi-tenant via Row Level Security (RLS) PostgreSQL : aucun Client ne peut accéder aux données d'un autre Client.

Audit log de toutes les opérations administratives (création/révocation de clé, modifications de cap, etc.) accessible depuis /platform/usage.

5. Droits des personnes concernées

Conformément au RGPD, les personnes concernées par les traitements opérés via l'API peuvent exercer leurs droits (accès, rectification, effacement, limitation, opposition, portabilité) en s'adressant directement au Client (Responsable de Traitement).

En cas de demande adressée à Orcyn par une personne concernée, Orcyn redirigera la demande vers le Client dans les meilleurs délais.

6. Notification de violation

En cas de violation de données à caractère personnel affectant le Client, Orcyn notifiera le Client sans délai injustifié et au plus tard dans les 72 heures suivant la prise de connaissance de la violation, conformément à l'article 33 du RGPD.

7. Durée et résiliation

Le présent DPA est conclu pour la durée de la relation contractuelle entre Orcyn et le Client. À la résiliation du compte API, Orcyn supprimera ou anonymisera l'ensemble des données du Client dans les 90 jours, sauf obligation légale de conservation contraire.

Le Client peut demander une attestation de suppression écrite par email à clement@konstat.fr.

8. Contact

Pour toute question relative au présent DPA ou aux pratiques de traitement de données d'Orcyn : clement@konstat.fr.

Délégué à la protection des données (DPO) : non désigné (Orcyn ne dépasse pas les seuils légaux nécessitant la désignation d'un DPO). Le contact ci-dessus tient lieu de point de contact unique pour les questions de protection des données.