Accord de Traitement des Données (DPA)

Dernière mise à jour : 18 mai 2026

Conforme à l'article 28 du RGPD (UE) 2016/679

1. Parties

Le présent Accord de Traitement des Données est conclu entre :

• Quantyl Core LLC, 8 The Green, Suite B, Dover, Delaware 19901, États-Unis, agissant en qualité de Sous-traitant au sens du RGPD (ci-après « Agenia »).
• Le Client — toute personne physique ou morale ayant souscrit un abonnement à Agenia.io — agissant en qualité de Responsable de traitement.

2. Objet

Le présent DPA définit les conditions dans lesquelles Agenia, en tant que sous-traitant, traite des données personnelles pour le compte du Client dans le cadre de la fourniture du service Agenia.io. Il complète et fait partie intégrante des Conditions Générales d'Utilisation acceptées lors de la souscription.

3. Nature et finalité des traitements

Les traitements réalisés par Agenia pour le compte du Client portent sur l'exécution automatisée de tâches dans les domaines suivants :

• Automatisation de tâches marketing (création de contenu, campagnes, reporting).
• Veille concurrentielle et agrégation de données publiques.
• Génération de rapports et d'analyses à partir de données fournies par le Client.
• Tout autre traitement confié par le Client aux agents IA dans le cadre du service.

4. Types de données

Les données personnelles susceptibles d'être traitées par Agenia pour le compte du Client comprennent notamment :

• Données d'identification des clients finaux des agences : noms, prénoms, e-mails.
• Données comportementales et d'engagement selon l'usage configuré (clics, ouvertures, interactions).
• Toute autre donnée transmise volontairement par le Client aux agents.

Le Client est seul responsable de la licéité des données qu'il confie à Agenia pour traitement.

5. Durée

Le présent DPA prend effet à la date de souscription du Client et reste en vigueur pendant toute la durée du contrat principal. À l'expiration ou la résiliation du contrat, Agenia supprime ou restitue l'ensemble des données personnelles traitées pour le compte du Client conformément à l'article 11 ci-dessous.

6. Obligations du sous-traitant (Agenia)

Conformément à l'article 28 du RGPD, Agenia s'engage à respecter les obligations suivantes :

1. Instructions documentées : traiter les données personnelles uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données vers des pays tiers.
2. Confidentialité : s'assurer que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité.
3. Sécurité : mettre en œuvre les mesures techniques et organisationnelles appropriées visées à l'article 32 du RGPD (voir article 9 du présent DPA).
4. Sous-traitance ultérieure : ne pas recruter un autre sous-traitant sans autorisation préalable du Client, et informer le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs.
5. Assistance — droits des personnes : aider le Client à donner suite aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition).
6. Assistance — obligations légales : aider le Client à assurer le respect des obligations relatives à la sécurité, aux notifications de violations, aux analyses d'impact et aux consultations préalables.
7. Droit d'audit : mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et permettre la réalisation d'audits (voir article 11).
8. Suppression en fin de contrat : supprimer ou restituer toutes les données personnelles au terme des services, et supprimer les copies existantes sauf obligation légale de conservation.

7. Sous-traitants ultérieurs autorisés

Le Client autorise Agenia à faire appel aux sous-traitants ultérieurs suivants pour la fourniture du service :

• OVHcloud — hébergement des serveurs et stockage des données (France, UE).
• Stripe — traitement des paiements (données de facturation Client uniquement, sans accès aux données des clients finaux).
• PostHog Europe — analytics produit self-hosted, hébergé en Europe.
• OpenAI / Anthropic / Mistral — exécution des modèles LLM en mode passthrough uniquement : les données sont transmises pour traitement en temps réel et ne sont pas conservées ni utilisées pour l'entraînement des modèles.

Agenia informera le Client de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours, laissant au Client la possibilité de s'y opposer.

8. Transferts internationaux

Les données personnelles sont stockées dans l'Union européenne (OVHcloud France). Les transferts vers des pays tiers sont limités aux fournisseurs LLM américains (OpenAI, Anthropic) dans le cadre de traitements en mode passthrough. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne conformément à la décision d'exécution (UE) 2021/914.

9. Mesures de sécurité

Agenia met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'article 32 du RGPD :

• Chiffrement des données au repos : AES-256.
• Chiffrement des données en transit : TLS 1.3.
• Isolation des agents par sandbox gVisor (kernel virtuel par tenant).
• Journaux d'audit immuables conservés 1 an, non modifiables par les agents.
• Contrôle d'accès par rôle (RBAC), authentification multi-facteurs disponible, principe de moindre privilège.
• Pare-feu applicatif, proxy réseau sortant (Squid), et isolation réseau Docker.

10. Violations de données

En cas de violation de données personnelles au sens de l'article 4§12 du RGPD, Agenia notifiera le Client dans les 72 heures suivant la prise de connaissance de l'incident, conformément à l'article 33 du RGPD. La notification contiendra au minimum :

• La nature de la violation et les catégories de données concernées.
• Le nombre approximatif de personnes concernées.
• Les conséquences probables de la violation.
• Les mesures prises ou envisagées pour y remédier.

La notification s'effectuera par e-mail à l'adresse du compte Client enregistré dans Agenia.io.

11. Droit d'audit

Le Client peut, sur demande écrite adressée à dpo@agenia.io avec un préavis de 30 jours, réaliser ou mandater un tiers pour réaliser un audit de conformité des traitements effectués par Agenia pour son compte. Agenia met à disposition les informations et documentations nécessaires. Les frais d'audit sont à la charge du Client, sauf en cas de manquement avéré de la part d'Agenia.

12. Acceptation

En utilisant Agenia.io, le Client accepte les termes du présent DPA. Cette acceptation est effective dès la souscription au service et vaut accord formel au sens de l'article 28§3 du RGPD.

Pour toute question relative au présent accord, contactez : dpo@agenia.io.