Politique de confidentialité
Version 2.1 | En vigueur à compter du 15 mAI 2026 | La version actuelle est toujours disponible sur https://Perspectis.AI/privacy
Le présent Accord de trAItement des données (« ATD ») est publié par Perspectis AI, Inc. sur Perspectis.AI et est intégré par référence au Contrat de services SaaS (ou à un contrat-cadre équivalent) conclu entre le PrestatAIre de services et le Client (le « Contrat principal »). L’ATD est intégré par référence au Contrat principal. La version en vigueur à la date d’entrée en vigueur du Contrat principal s’applique, sous réserve des mises à jour effectuées conformément à l’article 16.6.
En cas de conflit entre le présent accord de protection des données et l'accord principal concernant le trAItement des données personnelles, le présent accord prévaut.
Approche. Le présent accord de protection des données (APD) établit une norme unique et exigeante qui satisfAIt aux exigences applicables dans toutes les juridictions où les parties exercent leurs activités, notamment au Royaume-Uni (RGPD britannique/APD 2018), dans l’Espace économique européen (RGPD de l’UE), au Canada (LPRPDE et Loi québécoise n° 25) et aux États-Unis (CCPA/CPRA et lois étatiques applicables). Lorsqu’un mécanisme spécifique est requis par la loi – comme les clauses contractuelles types pour les transferts internationaux – il est trAIté à l’article 8. Pour le reste, une seule obligation s’applique, quelle que soit la juridiction concernée.
Secret professionnel. Les données client peuvent contenir des informations protégées par le secret professionnel, le secret professionnel de l’avocat ou le secret des relations entre l’avocat et son client. Les obligations renforcées du prestatAIre de services concernant ces informations sont décrites à l’article 12.
Définitions
Dans cet accord de prolongation de la durée :
« Données anonymisées » désigne des données qui ont été rendues irréversiblement dépersonnalisées de telle sorte qu’aucune personne ne puisse rAIsonnablement être identifiée à partir de ces données, que ce soit seules ou en combinAIson avec d’autres informations, conformément aux normes applicables en matière de protection de la vie privée.
« Législation applicable en matière de protection des données » désigne l’ensemble des lois relatives à la protection de la vie privée et des données applicables au trAItement des données personnelles en vertu du présent accord, notamment (sans limitation) : le RGPD et la loi britannique sur la protection des données de 2018 ; le RGPD de l’UE (Règlement (UE) 2016/679) ; la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et ses équivalents provinciaux applicables, y compris la Loi 25 du Québec ; et la California Consumer Privacy Act/California Privacy Rights Act (CCPA/CPRA) AInsi que les autres lois applicables des États américAIns en matière de protection de la vie privée. Lorsque plusieurs lois imposent des normes différentes pour une même obligation, le fournisseur de services se conforme à la norme la plus exigeante.
« Données client » a la signification qui lui est donnée dans le Contrat principal et comprend toutes les Données personnelles qui y sont contenues.
« Personne concernée » désigne toute personne physique dont les données personnelles sont trAItées en vertu du présent accord de protection des données. Les termes « personne concernée », « consommateur » et « personne concernée » sont utilisés indifféremment.
Par « données personnelles », on entend toute information se rapportant à une personne physique identifiée ou identifiable, conformément à la législation applicable en matière de protection des données dans la juridiction concernée. Les termes « données personnelles » et « informations personnelles » sont utilisés indifféremment.
« Violation de données personnelles » désigne toute violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles, de manière accidentelle ou illicite.
« Responsable de la protection des données » désigne la personne désignée par le fournisseur de services pour veiller au respect de la législation applicable en matière de protection des données.
Le terme « trAItement » (et les termes apparentés) a la signification qui lui est donnée par la législation applicable en matière de protection des données.
« Transfert restreint » désigne tout transfert de données personnelles vers un pays qui ne bénéficie pas d’une décision d’adéquation ou d’une conclusion équivalente en vertu de la législation applicable en matière de protection des données.
« CCS » désigne les clauses contractuelles types de l’UE relatives au transfert de données à caractère personnel vers des pays tiers (décision 2021/914/UE de la Commission).
« Données personnelles sensibles » désigne les catégories particulières de données personnelles au sens du RGPD britannique / RGPD européen ; les informations personnelles sensibles au sens du CCPA/CPRA ; et les catégories équivalentes au sens des autres lois applicables en matière de protection des données.
« Sous-trAItant » désigne toute tierce partie engagée par le PrestatAIre de services pour trAIter des Données personnelles pour le compte du Client.
« Liste des sous-trAItants » désigne la liste actuelle des sous-trAItants agréés tenue par le fournisseur de services sur son site web, telle que mise à jour de temps à autre conformément à la clause 7.
« TOM » désigne les mesures techniques et organisationnelles énoncées à l’annexe 2.
« UK IDTA » désigne l’accord britannique de transfert international de données publié par l’ICO en vertu de l’article 119A de la loi de 2018 sur la protection des données (DPA 2018).
Rôles et nomination
Le client est le responsable du trAItement (ou son équivalent au sens de la législation applicable en matière de protection des données) ; le prestatAIre de services est le sous-trAItant ou le prestatAIre de services (ou son équivalent). Le prestatAIre de services ne trAItera les données personnelles que sur instruction écrite du client.
Aux fins du CCPA/CPRA, le fournisseur de services agit en tant que fournisseur de services (et non en tant que tiers ou entreprise) et certifie qu'il : (a) ne vendra ni ne partagera de données personnelles ; (b) n'utilisera pas les données personnelles à d'autres fins que la fourniture des services ; (c) ne combinera pas les données personnelles reçues en vertu du présent DPA avec des données personnelles provenant d'autres sources, sauf dans les limites autorisées par la loi applicable ; et (d) comprend et respectera ces restrictions.
Le prestatAIre de services informera sans délAI le client si, selon son appréciation rAIsonnable, une instruction quelconque enfreindrAIt la loi applicable en matière de protection des données.
Obligations du client
Le Client garantit qu'il dispose, et qu'il mAIntiendra en tout temps, d'une base légale en vertu de la loi applicable en matière de protection des données pour chaque catégorie de données personnelles soumises à la Plateforme, y compris (le cas échéant) un consentement valable, une évaluation des intérêts légitimes ou tout autre fondement juridique applicable.
Le Client est seul responsable de l’exactitude, de la qualité et de la légalité de toutes les Données Personnelles soumises à la Plateforme, AInsi que de la licéité de toutes les instructions de trAItement données au PrestatAIre. Le PrestatAIre n’est pas tenu de vérifier indépendamment la légalité des instructions du Client, mAIs doit se conformer à son obligation de notification conformément à l’article 2.3.
Le Client ne doit pas soumettre de Données Personnelles Sensibles à la Plateforme sans en avoir préalablement informé par écrit le PrestatAIre de Services et sans avoir convenu de mesures de protection supplémentAIres appropriées. En l'absence d'une telle notification et d'un tel accord, le PrestatAIre de Services décline toute responsabilité concernant les Données Personnelles Sensibles soumises à la Plateforme.
Le Client est tenu de mAIntenir ses propres mentions d'information sur la protection des données, registres des activités de trAItement et procédures relatives aux droits des personnes concernées, conformément à la législation applicable en matière de protection des données. Le Client reconnaît que les obligations du PrestatAIre de services au titre du présent Accord de protection des données se limitent à la fourniture d'une assistance technique rAIsonnable et ne s'étendent pas au respect des obligations de conformité du Client en tant que responsable du trAItement.
Le Client indemnisera et dégagera de toute responsabilité le PrestatAIre de services contre toute perte, réclamation, dommage, responsabilité, amende, pénalité, coût et dépense (y compris les frAIs juridiques rAIsonnables) découlant de ou liés à : (a) le manquement du Client à ses obligations en tant que Responsable du trAItement en vertu de la Législation applicable en matière de protection des données ; (b) la violation par le Client des garanties prévues à la présente Clause 3 ; ou (c) toute instruction de trAItement donnée par le Client qui enfreint la Législation applicable en matière de protection des données, à condition que le PrestatAIre de services AIt respecté son obligation de notification en vertu de la Clause 2.3 concernant l’instruction en question.
Instructions de trAItement et confidentialité
Le prestatAIre de services ne trAItera les données personnelles que sur instructions documentées du client, telles que définies dans le présent accord de protection des données, le contrat principal, les bons de commande et toute autre instruction écrite.
La configuration de la Plateforme par le Client — notamment l’activation des fonctionnalités, les paramètres de conservation, les autorisations des utilisateurs, les choix de résidence des données, l’activation des fonctionnalités d’IA et les paramètres d’intégration — constitue une instruction documentée aux fins du présent Accord de Protection des Données (APD). Le PrestatAIre de Services n’est pas tenu d’obtenir une instruction écrite distincte pour chaque trAItement découlant naturellement de l’utilisation de la Plateforme par le Client conformément à sa configuration.
Le prestatAIre de services doit s'assurer que le personnel autorisé à trAIter les données personnelles est soumis à des obligations de confidentialité appropriées et a reçu une formation sur ses obligations en matière de protection des données.
L’accès aux données personnelles sera limité au personnel qui en a besoin pour exécuter les services, selon le principe du moindre privilège.
Le prestatAIre de services s’engage à ne divulguer aucune donnée personnelle à des tiers (y compris les forces de l’ordre ou les autorités gouvernementales) sans le consentement écrit préalable du client, sauf obligation légale. En cas de divulgation légalement imposée, le prestatAIre de services s’engage (dans la mesure permise par la loi) à en informer préalablement le client et à coopérer à la mise en œuvre de toute mesure de protection rAIsonnable.
Le prestatAIre de services désignera un responsable de la protection des données et un contact pour la protection des données (le cas échéant), et communiquera ses coordonnées au client sur demande.
droits individuels
Le prestatAIre de services reconnaît que les personnes concernées peuvent avoir des droits en vertu de la loi applicable en matière de protection des données, notamment les droits suivants : accès ; rectification ou correction ; effacement ou suppression ; limitation ou opposition au trAItement ; portabilité des données ; opposition ; opposition à la vente ou au partage ; limitation de l’utilisation des données personnelles sensibles ; et le droit de ne pas fAIre l’objet de décisions exclusivement automatisées ayant des effets significatifs.
Le prestatAIre de services informera le client dans un délAI de 3 jours ouvrables suivant la réception de toute demande relative aux droits émanant directement d'un particulier et ne répondra pas directement sans l'autorisation du client.
Le prestatAIre de services fournira l'assistance technique (fonctionnalités de recherche, d'exportation, de suppression et de correction) rAIsonnablement nécessAIre au client pour répondre à toute demande relative aux droits individuels dans les délAIs légaux applicables. Le délAI de réponse cible est de 30 jours à compter de la réception de la demande vérifiée.
Le prestatAIre de services ne doit pas exercer de discrimination à l'encontre d'une personne exerçant ses droits en vertu de la loi applicable en matière de protection des données.
Sécurité
Le fournisseur de services doit mettre en œuvre et mAIntenir les TOM énoncés à l'annexe 2, conçus pour répondre aux exigences de la loi applicable en matière de protection des données (y compris la norme de sécurité rAIsonnable en vertu du CCPA/CPRA, de l'article 32 du RGPD britannique/européen et du principe 7 de la PIPEDA).
Le prestatAIre de services doit régulièrement tester, évaluer et apprécier l'efficacité des TOM et les mettre à jour si nécessAIre, en tenant compte de l'état de l'art, des coûts et de la nature du trAItement.
Le prestatAIre de services informera sans délAI le client de toute vulnérabilité réelle ou suspectée susceptible de compromettre la sécurité des données personnelles et prendra immédiatement les mesures correctives nécessAIres.
Sous-processeurs
Le client accorde une autorisation générale pour fAIre appel aux sous-trAItants énumérés à l'annexe 3. Le prestatAIre de services tient à jour sur son site web une liste des sous-trAItants agréés (la « liste des sous-trAItants »), AInsi que des détAIls sur le trAItement effectué par chacun.
Le fournisseur de services publiera sur son site web, avant la prise d'effet de toute nomination proposée d'un nouveau sous-trAItant ou de toute modification substantielle des activités d'un sous-trAItant existant, un avis relatif à cette nomination ou modification. Les clients abonnés aux notifications de mise à jour des sous-trAItants (en envoyant un courriel à [NEW DPA EMAIL ADDRESS]) recevront une notification pour chaque publication de ce type.
Si les parties ne parviennent pas à résoudre le différend dans un délAI de 30 jours, le PrestatAIre de services s'efforcera de mettre à disposition une configuration alternative des Services concernés, n'impliquant pas le Sous-trAItant fAIsant l'objet de l'objection. Si aucune configuration alternative n'est rAIsonnablement disponible et que le Sous-trAItant contesté est indispensable au fonctionnement essentiel des Services tel que décrit dans le Bon de commande applicable, le Client pourra résilier ledit Bon de commande sans pénalité moyennant un préavis écrit de 30 jours. Il est entendu qu'un Sous-trAItant ne sera considéré comme indispensable au fonctionnement essentiel que si sa suppression rendrAIt inopérantes les fonctionnalités essentielles décrites dans le Bon de commande applicable.
Le prestatAIre de services imposera à chaque sous-trAItant, par contrat écrit, des obligations de protection des données équivalentes à celles du présent accord de protection des données, y compris des obligations qui satisfont à la législation applicable en matière de protection des données dans chaque juridiction où des données personnelles sont trAItées.
Le prestatAIre de services demeure pleinement responsable envers le client des actes et omissions de ses sous-trAItants comme s’il s’agissAIt des siens.
Transferts internationaux
Obligation principale. Les parties mettront en œuvre un mécanisme de transfert approprié pour tout transfert restreint avant que celui-ci n'AIt lieu. Par « mécanisme de transfert », on entend les clauses contractuelles types, la loi britannique sur la protection des données personnelles (UK IDTA), une décision d'adéquation ou tout autre mécanisme permettant le transfert conformément à la législation applicable en matière de protection des données.
Transferts au sein de l'EEE. En cas de transfert restreint au sein de l'EEE, impliquant le transfert de données personnelles du Client (responsable du trAItement) au PrestatAIre de services (sous-trAItant), les parties se conformeront aux clauses contractuelles types (CCT) de l'UE (module 2, Responsable du trAItement vers sous-trAItant, décision 2021/914 de la Commission), lesquelles sont intégrées au présent accord de protection des données par référence et activées automatiquement lors d'un tel transfert. Les options choisies par les parties sont les suivantes : la clause 7 (clause d'ancrage) s'applique ; la clause 9(a), option 2 (autorisation écrite générale), s'applique avec un préavis de 30 jours conforme à la clause relative aux sous-trAItants du présent accord ; le mécanisme de recours facultatif prévu à la clause 11(a) ne s'applique pas.
Transferts au Royaume-Uni. En cas de transfert restreint au Royaume-Uni, les parties se conformeront à l'accord britannique de transfert de données à caractère personnel (UK IDTA), qui intègre les clauses contractuelles types de l'UE et l'avenant britannique (publié par l'ICO en vertu de l'article 119A de la loi de 2018 sur la protection des données). Ces clauses sont intégrées au présent accord de protection des données par référence et activées automatiquement lors d'un tel transfert. Les informations relatives aux parties et la description des trAItements aux fins de l'accord UK IDTA figurent respectivement dans l'accord principal et à l'annexe 1 du présent accord de protection des données.
Lieux de trAItement choisis par le client. Par défaut, tous les trAItements sont effectués dans la juridiction sélectionnée par le client dans le formulAIre de commande. Si le client active une option ou sélectionne un modèle nécessitant un trAItement dans une autre juridiction, sa sélection expresse constitue une instruction de transfert documentée et une confirmation du lieu de trAItement. Le prestatAIre de services doit indiquer la juridiction de trAItement au client au moment de la sélection de l'option ou du modèle. Le prestatAIre de services doit s'assurer que le mécanisme de transfert applicable est en place avant tout transfert.
Transferts entre sous-trAItants. Lorsqu'un prestatAIre de services fAIt appel à un sous-trAItant nécessitant un transfert transfrontalier, il doit s'assurer que le mécanisme de transfert applicable est en place entre lui et ce sous-trAItant avant le transfert. Pour les transferts entre sous-trAItants de l'EEE, les clauses contractuelles types de l'UE (module 3) s'appliquent. Pour les transferts entre sous-trAItants du Royaume-Uni, le module applicable de l'avenant britannique s'applique.
Canada. Les transferts de données personnelles assujettis à la LPRPDE ou à la Loi 25 du Québec doivent être soumis à des protections contractuelles assurant un niveau de protection comparable à celui exigé par la loi canadienne, conformément à l’article 10.3 de la LPRPDE. Aucun mécanisme de transfert transfrontalier n’est requis lorsque le Canada est à la fois le pays d’origine et le pays de destination.
États-Unis. Aucun mécanisme de transfert transfrontalier n'est requis pour les trAItements effectués et conservés aux États-Unis. La désignation de fournisseur de services CCPA à l'article 2 s'applique à tous les trAItements effectués aux États-Unis.
Mise à jour automatique. En cas de mise à jour, de modification ou de remplacement d'un mécanisme de transfert par une autorité compétente, le mécanisme mis à jour remplace automatiquement le mécanisme précédent aux termes du présent accord de protection des données à compter de la date à laquelle le prestatAIre de services en informe le client et devient contrAIgnant pour les parties à compter de la date indiquée dans cette notification. Le prestatAIre de services notifie le client sans délAI indu après la publication du mécanisme mis à jour.
Informations relatives au trAItement aux fins des clauses contractuelles types (CCT). Les informations requises par l’annexe I des CCT de l’UE (liste des parties et description du transfert) sont les suivantes : les coordonnées de l’exportateur de données figurent dans l’accord principal et le bon de commande ; les coordonnées de l’importateur de données figurent dans l’en-tête du présent accord de protection des données (APD) ; la description des activités de trAItement et des catégories de données à caractère personnel figure à l’annexe I du présent APD. Les mesures techniques et organisationnelles prévues à l’annexe II des CCT de l’UE sont décrites à l’annexe 2 du présent APD.
Notification des incidents de sécurité et des violations de données
Le prestatAIre de services informera le client sans délAI indu, et en tout état de cause dans les 24 heures suivant la découverte d'une violation de données à caractère personnel confirmée ou rAIsonnablement suspectée. Cette notification sera adressée au contact désigné par le client et comprendra toutes les informations alors disponibles et nécessAIres au client pour satisfAIre à ses propres obligations de notification en vertu de la législation applicable en matière de protection des données.
Le fournisseur de services doit fournir au client un rapport d'incident écrit dans les 30 jours suivant le confinement, couvrant : la cause première ; les catégories de données et les volumes estimés affectés ; les mesures correctives prises et prévues ; et toute modification apportée aux TOM.
Le prestatAIre de services doit tenir un registre de tous les incidents de sécurité (y compris ceux inférieurs aux seuils de déclaration) et le mettre à la disposition du client sur demande.
La notification d'un manquement ne constitue pas un aveu de faute ou de responsabilité de la part de l'une ou l'autre des parties.
Évaluations d'impact sur la vie privée
Le prestatAIre de services fournira au client une assistance rAIsonnable pour réaliser toute évaluation d'impact sur la vie privée ou toute évaluation d'impact sur la protection des données requise en vertu de la loi applicable en matière de protection des données, y compris les descriptions des activités de trAItement, des TOM, les détAIls des sous-trAItants et autres informations pertinentes.
Lorsque le PrestatAIre de services introduit un nouveau système, une nouvelle technologie ou un nouveau service impliquant le trAItement de données personnelles, il doit réaliser sa propre analyse d'impact sur la vie privée et en fournir un résumé au Client sur demande.
Le prestatAIre de services assistera le client dans toute consultation préalable requise auprès d'une autorité de surveillance ou d'une autorité de protection des données.
Droits d'audit
Le prestatAIre de services doit mettre à disposition toutes les informations rAIsonnablement nécessAIres pour démontrer sa conformité au présent accord de protection des données et à la législation applicable en la matière.
Pas plus d’une fois par année civile (sauf en cas de motifs rAIsonnables de soupçonner une violation importante), et sur préavis écrit de 30 jours, le Client peut : (a) exiger du PrestatAIre de services qu’il remplisse un questionnAIre de conformité écrit ; ou (b) aux frAIs du Client, fAIre réaliser ou commander un audit indépendant des activités de trAItement et des TOM du PrestatAIre de services.
Le prestatAIre de services peut satisfAIre à son obligation d'audit en fournissant des rapports d'audit tiers actuels (certificat SOC 2 Type II, ISO 27001 ou équivalent) lorsque ces rapports sont suffisants pour démontrer la conformité à l'obligation pertinente.
privilège professionnel juridique
Le fournisseur de services reconnaît que les données client peuvent inclure des informations soumises au secret professionnel juridique, au secret professionnel de l’avocat ou au secret professionnel de l’avocat (collectivement, les « informations privilégiées »).
En ce qui concerne les documents confidentiels, le prestatAIre de services doit : (a) ne pas y accéder, les utiliser, les divulguer ou les trAIter, sauf dans la stricte mesure nécessAIre à la fourniture des services ; (b) mAIntenir des contrôles d’accès et des journaux d’accès ; (c) ne pas les divulguer à un tiers sans le consentement écrit préalable du client ; et (d) informer immédiatement le client de toute divulgation forcée, réelle ou potentielle.
Le prestatAIre de services s’engage à AIder le client à se conformer aux règles de déontologie et aux exigences réglementAIres qui lui sont applicables dans ses juridictions d’exploitation.
Les obligations prévues dans la présente clause 12 survivent à la résiliation du contrat principal tant que les documents confidentiels restent en possession ou sous le contrôle du prestatAIre de services, et pendant une période minimale de 7 ans après la résiliation.
IA et trAItement automatisé
Le PrestatAIre de services s’engage à ne pas utiliser les Données du Client pour entraîner, optimiser ou améliorer un modèle d’IA ou d’apprentissage automatique sans l’accord écrit préalable du Client. Il est précisé que cette interdiction ne s’applique pas aux Données anonymisées qui ne permettent pas d’identifier une personne physique. Cette interdiction s’applique également aux CommentAIres (tels que définis dans le Contrat principal) et aux Données du PrestatAIre de services générées par l’utilisation de la Plateforme par le Client.
Le fournisseur de services peut utiliser des données d'utilisation agrégées, entièrement anonymisées et irréversibles (notamment les indicateurs de performance du système, les habitudes d'utilisation des fonctionnalités et les journaux d'erreurs ne contenant aucune donnée personnelle et ne permettant pas d'identifier un client ou un utilisateur) afin d'améliorer les performances, la fiabilité et les fonctionnalités des services. Cette utilisation ne constitue pas un trAItement de données personnelles ou de données client, ni un entraînement de modèle d'IA ou d'apprentissage automatique sur les données client, et n'est pas soumise aux restrictions de l'article 13.1. Le client peut à tout moment demander une confirmation écrite que ses données client et ses données personnelles n'ont pas été utilisées pour l'entraînement de modèles.
Le prestatAIre de services doit, sur demande et au moins une fois par an, divulguer l'identité et la version de tout modèle d'IA trAItant des données personnelles, confirmer si des données client ont été utilisées pour l'entraînement et fournir des informations sur toute prise de décision automatisée ayant des effets significatifs sur les personnes physiques.
Le prestatAIre de services doit tenir un registre d'IA et le mettre à la disposition du client sur demande.
Retour et suppression
À la résiliation ou à l'expiration du contrat principal, le prestatAIre de services devra :
(a) pendant 30 jours après la résiliation ou l'expiration, mettre les données client à disposition pour l'exportation dans des formats standard de l'industrie (CSV, JSON, Excel) sans frAIs supplémentAIres, conformément aux mécanismes d'exportation définis dans l'accord principal ;
(b) À l’expiration du délAI d’exportation de 30 jours, supprimer de manière sécurisée toutes les Données Client, y compris toutes les copies détenues par les Sous-trAItants et toutes les sauvegardes applicables, en les écrasant ou en les rendant définitivement inaccessibles, sauf si : (i) le Client en a convenu par écrit ; (ii) la conservation est nécessAIre pour résoudre des litiges juridiques ou des procédures réglementAIres en cours ; ou (iii) la loi applicable exige une conservation plus longue – auquel cas le PrestatAIre de services doit : (A) informer le Client par écrit et à l’avance de son intention de conserver ces données et du fondement juridique de cette conservation ; (B) ne conserver que les données minimales requises pendant la durée minimale requise par la loi ; et (C) appliquer aux données conservées les mêmes mesures de protection que celles appliquées pendant la Durée du contrat ;
(c) fournir de manière proactive au Client une certification écrite de suppression, y compris la confirmation que les copies et les sauvegardes du Sous-trAItant ont été supprimées, dans les 30 jours suivant l'achèvement, et en outre sur demande écrite du Client à tout moment ;
d) sur demande écrite du Client, fournir une preuve rAIsonnable de la méthode de suppression appliquée.
Le prestatAIre de services trAItera les demandes de suppression individuelles vérifiables dans les délAIs requis par la loi applicable en matière de protection des données, en appliquant la norme applicable la plus exigeante et en aucun cas en dépassant 45 jours.
Les obligations prévues dans la présente clause 14 survivent à la résiliation de l’accord principal jusqu’à leur achèvement et leur certification.
Durée et résiliation
Le présent accord de protection des données prend effet à la date d'entrée en vigueur de l'accord principal et dure jusqu'à la même date que ce dernier.
Les obligations suivantes survivent à la résiliation : Clause 4 (Confidentialité) — 5 ans ; Clause 9 (Notification de violation) — 7 ans ; Clause 12 (Privilège) — tant que le matériel privilégié reste en possession ou sous le contrôle du fournisseur de services, et pendant au moins 7 ans après la résiliation ; Clause 14 (Suppression) — jusqu’à l’achèvement et la certification.
Chacune des parties peut résilier le présent accord de protection des données en cas de manquement substantiel de l’autre partie, moyennant un préavis écrit de 30 jours et l’absence de correction dans ce délAI lorsque le manquement est susceptible d’être remédié.
Général
Limitation de responsabilité. (a) La responsabilité globale du PrestatAIre de services au titre du présent Accord de protection des données (y compris en cas de violation de données personnelles) ne saurAIt excéder le plafond de responsabilité fixé dans l’Accord principal. (b) Ce plafond s’applique indépendamment du fondement de la réclamation (contractuel, délictuel, y compris la négligence, légal ou autre) et inclut (sans s’y ajouter) toute responsabilité découlant de l’Accord principal. (c) En cas de réclamation d’une autorité de contrôle, d’une personne physique ou d’un tiers à l’encontre de l’une ou l’autre des parties en lien avec le trAItement des données personnelles effectué dans le cadre du présent Accord de protection des données, les parties coopéreront de bonne foi et chacune assumera la responsabilité imputable à ses propres actes ou omissions. Aucune disposition de la présente clause 16.1 n’exclut ou ne limite la responsabilité qui ne peut être exclue ou limitée en vertu de la législation applicable en matière de protection des données.
Le prestatAIre de services doit mAIntenir une assurance responsabilité civile cybernétique et une assurance protection des données d'un montant commercialement rAIsonnable pendant toute la durée du contrat principal et doit fournir une preuve de cette couverture au client sur demande écrite.
Droit applicable et juridiction compétente. Le présent accord de protection des données (APD) est régi par le même droit que l’accord principal. À défaut de précision du droit applicable dans l’accord principal, le présent APD sera régi par le droit de l’État de New York, sans égard à ses règles de conflit de lois. Les parties se soumettent à la compétence non exclusive des tribunaux de l’État de New York. Aucune disposition de la présente clause ne porte atteinte aux droits et obligations des parties en vertu du droit applicable en matière de protection des données dans toute autre juridiction.
Le présent accord de protection des données, AInsi que ses annexes, constitue l'intégralité de l'accord entre les parties concernant le trAItement des données personnelles en vertu de l'accord principal et remplace tous les accords antérieurs portant sur le même objet.
Toutes les notifications en vertu du présent accord de protection des données doivent être fAItes par écrit et envoyées aux coordonnées spécifiées dans l'accord principal ou, pour les questions de protection des données, à support@Perspectis.AI.
Conditions générales et modifications. (a) Le présent Accord de protection des données (APD) constitue les conditions générales de trAItement des données du PrestatAIre de services, publiées sur son site web et intégrées par référence au Contrat principal. (b) Le PrestatAIre de services peut mettre à jour le présent APD en publiant une version révisée sur son site web, moyennant un préavis d'au moins 30 jours au Client par e-mAIl ou notification intégrée au produit. (c) La version révisée entre en vigueur à l'issue du délAI de préavis, sauf si le Client notifie au PrestatAIre de services une objection substantielle par écrit dans ce même délAI. (d) Si le Client s'y oppose et que les parties ne parviennent pas à résoudre le problème dans un délAI supplémentAIre de 14 jours, chacune d'elles peut résilier les Services concernés moyennant un préavis rAIsonnable et sans pénalité. (e) Le PrestatAIre de services peut apporter des modifications sans préavis lorsque cela est requis par des changements de la législation applicable en matière de protection des données, les recommandations des autorités de contrôle ou une décision de justice, à condition que ces modifications ne réduisent pas sensiblement les protections dont bénéficie le Client en vertu du présent APD. (f) Les modifications apportées au présent APD et spécifiques au Client ne sont contrAIgnantes que si elles sont signées par écrit par un directeur ou un signatAIre autorisé du PrestatAIre de services et qu'elles stipulent expressément qu'elles remplacent la disposition pertinente du présent APD.
Description standard des trAItements. (a) La description standard des trAItements figurant à l’annexe 1 reflète les activités de trAItement standard de la plateforme du PrestatAIre de services dans le cadre de la fourniture des Services. (b) Si les activités de trAItement spécifiques du Client diffèrent sensiblement de cette description, les parties consigneront les différences dans le Bon de commande ou dans un avenant écrit au présent Accord de protection des données. (c) Le Client est responsable de la tenue de ses propres registres d’activités de trAItement (y compris les registres requis en vertu de l’article 30 du RGPD britannique/européen et des exigences équivalentes prévues par toute autre législation applicable en matière de protection des données) en sa qualité de Responsable du trAItement.
ANNEXE 1
Description des activités de trAItement
Cette description standard des trAItements reflète les activités de trAItement effectuées par le prestatAIre de services dans le cadre de la fourniture des services. Les variations propres au client, le cas échéant, sont consignées dans le bon de commande correspondant.
A. Sujet trAIté
Fourniture de services de technologie juridique basés sur le SaaS, y compris le suivi autonome du temps, la gestion des dossiers, la révision de documents assistée par l'IA, la facturation conforme à LEDES et les services connexes, tels que décrits dans l'accord principal et les formulAIres de commande applicables.
B. Durée
Pour la durée du contrat principal et de tout bon de commande ou énoncé des travaux applicable, plus toute période de conservation légalement requise.
C. Nature et finalité
Hébergement, stockage et trAItement des données client pour fournir les services ; contrôle d’accès et gestion des identités ; analyses et rapports à usage interne du client ; assistance technique (sur demande du client uniquement) ; trAItement IA/LLM optionnel si activé par le client ; et surveillance de la sécurité et réponse aux incidents.
D. Catégories d'individus
Le personnel du Client (avocats, assistants juridiques, personnel administratif) ; les clients et contreparties du Client (dans la mesure où ils sont inclus dans les Données Client) ; les utilisateurs finaux des Services ; et les autres personnes dont les données personnelles sont soumises à la Plateforme.
E. Catégories de données personnelles
Données de contact et d'identification (noms, adresses électroniques, numéros de téléphone, titres de poste) ; données d'utilisation et d'accès (heures de connexion, utilisation des fonctionnalités, journaux de session) ; données de sAIsie du temps et des dossiers (y compris les descriptions narratives du travAIl juridique) ; métadonnées des documents (et, lorsque les fonctionnalités d'IA sont activées, contenu des documents) ; données de facturation ; et toutes autres données personnelles que le Client soumet à la Plateforme de temps à autre.
F. Catégories sensibles/spéciales
Le prestatAIre de services ne trAIte pas intentionnellement de données personnelles sensibles. Dans la mesure où les données client contiennent incidemment de telles données, les dispositions de l'article 3.3 s'appliquent.
ANNEXE 2
Mesures techniques et organisationnelles
Ces mesures visent à satisfAIre aux exigences de sécurité de la législation applicable en matière de protection des données, notamment la norme de sécurité rAIsonnable (CCPA/CPRA), l’article 32 (RGPD Royaume-Uni/UE) et le principe de sauvegarde (LPRPDE). Elles sont conformes aux contrôles CIS et à la norme NIST SP 800-53.
DomAIne de contrôle
Mesures mises en œuvre
Contrôle d'accès
Contrôle d'accès basé sur les rôles (RBAC) ; principe du moindre privilège ; authentification multifacteur (MFA) appliquée à tous les comptes privilégiés ; examens réguliers des accès ; identifiants utilisateur uniques ; pas d'informations d'identification partagées ; outils PAM.
Chiffrement — Au repos
AES-256 pour toutes les données client stockées ; sauvegardes chiffrées ; AWS S3 SSE ; clés de chiffrement via AWS KMS avec rotation annuelle.
Chiffrement — En transit
TLS 1.2 minimum (TLS 1.3 préféré) ; HTTPS obligatoire ; AWS Certificate Manager ; HSTS activé.
Sécurité du réseau
Pare-feu et WAF ; segmentation du réseau ; isolation VPC ; IDS/IPS ; atténuation des attaques DDoS ; analyses de ports régulières et évaluations de vulnérabilité.
Gestion des vulnérabilités et des correctifs
Analyse automatisée des vulnérabilités ; correctifs critiques/élevés sous 30 jours ; tests d’intrusion annuels réalisés par un tiers ; suivi des résultats jusqu’à leur correction.
Détection et réponse aux incidents
Surveillance et alerte SIEM 24h/24 et 7j/7 ; plan de réponse aux incidents documenté ; équipe d’intervention désignée ; exercices de simulation ; notification du client dans les 72 heures suivant la confirmation de la violation.
Continuité des activités et sauvegarde
Sauvegardes automatisées quotidiennes ; conservation de 30 jours ; stockage géo-redondant ; RTO < 4 heures, RPO < 24 heures pour les services de niveau 1 ; tests de continuité annuels.
Sécurité physique
Infrastructure de production dans des centres de données AWS avec des contrôles physiques certifiés ISO 27001 et SOC 2 Type II (gardes 24h/24 et 7j/7, vidéosurveillance, accès biométrique, contrôles environnementaux).
Sécurité du personnel
Vérifications des antécédents avant l'embauche ; accords de confidentialité ; formation annuelle obligatoire à la protection des données ; accès révoqué dans les 24 heures suivant le départ.
Gestion des fournisseurs
Vérification préalable à l'engagement ; obligations contractuelles de protection des données transmises à tous les sous-trAItants ; examen annuel de la posture de sécurité.
Programme de confidentialité
Responsable de la protection des données désigné ; programme de gestion de la protection des données ; protection des données par défaut mise en œuvre sur la plateforme.
Certifications
Le prestatAIre de services met actuellement en œuvre un programme de gestion de la sécurité de l'information conforme aux principes de la norme ISO/IEC 27001. Il prévoit d'obtenir la certification SOC 2 Type II et informera le client de son obtention. Les rapports d'évaluation de sécurité réalisés par des tiers sont disponibles sur demande écrite, sous réserve d'une obligation de confidentialité.
Minimisation et conservation des données
Collecte limitée au strict nécessAIre ; suppression automatique dans les 30 jours suivant l'exportation ; paramètres de conservation configurables sur la plateforme.
ANNEXE 3
Sous-trAItants agréés
Les sous-trAItants suivants sont agréés à la date d'entrée en vigueur du contrat principal et sont publiés sur la liste des sous-trAItants disponible sur le site web du prestatAIre de services. Ce dernier s'assure que chacun d'eux est soumis à des obligations de protection des données équivalentes à celles prévues par le présent accord. Les clients peuvent s'abonner aux notifications de mise à jour concernant les sous-trAItants en envoyant un courriel à dataprivacy@Perspectis.AI.
Sous-processeur
Service / Objectif
Lieu(x) de trAItement
Sauvegarde
Amazon Web Services (AWS)
Hébergement cloud principal, stockage, calcul, base de données
Canada (ca-central-1) — par défaut ; Royaume-Uni (eu-west-2) ; États-Unis (us-east-1) si activé
AWS DPA ; ISO 27001, SOC 2 Type II ; SCC / UK IDTA / accord de transfert, le cas échéant
OpenAI, S.L.C.
TrAItement IA/LLM (optionnel — désactivé par défaut)
États-Unis
Aucune formation sur les données clients ; clauses contractuelles types / accord UK IDTA / PIPEDA, le cas échéant
Microsoft Azure (Azure OpenAI)
IA d'entreprise / LLM — option de résidence
Canada, Royaume-Uni ou UE (configurable)
Protection des données Microsoft ; ISO 27001 / SOC 2 ; lieu de résidence sélectionnable dans le bon de commande
Microsoft Azure (Services vocaux)
Transcription vocale (facultatif)
Configurable (Canada / Royaume-Uni / États-Unis de préférence)
Protection des données Microsoft ; activée uniquement si le client active la fonctionnalité
Confido Legal (si activé)
TrAItement des pAIements pour les intégrations de facturation
Canada / États-Unis
Conforme à la norme PCI-DSS ; utilisé uniquement si l’intégration des pAIements est activée.

