1. Objet

Le présent accord de traitement des données à caractère personnel (ci-après le « Data Processing Addendum » ou « DPA ») constitue une annexe au Master Services Agreement conclu entre CRAFT AI, agissant en qualité de Sous-traitant, et le Client, agissant en qualité de Responsable du traitement. Il encadre les traitements de Données à caractère personnel réalisés par CRAFT AI pour le compte du Client, conformément aux dispositions du RGPD et du UK GDPR.
Ce DPA précise les obligations respectives des Parties dans le cadre de l’utilisation des Services proposés par CRAFT AI, incluant, sans s'y limiter, la Plateforme Craft, Craft GPT et tout service professionnel associé, tel que défini dans le MSA et le Bon de Commande applicable.

2. Définitions

Les termes utilisés avec une majuscule dans le présent DPA et non définis ici ou dans le MSA auront la signification qui leur est attribuée par le RGPD. Aux fins du présent DPA, les termes suivants auront la signification suivante :
- RGPD : le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
- UE SCC : les clauses contractuelles types annexées à la Décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 concernant les transferts de données à caractère personnel vers des pays tiers.
- UK Addendum : l'addendum relatif aux clauses contractuelles types de l'UE, émis par l’Information Commissioner's Office (ICO) du Royaume-Uni, applicable aux transferts de données personnelles dans le cadre du UK GDPR, conformément à l'article 119A(1) du Data Protection Act 2018.
- UK GDPR : le RGPD tel qu'incorporé dans le droit interne du Royaume-Uni en vertu du European Union (Withdrawal) Act 2018, modifié notamment par le Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019.

3. Rôle et responsabilités des Parties

Le Client agit en qualité de Responsable du traitement pour toutes les Données à caractère personnel traitées dans le cadre de l’utilisation des Services. À ce titre, il conserve l’entière responsabilité de la légalité du traitement, de la détermination de la base juridique applicable, de l'information des Personnes concernées et du respect des obligations lui incombant au titre de la réglementation applicable.
CRAFT AI agit en qualité de Sous-traitant. Il traite les Données à caractère personnel uniquement sur instruction documentée du Client, dans les limites et conditions définies par le présent DPA et le MSA.

4. Obligations du Client en tant que Responsable du traitement

Le Client s’engage à :
- Collecter et traiter les Données à caractère personnel en stricte conformité avec le RGPD, le UK GDPR, ainsi qu’avec toute autre législation applicable ;
- Informer les Personnes concernées conformément aux articles 13 et 14 du RGPD ;Ne pas intégrer de Données relevant de l’article 9 du RGPD (données sensibles) ou de Données soumises à des régimes spécifiques de protection (telles que données pénales, données de santé, etc.) sans l’accord préalable écrit de CRAFT AI et la mise en œuvre de mesures adaptées;
- S'assurer que les Données transmises via les Services sont pertinentes, exactes, licites et strictement nécessaires aux finalités du traitement ;
- Maintenir un registre de ses traitements incluant ceux confiés à CRAFT AI.

5. Obligations de CRAFT AI en tant que Sous-traitant

Les caractéristiques détaillées des traitements réalisés pour le compte du Client figurent en Annexe A. CRAFT AI s’engage à :
- Ne traiter les Données à caractère personnel que sur instruction documentée du Client et conformément aux termes du présent DPA et du MSA ;
- Informer sans délai le Client s’il considère qu’une instruction constitue une violation manifeste du RGPD, du UK GDPR ou de toute autre législation applicable ;
- Mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté aux risques (Annexe B) ;
- Limiter l’accès aux Données aux seules personnes dûment habilitées, soumises à une obligation appropriée de confidentialité ;
- Coopérer raisonnablement avec le Client, aux frais exclusifs du Client, pour permettre l’exercice des droits des Personnes concernées, la réalisation d’audits documentaires, ou la conduite d’analyses d'impact relatives à la protection des Données, dans la limite du raisonnablement commercial et légal.

6. Recours à des Sous-traitants ultérieurs

CRAFT AI peut recourir à des Sous-traitants ultérieurs pour l’exécution des Services, sous réserve des conditions suivantes :
- Informer le Client par écrit (y compris par courrier électronique ou tout autre support durable) de tout changement prévu concernant l’ajout ou le remplacement d’un Sous-traitant ultérieur, avec un préavis de dix (10) jours ouvrés avant que le traitement par ce Sous-traitant ne commence ;
- Permettre au Client de formuler une objection motivée pour raisons sérieuses liées à la protection des Données à caractère personnel, en notifiant CRAFT AI dans ce délai de dix (10) jours ouvrés ;
- En l'absence d'objection notifiée dans ce délai, le recours au Sous-traitant ultérieur sera réputé accepté par le Client ;
- Imposer contractuellement aux Sous-traitants ultérieurs des engagements de protection des Données à caractère personnel équivalents à ceux du présent DPA.

7. Transferts internationaux

CRAFT AI est autorisé à transférer les Données à caractère personnel vers des pays situés en dehors de l'Espace économique européen (EEE) et du Royaume-Uni dans le strict respect du Chapitre V du RGPD et de son équivalent britannique.
Lorsque CRAFT AI transfère ou autorise un de ses Sous-traitants ultérieurs à transférer des Données vers un pays tiers, il veille à ce que ce transfert repose sur un mécanisme reconnu de protection adéquate, tel que :
- Une décision d’adéquation adoptée par la Commission européenne ou par l'autorité compétente du Royaume-Uni ;
- La signature des Clauses Contractuelles Types de l'Union européenne (Modules 2 ou 3, selon le rôle respectif des Parties), complétées, le cas échéant, par l'UK Addendum ;
- Et, si nécessaire, la mise en œuvre de mesures techniques, organisationnelles ou contractuelles supplémentaires destinées à garantir un niveau de protection essentiellement équivalent à celui exigé par le RGPD et le UK GDPR.
Le cas échéant, CRAFT AI s’assure que les Sous-traitants ultérieurs avec lesquels il collabore sont eux-mêmes contractuellement tenus par des garanties équivalentes. Ces engagements comprennent notamment l’obligation de traiter les Données exclusivement pour la fourniture des Services, d’assurer leur sécurité et confidentialité, et de ne pas procéder à des transferts secondaires sans autorisation préalable.

8. Audit et documentation

Sur demande écrite du Client, CRAFT AI mettra à disposition, dans un délai raisonnable, les documents et informations nécessaires pour démontrer le respect de ses obligations au titre du présent DPA, dans la limite de ce qui est commercialement raisonnable et conforme à la législation applicable.
Si, après examen de la documentation fournie, le Client estime qu’une vérification complémentaire est justifiée, il pourra solliciter la réalisation d’un audit, sous réserve des conditions suivantes :
- L’audit portera exclusivement sur la revue de documents et d’informations mises à disposition par CRAFT AI, à l’exclusion de tout accès direct aux infrastructures, systèmes d’information ou bases de données de CRAFT AI ;
- L’audit ne pourra être réalisé qu’une fois par période de douze (12) mois, sauf en cas de Violation de Données avérée ;
- Le Client devra notifier sa demande au moins trente (30) jours ouvrés à l’avance ;
- L’audit sera limité aux éléments strictement nécessaires à la vérification du respect du présent DPA ;
- Les frais afférents à l’audit, y compris les frais internes de CRAFT AI liés à la collecte et à la mise à disposition des documents, seront intégralement à la charge du Client.

9. Violations de Données

En cas de Violation de Données, CRAFT AI s’engage à :
- Notifier le Client sans délai indu et, en tout état de cause, dans un délai compatible avec les obligations légales applicables ;
- Fournir les informations raisonnablement disponibles concernant la nature de la Violation, les catégories et le volume de Données concernées, les conséquences probables et les mesures prises ou proposées pour remédier à la Violation et en atténuer les effets ;
- Mettre en œuvre les mesures correctrices appropriées pour limiter les conséquences de la Violation.

10. Retour ou destruction des Données

À l’expiration ou à la résiliation du Contrat, le Client pourra demander à CRAFT AI, dans un délai raisonnable, de supprimer ou de lui restituer toutes les Données à caractère personnel traitées dans le cadre des Services, sous réserve des obligations légales de conservation applicables.
CRAFT AI fournira les Données restituées dans un format standard couramment utilisé, sans obligation de conversion spécifique.
Cette obligation ne s’applique pas aux Données archivées sur des systèmes de sauvegarde, à condition que ces Données soient isolées, protégées contre tout traitement actif et conservées uniquement aux fins de conformité légale.
Le Client reconnaît qu’au terme d’un délai de trente (30) jours suivant la résiliation de l’accès aux Services, les Données à caractère personnel deviendront définitivement inaccessibles.

11. Dispositions générales

11.1 Durée
‍Le présent DPA prend effet à la date d’entrée en vigueur du MSA et demeure applicable pendant toute la durée du MSA, y compris ses renouvellements, ainsi que pendant toute période supplémentaire imposée par la législation applicable en matière de conservation des Données à caractère personnel.

‍11.2 Intégration au MSA
‍En cas de contradiction entre les stipulations du présent DPA et celles du MSA, les dispositions du DPA prévaudront en ce qui concerne le traitement des Données à caractère personnel.

‍11.3 Responsabilité
‍La responsabilité des Parties au titre du présent DPA est régie par les clauses de responsabilité prévues dans le MSA.