ANNEXES
1. ANNEXE A – Détails des traitements sous-traités
A. Coordonnées du Délégué à la Protection des Données (DPO) de CRAFT AI
Email : dpo@craft.ai
Adresse : CRAFT AI – DPO, 140 bis rue de Rennes, 75006 Paris, France
B. Traitement relatif à la Plateforme Craft
Éléments
Description
Responsable du traitement
Client
Sous-traitant
CRAFT AI
Personnes concernées
Utilisateurs finaux du Client, toute personne physique dont les Données sont incluses dans les prompts soumis ou contenus générés
Catégories de Données
Données d'identification professionnelle (nom, prénom, adresse email professionnelle), identifiants de connexion, données de journalisation (logs d'accès et d'usage), paramètres de compte utilisateur
Finalités
Fourniture de la Plateforme Craft, gestion des accès, interfaçage avec des services tiers intégrés, support technique, amélioration des performances et de la sécurité
Durée du traitement
Pendant la durée du Contrat, puis archivage ou suppression conformément à l’Article 10 du DPA
Fréquence du traitement
Continu (lors de l’utilisation des Services par les Utilisateurs)
C. Traitement relatif à Craft GPT
Éléments
Description
Responsable du traitement
Client
Sous-traitant
CRAFT AI
Personnes concernées
Utilisateurs finaux du Client, toute personne physique dont les Données sont incluses dans les prompts soumis ou contenus générés
Catégories de Données
Données d'identification professionnelle (nom, prénom, adresse email professionnelle), identifiants de connexion, données de journalisation (logs d'accès et d'usage), paramètres de compte utilisateur, Prompts saisis, contenus générés
Finalités
Fourniture de Craft GPT, génération de réponses basées sur les prompts soumis, gestion des accès, interfaçage avec des services tiers intégrés, support technique, amélioration des performances et de la sécurité
Durée du traitement
Pendant la durée du Contrat, puis archivage ou suppression conformément à l’Article 10 du DPA
Fréquence du traitement
Continu (lors de l’utilisation des Services par les Utilisateurs)
D. Traitement relatif aux Services associés
2. Annexe B – Mesures de sécurité
CRAFT AI met en œuvre les mesures techniques et organisationnelles suivantes. Ces mesures sont maintenues et ajustées régulièrement pour refléter l'évolution de l'état de l'art et les risques identifiés.
1. Hébergement et infrastructures
1.1. Les Données sont hébergées sur des infrastructures certifiées ISO 27001 :
- AWS (Amazon Web Services), dans l’Espace Économique Européen.
- Scaleway, en France.
1.2. Les environnements d'hébergement bénéficient de dispositifs de haute disponibilité, de redondance et de sauvegardes régulières.
2. Sécurité des Données
2.1. Chiffrement systématique des Données à caractère personnel :
- En transit (TLS 1.2 ou supérieur).
- Au repos (AES-256).
2.2. Sauvegardes quotidiennes chiffrées, stockées sur des infrastructures distinctes et supervisées.
2.3. Cloisonnement logique strict des Données entre Clients pour assurer leur isolation.
3. Sécurité applicative
3.1. Revues systématiques de code avant chaque mise en production.
3.2. Scans automatisés réguliers de vulnérabilités sur les applications et composants tiers.
3.3. Déploiement continu des correctifs de sécurité selon la criticité des failles détectées.
3.4. Application stricte du principe du moindre privilège pour les accès aux Données et aux systèmes.
4. Gestion des Accès et Supervision continue
4.1. Authentification multi-facteurs (MFA) (optionnelle).
4.2. Gestion rigoureuse des accès basée sur les rôles et revue périodique des droits d’accès.
4.3. Surveillance continue de la disponibilité, des performances et de la sécurité des systèmes par des outils de supervision interne.
4.4. Collecte de journaux techniques d'événements de sécurité, sans conservation de Données Client dans les logs d’audit.
5. Organisation interne et sensibilisation
5.1. Formations annuelles obligatoires sur la cybersécurité et la protection des Données pour l’ensemble des collaborateurs.
5.2. Plan de réponse aux incidents documenté, testé et actualisé régulièrement.
5.3. Politique interne de sécurité de l'information conforme aux bonnes pratiques ISO 27001.
6. Auditabilité, Résilience et Amélioration continue
6.1. Réalisation régulière de tests d'intrusion par des prestataires tiers spécialisés.
6.2. Accès restreint aux journaux de sécurité et aux sauvegardes sensibles.
6.3. Archivage sécurisé des sauvegardes, avec suppression définitive conforme aux politiques internes à la fin de la durée de conservation.
6.4. Engagement dans un processus d'amélioration continue de la sécurité, en vue de la certification ISO 27001.
3. Annexe C – Sous-traitants ultérieurs autorisés
Le tableau ci-dessous présente les Sous-traitants ultérieurs actuellement autorisés à traiter des Données à caractère personnel pour le compte de CRAFT AI dans le cadre de l'exécution du Contrat. CRAFT AI s'engage à informer le Client de tout changement conformément à l'Article 6 du DPA
1. Fournisseurs d’infrastructure
Sous-traitant
Activités de traitement
Lieu de traitement
DPA
3DS Outscale
Hébergement cloud
France / UE
Amazon Web Services
Hébergement cloud
UE
Microsoft Azure
Hébergement cloud
UE
NumSpot
Hébergement cloud
France
--
OVHcloud
Hébergement cloud
France / UE
Scaleway
Hébergement cloud
UE
2. Fournisseurs de Modèles de Fondation
Sous-traitant
Activités de traitement
Lieu de traitement
DPA
Alibaba (Qwen)
Fourniture Modèle
APAC
Anthropic
Fourniture Modèle
États-Unis
DeepSeek
Fourniture Modèle
APAC
--
Flux.1 Schnell
Fourniture Modèle
APAC
--
Google Gemma/Gemini
Fourniture Modèle
États-Unis
Meta (Llama)
Fourniture Modèle
États-Unis
--
Mistral AI
Fourniture Modèle
France
OpenAI
Fourniture Modèle
États-Unis
Scaleway
Fourniture Modèle
France