Jaydai

Accord de Traitement des Données

Derniere mise a jour : 30 janvier 2026

PRÉAMBULE

Le présent Accord de Traitement des Données (ci-après "DPA") est conclu entre :

ARCHIMIND SAS, société par actions simplifiée, dont le siège social est situé 75 ter avenue de Wagram, 75017 Paris, France, ci-après dénommée "le Sous-traitant" ou "JayDAI"

ET

Le Client, personne morale ou physique ayant souscrit aux Services JayDAI, ci-après dénommé "le Responsable de Traitement"

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation acceptées par le Client lors de son inscription aux Services JayDAI.

ARTICLE 1 - DÉFINITIONS

  • "Données Personnelles" : toute information se rapportant à une personne physique identifiée ou identifiable au sens de l'article 4 du RGPD.
  • "Traitement" : toute opération effectuée sur des Données Personnelles.
  • "Responsable de Traitement" : le Client qui détermine les finalités et les moyens du Traitement.
  • "Sous-traitant" : JayDAI (Archimind SAS), qui traite des Données Personnelles pour le compte du Responsable de Traitement.
  • "Sous-traitant Ultérieur" : tout sous-traitant engagé par JayDAI pour effectuer des activités de Traitement.
  • "Violation de Données" : violation de la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de Données Personnelles.
  • "Services" : les services JayDAI (extension Chrome, application web et fonctionnalités associées).

ARTICLE 2 - OBJET DU DPA

Le présent DPA définit les conditions dans lesquelles le Sous-traitant effectue les opérations de Traitement de Données Personnelles pour la fourniture des Services, conformément à l'article 28 du RGPD.

ARTICLE 3 - DESCRIPTION DU TRAITEMENT

3.1 Nature et Finalités

  • Gestion des comptes utilisateurs
  • Fourniture de l'extension Chrome et de l'application web
  • Synchronisation optionnelle des conversations IA
  • Analyse et enrichissement des données (qualité, thèmes, risques)
  • Support technique et amélioration des Services

3.2 Catégories de Données

Identification (Nom, email, photo) - Obligatoire | Professionnelles (Organisation, rôle, équipe) - Optionnel | Conversations IA (Messages, prompts, métadonnées) - Consentement | Techniques (IP, logs, user agent) - Obligatoire

3.3 Personnes Concernées

Utilisateurs finaux et administrateurs des Services JayDAI.

3.4 Durée

Le Traitement est effectué pendant toute la durée du Contrat Principal.

ARTICLE 4 - OBLIGATIONS DU SOUS-TRAITANT

Conformément à l'article 28 du RGPD, le Sous-traitant s'engage à :

4.1 Instructions Documentées

Traiter les Données uniquement sur instruction documentée du Responsable de Traitement.

4.2 Confidentialité

Veiller à ce que le personnel autorisé soit soumis à une obligation de confidentialité.

4.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles appropriées (Article 7).

4.4 Sous-traitance

Ne recruter aucun sous-traitant sans autorisation préalable (Article 8).

4.5 Assistance

Aider le Responsable à répondre aux demandes des personnes concernées et à respecter ses obligations RGPD.

4.6 Fin du Traitement

Supprimer ou restituer les Données au terme du Contrat (Article 12).

4.7 Audit

Permettre et contribuer aux audits (Article 11).

ARTICLE 5 - OBLIGATIONS DU RESPONSABLE DE TRAITEMENT

  • Documenter par écrit toute instruction
  • Veiller à la licéité du Traitement et obtenir les consentements nécessaires
  • Informer le Sous-traitant de toute modification impactant la sécurité
  • Répondre aux demandes d'information du Sous-traitant

ARTICLE 6 - LOCALISATION ET TRANSFERTS

6.1 Localisation

Les Données sont hébergées dans l'UE (AWS eu-central-1, Francfort, Allemagne).

6.2 Transferts Hors UE

Les transferts sont encadrés par :

  • Décisions d'adéquation de la Commission Européenne
  • EU-US Data Privacy Framework (pour les USA)
  • Clauses Contractuelles Types (CCT) - Décision 2021/914

ARTICLE 7 - MESURES DE SÉCURITÉ

7.1 Mesures Techniques

  • Chiffrement TLS 1.3 en transit et AES-256 au repos
  • Authentification multi-facteurs (MFA)
  • Contrôle d'accès basé sur les rôles (RBAC)
  • Protection DDoS (Cloudflare) et pare-feu applicatif
  • Sauvegardes automatisées et réplication géographique

7.2 Mesures Organisationnelles

  • Délégué à la Protection des Données (DPO) désigné
  • Politique de sécurité documentée
  • Formation du personnel à la protection des données
  • Tests de pénétration et audits de sécurité
  • Engagement vers la certification ISO 27001

ARTICLE 8 - SOUS-TRAITANTS ULTÉRIEURS

8.1 Autorisation Générale

Le Responsable autorise le recours aux Sous-traitants Ultérieurs listés sur la page Sous-traitants.

8.2 Notification

Tout changement sera notifié avec un préavis de 30 jours.

8.3 Droit d'Objection

Le Responsable dispose de 15 jours pour émettre une objection motivée à [email protected].

8.4 Responsabilité

Le Sous-traitant reste responsable de l'exécution des obligations par ses Sous-traitants Ultérieurs.

ARTICLE 9 - VIOLATIONS DE DONNÉES

9.1 Notification

En cas de Violation, le Sous-traitant notifie le Responsable dans les 48 heures.

9.2 Contenu

  • Nature de la violation et nombre de personnes concernées
  • Coordonnées du point de contact
  • Conséquences probables
  • Mesures prises pour y remédier

9.3 Assistance

Le Sous-traitant assiste le Responsable pour ses obligations de notification (articles 33-34 RGPD).

ARTICLE 10 - DROITS DES PERSONNES CONCERNÉES

Le Sous-traitant aide le Responsable à répondre aux demandes d'exercice des droits :

  • Accès, rectification, effacement
  • Limitation, portabilité, opposition

Des outils en libre-service sont disponibles dans le compte utilisateur.

ARTICLE 11 - AUDIT

  • Préavis écrit de 30 jours ouvrés
  • Limité à 1 audit par an (sauf violation ou demande d'autorité)
  • Coûts à la charge du Responsable (sauf manquement constaté)
  • Certifications et rapports tiers acceptés (SOC 2, ISO 27001)

ARTICLE 12 - FIN DU CONTRAT

12.1 Choix du Responsable

Dans les 30 jours suivant la fin du Contrat, le Responsable peut demander la restitution ou la suppression des Données.

12.2 Suppression par Défaut

Sans instruction, les Données sont supprimées dans les 90 jours.

12.3 Conservation Légale

Les Données peuvent être conservées si une obligation légale l'exige.

ARTICLE 13 - RESPONSABILITÉ

Le Sous-traitant n'est responsable que s'il n'a pas respecté ses obligations RGPD ou a agi en dehors des instructions licites du Responsable.

ARTICLE 14 - DISPOSITIONS GÉNÉRALES

  • Hiérarchie : En cas de contradiction, le DPA prévaut pour la protection des données
  • Modifications : Notifiées avec 30 jours de préavis
  • Droit applicable : Droit français - Tribunaux de Paris

ARTICLE 15 - CONTACT

ARCHIMIND SAS

75 ter avenue de Wagram, 75017 Paris, France

Email : [email protected]

DPO : [email protected]