# Contrat de sous-traitance des données personnelles
# (Data Processing Agreement — DPA, art. 28 RGPD)

> **Conforme au modèle officiel CNIL** "Guide du sous-traitant — édition septembre 2017"
> https://www.cnil.fr/sites/cnil/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
> Adapté pour le déploiement de **Jules — Agent IA personnel autonome (JAAP)** par PharmaLift Solutions SASU.

---

## ENTRE

**[À COMPLÉTER : Raison sociale du client]**, [forme juridique], au capital de [montant] €,
immatriculée au RCS de [ville] sous le n° [SIREN],
dont le siège social est situé [adresse complète],
représentée par [Prénom NOM], en sa qualité de [fonction],

ci-après désigné « **le Responsable de traitement** » ou « le Client »,

**d'une part,**

## ET

**PHARMALIFT SOLUTIONS**, société par actions simplifiée (SAS) au capital de **100,00 €**,
immatriculée au Registre du Commerce et des Sociétés de **Toulon** sous le n° **988 584 124** (SIRET siège : **988 584 124 00016**),
exerçant sous le code APE **85.59A** (Formation continue d'adultes),
dont le siège social est situé au **1288 route de Janas (VC 202), 83500 La Seyne-sur-Mer**,
représentée par M. **Philippe LEVY**, en sa qualité de **Président**,
téléphone : **06 15 36 06 56** · email : **contact@pharmaliftsolutions.com** · site : **www.pharmaliftsolutions.com**

ci-après désignée « **le Sous-traitant** » ou « PharmaLift »,

**d'autre part.**

---

## I. OBJET

Les présentes clauses ont pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel définies ci-après dans le cadre du déploiement et de la maintenance de **Jules — Agent IA personnel autonome (« JAAP »)**.

Dans le cadre de leurs relations contractuelles, les parties s'engagent à respecter la réglementation en vigueur applicable au traitement de données à caractère personnel et, en particulier, le **règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016** applicable à compter du 25 mai 2018 (ci-après, « le règlement européen sur la protection des données » ou « RGPD »).

---

## II. DESCRIPTION DU TRAITEMENT FAISANT L'OBJET DE LA SOUS-TRAITANCE

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données à caractère personnel nécessaires pour fournir les service(s) suivant(s) :

- **Installation et configuration initiale** de l'agent IA Jules sur les machines du Responsable de traitement (Mac, PC, ou serveur local)
- **Maintenance technique et évolutive** (publication de correctifs, mises à jour des skills, ajout de nouveaux modules)
- **Support technique** (visio + prise de main à distance ponctuelle, documentation, dépannage)
- **Formation des utilisateurs** finaux du Responsable de traitement à l'utilisation de Jules

**La nature des opérations réalisées sur les données est** :
- collecte (depuis sources autorisées : Outlook, agenda, Notion, Slack, Telegram, LGO métier, etc.)
- stockage local sur la machine du Responsable de traitement (SQLite, fichiers Markdown, JSONL)
- analyse / extraction d'entités via algorithmes IA (modèles Claude d'Anthropic et/ou modèles locaux Ollama)
- restitution sous forme de tableaux, briefings, notifications Telegram/email/Mission Control web
- archivage local et purge automatique selon les politiques de rétention configurées

**La ou les finalité(s) du traitement sont** :
- assistance opérationnelle au Responsable de traitement et à son équipe dans leurs activités professionnelles quotidiennes
- automatisation de tâches répétitives (briefings matinaux, alertes, préparation de documents)
- analyse de données métier internes (CA, KPI, anomalies, opportunités commerciales)
- aide à la veille réglementaire et concurrentielle

**Les données à caractère personnel traitées sont** [À COMPLÉTER selon le profil client — cocher ce qui s'applique] :
- ☐ données identifiantes (nom, prénom, email, téléphone)
- ☐ données professionnelles (fonction, organisation, signatures, contrats)
- ☐ données financières non bancaires (CA, marges, KPI internes)
- ☐ données de santé (uniquement secteur pharmacien — pseudonymisation systématique via module `pii-redactor`)
- ☐ données de communication (emails, agendas, transcripts visio, messages instantanés)
- ☐ données de localisation (uniquement si géolocalisation explicitement activée par le Responsable de traitement)

**Les catégories de personnes concernées sont** [À COMPLÉTER selon le profil client] :
- ☐ le Responsable de traitement et ses salariés / collaborateurs
- ☐ ses contacts professionnels (fournisseurs, partenaires, prestataires)
- ☐ ses clients / patients / parties / dossiers (selon secteur d'activité)
- ☐ ses prospects commerciaux

Pour l'exécution du service objet du présent contrat, le Responsable de traitement met à la disposition du Sous-traitant les informations nécessaires suivantes :
- Accès en visio + prise de main ponctuelle aux machines à équiper (durée : limitée à la session d'installation et aux interventions de support)
- Identifiants techniques nécessaires (tenant Microsoft 365, clés API LGO, tokens Telegram, etc.) — **toujours stockés exclusivement dans le `.env` côté client, jamais transmis ni stockés côté PharmaLift**
- Documentation interne nécessaire à la configuration des skills métier sur-mesure

---

## III. DURÉE DU CONTRAT

Le présent contrat entre en vigueur à compter du **[À COMPLÉTER : date de signature]** pour une durée **indéterminée**, tant que le Responsable de traitement utilise activement Jules ou bénéficie d'une prestation de maintenance souscrite auprès du Sous-traitant.

Chacune des parties peut résilier le présent contrat à tout moment, **sous réserve d'un préavis écrit de trente (30) jours**.

À l'issue du contrat, les obligations relatives à la confidentialité, à la sécurité et au sort des données (article IV.12 ci-après) demeurent applicables.

---

## IV. OBLIGATIONS DU SOUS-TRAITANT VIS-À-VIS DU RESPONSABLE DE TRAITEMENT

Le Sous-traitant s'engage à :

### 1. Finalités

Traiter les données **uniquement pour la ou les seule(s) finalité(s)** qui font l'objet de la sous-traitance, telles que définies à l'article II ci-dessus.

### 2. Instructions documentées

Traiter les données **conformément aux instructions documentées** du Responsable de traitement figurant en **Annexe 1** du présent contrat. Si le Sous-traitant considère qu'une instruction constitue une violation du règlement européen sur la protection des données ou de toute autre disposition du droit de l'Union ou du droit des États membres relative à la protection des données, il en **informe immédiatement** le Responsable de traitement.

En outre, si le Sous-traitant est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel il est soumis, il doit informer le Responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.

### 3. Confidentialité

**Garantir la confidentialité** des données à caractère personnel traitées dans le cadre du présent contrat.

### 4. Personnes autorisées

Veiller à ce que les **personnes autorisées à traiter les données à caractère personnel** en vertu du présent contrat :

- s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel.

### 5. Privacy by design / by default

Prendre en compte, s'agissant de ses outils, produits, applications ou services (à savoir Jules et l'ensemble de ses modules), les principes de **protection des données dès la conception** et de **protection des données par défaut**, conformément à l'article 25 du RGPD.

À ce titre, PharmaLift met en œuvre les modules suivants, intégrés nativement à Jules :

- `pii-redactor` : détection et masquage automatique de 12 catégories de données sensibles (NSS, RPPS, ADELI, FINESS, IBAN, CB, email, téléphone, code postal, date de naissance, URL avec tokens) avant tout export externe
- `outbound-guard` : inspection et blocage automatique de tout payload sortant vers des APIs tierces contenant des PII non autorisées
- `gdpr-erasure` : effacement automatisé sur l'ensemble des bases de données locales
- `gdpr-export` : export de portabilité art. 20 en format JSON structuré
- `pii-log-rotate` : rotation automatique des logs sensibles (>30j = redaction, >90j = suppression)

### 6. Sous-traitance ultérieure

**(Option A — autorisation générale retenue par défaut)**

Le Sous-traitant peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, il informe préalablement et par écrit le Responsable de traitement de tout changement envisagé concernant l'ajout ou le remplacement d'autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.

Le Responsable de traitement dispose d'un délai minimum de **trente (30) jours** à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le Responsable de traitement n'a pas émis d'objection pendant le délai convenu.

**Liste des sous-traitants ultérieurs autorisés à la signature** : voir **Annexe 2**.

Le sous-traitant ultérieur est tenu de respecter les obligations du présent contrat pour le compte et selon les instructions du Responsable de traitement. Il appartient au Sous-traitant initial de s'assurer que le sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le Sous-traitant initial demeure pleinement responsable devant le Responsable de traitement de l'exécution par l'autre sous-traitant de ses obligations.

### 7. Droit d'information des personnes concernées

**(Option A retenue)**

Il appartient au **Responsable de traitement** de fournir l'information aux personnes concernées par les opérations de traitement au moment de la collecte des données.

### 8. Exercice des droits des personnes

Dans la mesure du possible, le Sous-traitant doit aider le Responsable de traitement à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

**(Option A retenue)** : Lorsque les personnes concernées exercent auprès du Sous-traitant des demandes d'exercice de leurs droits, le Sous-traitant doit adresser ces demandes dès réception par courrier électronique à **[À COMPLÉTER : email du contact RGPD chez le Responsable de traitement]**.

Pour faciliter ces demandes, PharmaLift met à disposition deux outils CLI au sein de Jules :

```bash
# Effacement complet (droit à l'oubli — art. 17 RGPD)
node services/gdpr-erasure.js --email <email_personne> --reason "demande RGPD" --confirm

# Export de portabilité (art. 20 RGPD)
node services/gdpr-export.js --email <email_personne> --output /chemin/export.json
```

### 9. Notification des violations de données à caractère personnel

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de **soixante-douze (72) heures** après en avoir pris connaissance et par le moyen suivant : **email à [À COMPLÉTER : email du contact RGPD] avec confirmation téléphonique au [À COMPLÉTER : numéro]**.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

La notification contient au moins :
- la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
- le nom et les coordonnées du contact technique chez PharmaLift auprès duquel des informations supplémentaires peuvent être obtenues : **Philippe Levy, contact@pharmaliftsolutions.com** ;
- la description des conséquences probables de la violation de données à caractère personnel ;
- la description des mesures prises ou que le Sous-traitant propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

### 10. Aide du Sous-traitant dans le cadre du respect par le Responsable de traitement de ses obligations

Le Sous-traitant aide le Responsable de traitement pour la réalisation d'**analyses d'impact** relatives à la protection des données (AIPD), lorsqu'elles sont requises.

Le Sous-traitant aide le Responsable de traitement pour la réalisation de la **consultation préalable** de l'autorité de contrôle, le cas échéant.

### 11. Mesures de sécurité

Le Sous-traitant s'engage à mettre en œuvre les mesures techniques et organisationnelles suivantes garantissant un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

#### 11.1 Architecture de souveraineté

- **Toutes les données du Responsable de traitement résident exclusivement sur la machine du Responsable de traitement** (Mac, PC ou serveur local). Aucune donnée n'est répliquée sur les serveurs de PharmaLift.
- PharmaLift n'a aucun accès permanent aux machines du Responsable de traitement. Les interventions techniques se font uniquement à la demande du Responsable de traitement, par session de prise de main à distance ponctuelle, et avec son accord explicite préalable.

#### 11.2 Pseudonymisation et chiffrement

- **Pseudonymisation automatique** des données sensibles avant tout traitement IA externe via le module `pii-redactor` (mode `strict` : hash HMAC-SHA256 stable).
- **Chiffrement at-rest** des bases SQLite locales contenant des données sensibles (option activable selon la sensibilité du secteur — voir Annexe 3).
- **Chiffrement TLS 1.3** pour toute communication réseau sortante (Anthropic, Composio, Mailjet, Stripe).

#### 11.3 Confidentialité, intégrité, disponibilité, résilience

- Bases de données SQLite **isolées** par client (pas de mutualisation entre instances).
- Logs sensibles **rotés automatiquement** (rédaction PII >30j, suppression >90j) via le module `pii-log-rotate`.
- Sauvegardes locales recommandées au Responsable de traitement (Time Machine / Windows Backup) — la responsabilité de la sauvegarde reste celle du Responsable de traitement.

#### 11.4 Test, analyse et évaluation régulière

- **Tests automatisés des modules RGPD** (`pii-redactor`, `outbound-guard`, `gdpr-erasure`, `gdpr-export`) intégrés au pipeline de qualité PharmaLift (14 cas-types validés au 01/05/2026).
- **Audit santé hebdomadaire** automatique côté client (rapport Telegram tous les dimanches 9h listant les workers, backlog, erreurs, taille DB).

### 12. Sort des données

Au terme de la prestation de services relatifs au traitement de ces données, le Sous-traitant s'engage à :

**Au choix du Responsable de traitement, à exprimer par écrit lors de la résiliation** :

- ☐ détruire toutes les données à caractère personnel ; OU
- ☐ renvoyer toutes les données à caractère personnel au Responsable de traitement ; OU
- ☐ renvoyer les données à caractère personnel au sous-traitant désigné par le Responsable de traitement.

Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information du Sous-traitant. Une fois détruites, le Sous-traitant doit justifier par écrit de la destruction.

**Note d'importance pour JAAP** : compte tenu de l'architecture souveraine de Jules (toutes les données restent sur la machine du Responsable de traitement), à la résiliation du contrat, **il appartient au Responsable de traitement seul de décider du sort des données** (suppression du dossier Jules sur sa machine, archivage, transfert à un autre prestataire). PharmaLift n'a aucune copie à supprimer côté serveur.

### 13. Délégué à la protection des données

Le Sous-traitant communique au Responsable de traitement les coordonnées de son contact PharmaLift en charge de la protection des données : **Philippe Levy, contact@pharmaliftsolutions.com**.

À la date de signature, PharmaLift Solutions n'est pas tenue de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD compte tenu de sa taille et de la nature de ses activités. Si cette obligation devenait applicable, le Sous-traitant s'engage à en informer le Responsable de traitement dans un délai de quinze (15) jours.

### 14. Registre des catégories d'activités de traitement

Le Sous-traitant déclare tenir par écrit un **registre** de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement comprenant :

- le nom et les coordonnées du Responsable de traitement pour le compte duquel il agit, des éventuels sous-traitants ultérieurs et, le cas échéant, du Délégué à la Protection des Données ;
- les catégories de traitements effectués pour le compte du Responsable de traitement ;
- les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, le cas échéant, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du RGPD, les documents attestant de l'existence de garanties appropriées ;
- une description générale des mesures de sécurité techniques et organisationnelles mises en place (voir article IV.11 ci-dessus et Annexe 3).

Ce registre est documenté dans `docs/rgpd/REGISTRE-TRAITEMENTS.md` côté PharmaLift et tenu à jour à chaque évolution.

### 15. Documentation

Le Sous-traitant met à disposition du Responsable de traitement la **documentation nécessaire** pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

---

## V. OBLIGATIONS DU RESPONSABLE DE TRAITEMENT VIS-À-VIS DU SOUS-TRAITANT

Le Responsable de traitement s'engage à :

1. fournir au Sous-traitant les données visées au II des présentes clauses ;
2. documenter par écrit toute instruction concernant le traitement des données par le Sous-traitant (Annexe 1) ;
3. veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le règlement européen sur la protection des données de la part du Sous-traitant ;
4. superviser le traitement, y compris réaliser les audits et les inspections auprès du Sous-traitant.

---

## VI. ANNEXES

### Annexe 1 — Instructions documentées du Responsable de traitement

Le Responsable de traitement donne instruction au Sous-traitant de :

1. installer Jules (JAAP) selon les modalités définies dans le contrat de prestation associé (offre Découverte / Pilote / Sur-mesure)
2. configurer les connecteurs métier listés en Annexe 2 (sous-traitants ultérieurs)
3. effectuer la maintenance technique évolutive selon les modalités souscrites
4. mettre en œuvre les mesures de sécurité décrites à l'article IV.11 et en Annexe 3
5. n'utiliser les données qu'aux finalités décrites à l'article II
6. ne pas effectuer de transfert hors UE en dehors des sous-traitants ultérieurs listés en Annexe 2

### Annexe 2 — Liste des sous-traitants ultérieurs autorisés à la signature

| Sous-traitant ultérieur | Localisation données | Finalité | Garanties |
|---|---|---|---|
| **Anthropic, PBC** | États-Unis (avec garanties via Standard Contractual Clauses art. 46.2.c) | Inférence du modèle d'IA Claude | DPA Anthropic Commercial Terms + engagement de non-utilisation des prompts pour entraînement |
| **Composio (Rube)** | États-Unis (SCC art. 46.2.c) | Connecteurs APIs tierces (Gmail, Calendar, LinkedIn, etc.) — uniquement si activé par le Responsable de traitement | DPA Composio standard |
| **Mailjet SAS** | Union Européenne (France) | Envoi d'emails transactionnels | DPA Mailjet standard fournisseur (UE) |
| **Stripe Payments Europe Ltd** | Irlande (UE) | Encaissement des paiements PharmaLift (uniquement si le client souscrit en ligne) | DPA Stripe standard fournisseur |
| **Telegram Messenger Inc.** | Royaume-Uni / Pays-Bas | Notifications du Responsable de traitement (compte Telegram du client) | Selon CGU Telegram, sous le contrôle du compte personnel du client |
| **Google Cloud (Vertex AI EU)** | Union Européenne (Belgique / Pays-Bas) | Inférence Claude souveraine — **option facultative** activée à la demande du Responsable de traitement | DPA Google Cloud standard fournisseur (UE) |

### Annexe 3 — Mesures techniques et organisationnelles de sécurité (art. 32 RGPD)

[Voir détail à l'article IV.11 ci-dessus]

Mesures complémentaires applicables selon le secteur d'activité du Responsable de traitement :

- **Secteur santé (pharmacien, médecin, kiné)** : pseudonymisation `pii-redactor` mode `strict` activée par défaut sur l'ensemble des modules ; chiffrement at-rest SQLite obligatoire ; rappel du secret médical art. L1110-4 CSP ; rappel des obligations de la convention pharmaceutique
- **Secteur juridique (avocat, notaire)** : rappel du secret professionnel art. 226-13 CP ; isolation renforcée des dossiers sensibles
- **Secteur comptable** : rappel des obligations TRACFIN ; conservation des pièces justificatives selon Code de commerce

### Annexe 4 — Coordonnées des contacts

**Côté Responsable de traitement** (à compléter à la signature) :
- Représentant légal : **[Prénom NOM, fonction]**
- Contact RGPD / DPO : **[Prénom NOM, email, téléphone]**

**Côté Sous-traitant** (PharmaLift Solutions) :
- Représentant légal : **Philippe Levy, Président**
- Contact technique et RGPD : **Philippe Levy, contact@pharmaliftsolutions.com**

---

## SIGNATURES

Fait en deux (2) exemplaires originaux à **[À COMPLÉTER : ville]**, le **[À COMPLÉTER : date]**.

| **Pour le Responsable de traitement** | **Pour le Sous-traitant** |
|:---:|:---:|
| | |
| | |
| (Signature précédée de la mention manuscrite « Lu et approuvé ») | (Signature précédée de la mention manuscrite « Lu et approuvé ») |
| | |
| **[À COMPLÉTER : Prénom NOM]** | **Philippe Levy** |
| **[À COMPLÉTER : Fonction]** | **Président, PharmaLift Solutions SASU** |

---

> **Notes pour Philippe lors de l'envoi au client** :
>
> 1. Remplacer toutes les balises `[À COMPLÉTER]` par les valeurs spécifiques du client et de PharmaLift Solutions
> 2. Cocher (☑) les cases applicables dans les sections II, IV.12
> 3. Adapter l'article III si on signe un contrat à durée déterminée plutôt qu'indéterminée
> 4. Si le client est dans le secteur santé : faire valider la version par un avocat spécialisé RGPD/santé avant signature (cf brief `BRIEF-DPA-LEGALSTART.md` pour le 1er DPA)
> 5. Convertir en PDF signable électroniquement via : `npx @marp-team/marp-cli@latest DPA-JAAP-modele-CNIL.md -o DPA-<client-slug>.pdf` ou via DocuSign/YouSign après import dans Word
> 6. Conserver le PDF signé dans `clients/<client-slug>/contracts/DPA-signe-YYYY-MM-DD.pdf`

> **Sources officielles consultées** :
> - CNIL — *Guide du sous-traitant RGPD, édition septembre 2017* — pp. 13-18 (Exemple de clauses contractuelles)
> - Règlement (UE) 2016/679 (RGPD) — articles 4, 28, 30, 32, 33, 34, 35, 37, 49, 82, 83
> - Considérant 81 du RGPD