Accord de traitement des données (DPA)

Conforme au RGPD — Article 28 | Dernière mise à jour : 20 avril 2026

1. Objet et durée

Le présent accord définit les conditions dans lesquelles Kontia (ci-après « le Sous-traitant ») traite les données à caractère personnel pour le compte du cabinet d'expertise comptable (ci-après « le Responsable de traitement »). Cet accord est en vigueur pendant toute la durée de la relation contractuelle.

2. Nature et finalité du traitement

Le traitement porte sur la fourniture d'une plateforme d'intelligence artificielle dédiée à l'assistance comptable et fiscale. Les finalités incluent : l'analyse de documents comptables, la recherche juridique et fiscale, la génération de rapports, et l'assistance conversationnelle.

3. Types de données traitées

  • Données comptables et financières (bilans, comptes de résultat, écritures)
  • Données fiscales (déclarations, liasses fiscales, TVA)
  • Données d'identité des utilisateurs (nom, prénom, e-mail, fonction)
  • Données de connexion (logs, adresses IP, horodatages)
  • Contenus des conversations avec l'assistant IA

4. Catégories de personnes concernées

Utilisateurs du cabinet : experts-comptables, collaborateurs, stagiaires ayant accès à la plateforme.

Clients du cabinet : personnes physiques ou morales dont les données comptables et fiscales sont traitées via la plateforme.

5. Obligations du Sous-traitant (Kontia)

  • Instruction documentée — Traiter les données uniquement sur instruction documentée du Responsable de traitement.
  • Confidentialité du personnel — Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
  • Mesures de sécurité — Mettre en œuvre les mesures techniques et organisationnelles appropriées (AES-256, TLS 1.3, isolation par tenant).
  • Sous-traitance ultérieure — Ne pas recruter de sous-traitant ultérieur sans autorisation préalable écrite.
  • Assistance — Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées.
  • Fin de contrat — Supprimer ou restituer toutes les données à caractère personnel au terme de la prestation, selon le choix du Responsable.

6. Sous-traitants ultérieurs

Anthropic

Modèle IA (Claude)

États-Unis
Vercel

Hébergement applicatif & CDN

États-Unis / Global
Supabase

Base de données PostgreSQL

Union européenne
Upstash

Cache Redis serverless

Union européenne
Coaxis

Infrastructure cloud

France

7. Transferts hors Union européenne

Les transferts de données vers les États-Unis (Anthropic) sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Des mesures supplémentaires (chiffrement de bout en bout, pseudonymisation) sont mises en œuvre conformément aux recommandations du CEPD.

8. Notification de violation

En cas de violation de données à caractère personnel, Kontia s'engage à notifier le Responsable de traitement dans un délai maximum de 48 heures après en avoir pris connaissance, en fournissant toutes les informations nécessaires à la notification auprès de la CNIL.

9. Droit d'audit

Le Responsable de traitement dispose d'un droit d'audit annuel, exercé à ses frais, avec un préavis de 30 jours. Kontia s'engage à mettre à disposition toutes les informations nécessaires pour démontrer le respect de ses obligations.

Pour toute question relative au présent DPA : dpo@kontia.fr

© 2026 Kontia. Tous droits réservés.