Atalas
|
AccueilHome / DPA
Conforme à l'Article 28 du RGPDGDPR Article 28 Compliant

Accord de Traitement des Données Data Processing Agreement

Version 1.0 — 27 février 2026February 27, 2026

Note : Le présent DPA définit le cadre général applicable. Un accord spécifique est conclu avec chaque Client lors de la signature du contrat. Pour obtenir votre DPA personnalisé, contactez contact@atalas.ai

Note: This DPA defines the general applicable framework. A specific agreement is concluded with each Client at contract signing. To obtain your personalized DPA, contact contact@atalas.ai

Parties

Le présent Accord de Traitement des Données (« DPA ») est conclu entre :

Atalas AI SAS — Sous-traitant
14 Avenue du Général de Gaulle, 94160 Saint-Mandé, France
SIREN : 100 542 869 — E-mail : contact@atalas.ai

ET

[Client] — Responsable de traitement
(Raison sociale, adresse et coordonnées complétées lors de la signature)

Article 1 — Objet et définitions

Le présent DPA définit les conditions dans lesquelles le Sous-traitant (Atalas AI) traite des Données Personnelles pour le compte du Responsable de traitement (le Client), conformément à l'article 28 du RGPD.

  • « Données Personnelles » : toute information relative à une personne physique identifiée ou identifiable.
  • « Traitement » : toute opération effectuée sur des Données Personnelles.
  • « Responsable de traitement » : la personne qui détermine les finalités et moyens du traitement.
  • « Sous-traitant » : la personne qui traite des Données Personnelles pour le compte et sur instruction du Responsable de traitement.
  • « Violation de Données » : toute violation de la sécurité entraînant la destruction, la perte, l'altération ou l'accès non autorisé à des Données Personnelles.

Article 2 — Description du traitement

Nature du traitement Analyse, transformation, stockage et transmission de données dans le cadre des Services Atalas AI
Finalités Analyses stratégiques, veille, simulation de scénarios, aide à la décision
Personnes concernées À préciser par le Responsable de traitement (collaborateurs, partenaires, cibles d'analyse…)
Catégories de données À préciser (noms, e-mails professionnels, données comportementales, données contextuelles…)
Durée Durée du Contrat principal entre les Parties
Localisation Union Européenne ou pays disposant d'une décision d'adéquation

Article 3 — Obligations du Sous-traitant (Atalas AI)

3.1 Traitement sur instruction

Ne traiter les Données Personnelles que sur instruction documentée du Responsable de traitement, sauf obligation légale contraire.

3.2 Confidentialité

Garantir que les personnes autorisées à traiter les Données Personnelles sont soumises à une obligation de confidentialité appropriée.

3.3 Sécurité

Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 6.

3.4 Sous-traitance ultérieure

Ne pas recruter de Sous-sous-traitant sans autorisation préalable du Responsable de traitement. En cas d'autorisation générale, informer le Responsable de traitement de tout changement (ajout ou remplacement), offrant la possibilité de s'y opposer.

3.5 Droits des personnes concernées

Mettre en place des procédures permettant au Responsable de traitement de respecter les droits des personnes (accès, rectification, effacement, portabilité, opposition) dans les délais requis.

3.6 Notification des violations

Notifier au Responsable de traitement toute Violation de Données dans les meilleurs délais et si possible dans les 48 heures après en avoir pris connaissance.

3.7 Assistance

Assister le Responsable de traitement pour la réalisation des AIPD et consultations préalables auprès des autorités de contrôle.

3.8 Suppression ou restitution des données

À l'issue de la prestation, supprimer ou restituer toutes les Données Personnelles dans un délai de 30 jours, sauf obligation légale de conservation. Un certificat de suppression est fourni sur demande.

3.9 Audit

Permettre la réalisation d'audits par le Responsable de traitement ou tout auditeur mandaté, sous réserve d'un préavis raisonnable et d'un accord de confidentialité.

Article 4 — Obligations du Responsable de traitement (Client)

  • Fournir uniquement les Données Personnelles strictement nécessaires à l'exécution des Services
  • Disposer d'une base légale valide pour tout traitement confié au Sous-traitant
  • Informer les personnes concernées du traitement, y compris du recours au Sous-traitant
  • S'assurer que les instructions données sont conformes au RGPD
  • Ne pas transférer de données appartenant à des catégories particulières (art. 9 RGPD) sans accord préalable écrit

Article 5 — Sous-traitants ultérieurs autorisés

Le Responsable de traitement autorise les catégories suivantes :

Sous-traitantRôle / ServiceLocalisation
Prestataire hébergement cloudInfrastructure, stockage, calculUnion Européenne
Fournisseur de modèles IAInférence IA, traitement du langageUE / USA (CCT)
Outil d'analyse et monitoringPerformance et sécuritéUnion Européenne
Prestataire e-mail transactionnelCommunication opérationnelleUnion Européenne

La liste actualisée est disponible sur demande à contact@atalas.ai

Article 6 — Mesures de sécurité

Mesures techniques

  • Chiffrement des données en transit via TLS 1.2 minimum et au repos via AES-256
  • Pseudonymisation des données dans les environnements de test et développement
  • Contrôle d'accès basé sur les rôles (RBAC) et principe du moindre privilège
  • Authentification multi-facteurs (MFA) pour les accès aux systèmes traitant des données
  • Journalisation et surveillance continues des accès
  • Tests de pénétration et évaluations de vulnérabilités réguliers
  • Sauvegardes régulières et plan de reprise après sinistre (PRA/DRP)

Mesures organisationnelles

  • Formation régulière du personnel à la sécurité des données et au RGPD
  • Procédures formalisées de gestion des incidents et violations de données
  • Politique d'accès basée sur le besoin d'en connaître
  • Clauses de confidentialité pour tous les membres du personnel ayant accès aux données
  • Désignation d'un référent sécurité et protection des données

Article 7 — Transferts hors Union Européenne

Tout transfert vers un pays tiers à l'UE ne disposant pas d'une décision d'adéquation sera effectué uniquement sur la base d'un mécanisme approprié au sens du Chapitre V du RGPD, notamment les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Le Responsable de traitement sera informé de tout transfert prévu.

Article 8 — Durée et fin du DPA

Le DPA reste en vigueur pendant toute la durée du Contrat principal. À l'expiration, le Sous-traitant procède, au choix du Responsable de traitement, à la restitution ou à la suppression définitive des Données Personnelles dans un délai de 30 jours, sous réserve des obligations légales de conservation. La suppression sera certifiée par écrit.

Article 9 — Responsabilité

Chaque Partie est responsable des dommages causés par un traitement effectué en violation du RGPD ou du présent DPA lui incombant. La responsabilité du Sous-traitant est soumise aux plafonds et exclusions définis dans les CGU.

Article 10 — Modifications

Toute modification du présent DPA devra faire l'objet d'un avenant écrit signé par les deux Parties.

Article 11 — Loi applicable et juridiction

Le DPA est régi par le droit français. Tout litige sera soumis à la compétence exclusive du Tribunal de Commerce de Créteil.

Article 12 — Contact

Pour toute question ou pour obtenir votre DPA personnalisé :
Atalas AI SAS — 14 Avenue du Général de Gaulle, 94160 Saint-Mandé, France
E-mail : contact@atalas.ai

Parties

This Data Processing Agreement ("DPA") is entered into between:

Atalas AI SAS — Data Processor
14 Avenue du Général de Gaulle, 94160 Saint-Mandé, France
SIREN: 100 542 869 — Email: contact@atalas.ai

AND

[Client] — Data Controller
(Company name, address, and contact details completed at signing)

Article 1 — Subject Matter and Definitions

This DPA defines the conditions under which the Processor (Atalas AI) processes Personal Data on behalf of the Controller (the Client), in accordance with GDPR Article 28.

  • "Personal Data": any information relating to an identified or identifiable natural person.
  • "Processing": any operation performed on Personal Data.
  • "Controller": the entity that determines the purposes and means of processing.
  • "Processor": the entity that processes Personal Data on behalf of and on the instructions of the Controller.
  • "Data Breach": any security breach leading to accidental or unlawful destruction, loss, alteration, or unauthorized disclosure of Personal Data.

Article 2 — Description of Processing

Nature of processing Analysis, transformation, storage, and transmission of data within Atalas AI Services
Purposes Strategic analyses, monitoring, scenario simulation, decision support
Data subjects To be specified by the Controller (employees, partners, analysis targets…)
Categories of data To be specified (names, professional emails, behavioral data, contextual data…)
Duration Duration of the main Contract between the Parties
Location European Union or countries with an adequacy decision

Article 3 — Processor Obligations (Atalas AI)

3.1 Processing on Instructions

Process Personal Data only on documented instructions from the Controller, unless required by law.

3.2 Confidentiality

Ensure that persons authorized to process Personal Data are bound by appropriate confidentiality obligations.

3.3 Security

Implement the technical and organizational measures described in Article 6.

3.4 Sub-processing

Not engage sub-processors without prior authorization from the Controller. For general authorization, inform the Controller of any change (addition or replacement), giving the opportunity to object.

3.5 Data Subject Rights

Establish procedures enabling the Controller to fulfill data subject rights (access, rectification, erasure, portability, objection) within required timeframes.

3.6 Breach Notification

Notify the Controller of any Data Breach as soon as possible, and within 48 hours of becoming aware of it, providing all relevant information.

3.7 Assistance

Assist the Controller in conducting Data Protection Impact Assessments (DPIAs) and prior consultations with supervisory authorities.

3.8 Deletion or Return of Data

At the end of the engagement, delete or return all Personal Data within 30 days, subject to legal retention obligations. Written deletion certification provided upon request.

3.9 Audit

Enable audits by the Controller or any mandated auditor, subject to reasonable notice and a confidentiality agreement.

Article 4 — Controller Obligations (Client)

  • Provide only Personal Data strictly necessary for the Services
  • Maintain a valid legal basis for all processing delegated to the Processor
  • Inform data subjects of the processing, including the engagement of the Processor
  • Ensure that instructions given to the Processor comply with GDPR
  • Not transfer special categories of data (GDPR Art. 9) without prior written agreement

Article 5 — Authorized Sub-Processors

The Controller authorizes the following categories of sub-processors:

Sub-processorRole / ServiceLocation
Cloud hosting providerInfrastructure, storage, computationEuropean Union
AI model providerAI inference, language processingEU / USA (SCCs)
Analytics and monitoring toolPlatform performance and securityEuropean Union
Transactional email providerOperational communicationsEuropean Union

Updated list available upon request at contact@atalas.ai

Article 6 — Security Measures

Technical Measures

  • Encryption of data in transit via TLS 1.2 minimum and at rest via AES-256
  • Pseudonymization in test and development environments
  • Role-Based Access Control (RBAC) with least-privilege principle
  • Multi-Factor Authentication (MFA) for all systems processing personal data
  • Continuous access logging and monitoring
  • Regular penetration testing and vulnerability assessments
  • Regular backups and disaster recovery plan (DRP)

Organizational Measures

  • Regular staff training on data security and GDPR
  • Formalized incident and data breach management procedures
  • Need-to-know access policy
  • Confidentiality clauses for all personnel with data access
  • Designated data protection and security officer

Article 7 — Transfers Outside the European Union

Any transfer to a third country without an adequacy decision will be made only on the basis of an appropriate transfer mechanism under GDPR Chapter V, notably Standard Contractual Clauses (SCCs) adopted by the European Commission. The Controller will be informed of any planned transfer.

Article 8 — Term and Termination

This DPA remains in force for the duration of the main Contract. Upon termination, the Processor shall, at the Controller's written choice, return or permanently delete all Personal Data within 30 days, subject to legal retention obligations. Deletion will be certified in writing.

Article 9 — Liability

Each Party is responsible for damages caused by processing that violates GDPR or this DPA and is attributable to it. The Processor's liability is subject to the caps and exclusions defined in the Terms of Service.

Article 10 — Amendments

Any amendment to this DPA must be made via a written addendum signed by both Parties.

Article 11 — Governing Law and Jurisdiction

This DPA is governed by French law. Any dispute shall be submitted to the exclusive jurisdiction of the Commercial Court of Créteil, France.

Article 12 — Contact

For any questions or to obtain your personalized DPA:
Atalas AI SAS — 14 Avenue du Général de Gaulle, 94160 Saint-Mandé, France
Email: contact@atalas.ai

Autres documents légauxOther legal documents

Mentions légalesLegal Notice CGU / ToS CGV / GSC ConfidentialitéPrivacy Policy Cookies