Clustor

Accord de Traitement des Données (DPA)

Dernière mise à jour : 20 janvier 2026

Le présent Accord de Traitement des Données (« DPA ») fait partie intégrante des Conditions Générales de Vente et d'Utilisation (CGV/CGU) de la plateforme CLUSTOR. En cas de contradiction entre le présent DPA et les CGU/CGV, le DPA prévaut pour les questions de protection des données personnelles.

Préambule

CLUSTOR édite une plateforme SaaS d'unification d'outils métiers (CRM, ATS, ERP) assistée par IA. Dans le cadre de ce service, CLUSTOR est amené à traiter des données à caractère personnel pour le compte de son Client. Conformément à l'article 28 du RGPD, ce document définit les obligations des parties concernant ces traitements.

1. Définitions

  • Responsable de Traitement : Le Client (l'ESN, le cabinet de conseil ou toute entreprise utilisatrice).
  • Sous-traitant : CLUSTOR SAS, 26 rue des Bleuets, 57155 Marly, France (SIREN 990 559 627).
  • Données Client : Données personnelles téléchargées ou connectées à la plateforme (CV, profils consultants, emails, contacts CRM, documents, métadonnées).
  • Sous-traitant ultérieur : Prestataire technique de CLUSTOR (ex: Microsoft Azure, Supabase, Vercel).
  • Personnes concernées : Utilisateurs du Client, candidats/consultants référencés dans les documents, personnels impliqués.

2. Objet et rôles

Le Client agit en tant que Responsable de traitement pour les Données Client (documents, CV, métadonnées). Le Client est seul responsable de la licéité de la collecte des données qu'il injecte dans CLUSTOR. CLUSTOR agit en tant que Sous-traitant et traite les Données personnelles uniquement sur instructions documentées du Client pour fournir les services de centralisation et d'analyse IA, sauf obligation légale contraire.

3. Nature, finalités et durée des traitements

Nature des traitements : hébergement, stockage, analyse IA, transmission, journalisation. Finalités : fourniture du Service (staffing, recherche, analyse), support, sécurité, maintenance. Types de données : identifiants professionnels (nom, email), contenus opérationnels (documents/CV), données techniques d'usage. Durée : pendant la durée du contrat et jusqu'à suppression/purge conformément à l'article 10 du présent DPA.

4. Obligations de CLUSTOR

CLUSTOR s'engage à :

  • Confidentialité : Veiller à ce que le personnel autorisé à traiter les données soit soumis à une obligation de confidentialité stricte.
  • Instructions : Ne traiter les données que pour les finalités prévues au contrat et selon les instructions documentées du Client. En cas d'instruction manifestement illégale, CLUSTOR en informera immédiatement le Client.
  • IA Responsable : Garantir que les Données Client traitées par les modèles d'IA ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle génériques (OpenAI/Azure) tiers. Les traitements IA sont limités aux instructions et finalités du Client. Tout ajustement/fine-tuning dédié au tenant du Client est soumis à un accord documenté.
  • Sécurité : Mettre en œuvre les mesures techniques et organisationnelles appropriées décrites à l'article 7.
  • Privacy by design : Tenir compte des principes de minimisation et de privacy by design/by default.
  • Assistance : Assister le Client, dans la mesure du raisonnable, pour répondre aux demandes d'exercice des droits des personnes concernées et aux évaluations d'impact (PIA/DPIA).
  • Coopération : Coopérer avec les autorités de contrôle (CNIL) dans le cadre de leurs missions, sur demande du Client.

5. Droits des personnes concernées

CLUSTOR aide le Client, par des mesures techniques appropriées, à s'acquitter de son obligation de répondre aux demandes d'exercice des droits (accès, rectification, suppression, portabilité, opposition, limitation) des consultants ou candidats. Si CLUSTOR reçoit directement une demande d'une personne concernée, elle est transmise au Client dans les plus brefs délais (48 heures maximum).

6. Sous-traitants ultérieurs (Subprocessors)

Le Client autorise CLUSTOR à faire appel aux sous-traitants suivants pour l'exécution du service :

  • Microsoft Azure (France/UE) : Stockage des données et puissance de calcul IA.
  • Supabase / PostgreSQL (France/UE) : Base de données et authentification.
  • Vercel (France/UE) : Hébergement de l'interface applicative.
  • PostHog (UE) : Analytics produit.
  • Sentry (UE) : Observabilité et monitoring d'erreurs.
  • OVH (France) : Registre de domaine.

CLUSTOR veillera à ce que des engagements contractuels équivalents soient imposés à chaque sous-traitant ultérieur. Toute modification substantielle de cette liste sera notifiée au Client par email ou via la plateforme avec un préavis raisonnable.

7. Mesures de sécurité

CLUSTOR met en œuvre les mesures suivantes :

  • Isolation des données (Multi-tenancy) : Utilisation de politiques de sécurité au niveau des lignes (RLS) garantissant qu'aucun client ne peut accéder aux données d'un autre.
  • Chiffrement : Données chiffrées au repos (AES-256) et en transit (TLS 1.2+).
  • Hébergement Souverain : Priorité aux serveurs situés sur le territoire français ou au sein de l'Union Européenne.
  • Contrôle d'accès : Permissions applicatives, authentification sécurisée, journalisation des accès.
  • Audit : Journalisation des accès aux données sensibles (Logs), surveillance d'incidents.
  • Sauvegardes : Mécanismes gérés par les fournisseurs (DB/stockage) et politiques internes de rétention.

8. Localisation et transferts

Les traitements sont configurés pour la France/UE. Si un transfert hors UE est exceptionnellement requis, CLUSTOR mettra en place des garanties appropriées (clauses contractuelles types, mesures complémentaires) et en informera le Client préalablement.

9. Violation de données

En cas de faille de sécurité avérée impactant les données du Client, CLUSTOR s'engage à notifier le Client dans un délai maximum de 48 heures après en avoir pris connaissance, fournir toute documentation utile pour permettre au Client de notifier la CNIL dans le délai de 72 heures prévu par le RGPD si nécessaire, coopérer de bonne foi à la remédiation et aux notifications réglementaires, et communiquer les informations pertinentes disponibles.

10. Sort des données (Réversibilité)

Au terme de l'abonnement, CLUSTOR s'engage, au choix du Client :

  • À restituer l'intégralité des données dans un format standard (CSV/JSON) sous trente (30) jours suivant la demande écrite du Client.
  • À supprimer définitivement les données des serveurs de production sous 30 jours, sous réserve des obligations légales de conservation (ex: facturation 10 ans). Les sauvegardes suivent ensuite leur cycle d'expiration/purge technique.

11. Droit d'audit

CLUSTOR met à disposition du Client les informations nécessaires pour démontrer le respect de ses obligations. Le Client peut réaliser un audit annuel (à ses frais) par un prestataire indépendant agréé, non concurrent de CLUSTOR, sous réserve d'un préavis de 30 jours. L'audit ne doit pas perturber le fonctionnement normal du Service. L'audit porte exclusivement sur la sécurité des Données Client et ne peut en aucun cas porter sur le code source, les algorithmes propriétaires, les prompts système, l'architecture IA ou tout autre élément constituant un secret d'affaires de CLUSTOR. CLUSTOR peut opposer un refus légitime si l'audit compromet la sécurité d'autres clients.

12. Transparence et explicabilité IA

Sur demande du Client et dans une mesure raisonnable, CLUSTOR fournira des informations disponibles relatives au fonctionnement général des traitements pertinents (journaux, prompts système, métadonnées) afin d'aider le Client à satisfaire ses obligations de transparence et d'explicabilité. Les contenus issus d'IA sont fournis « en l'état » et doivent être relus. Le Client met en place une supervision humaine adaptée. CLUSTOR s'engage à maintenir le Service en conformité avec les dispositions du Règlement (UE) 2024/1689 (AI Act) applicables aux systèmes d'IA à risque limité.

13. Droits régionaux (CCPA/CPRA – Californie)

Lorsque le Client cible des personnes situées en Californie, CLUSTOR assistera raisonnablement le Client pour répondre aux demandes liées à la CPRA (accès, suppression, opt-out « vente/partage »), dans la mesure de ses capacités et sur la base des informations dont il dispose.

14. Droit applicable – Juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Metz, sauf dispositions d'ordre public contraires.

15. Contact

contact@clustor.app