Aller au contenu principal
Astrée

Data Processing Agreement (DPA)

Dernière mise à jour : juin 2026

1. Parties

Le présent Data Processing Agreement (ci-après « DPA ») est conclu entre :

  • Le Client(Responsable de traitement) : le cabinet d'avocats utilisateur du Service
  • Astrée SASU (Sous-traitant) : éditeur de la plateforme Astrée

2. Objet

Le présent DPA régit les conditions dans lesquelles Astrée traite les données personnelles pour le compte du Client dans le cadre de la fourniture du Service, conformément à l'article 28 du RGPD.

3. Nature et finalités du traitement

Astrée traite les catégories de données suivantes pour le compte du Client :

  • Données d'identification professionnelle des avocats utilisateurs
  • Contenu des documents juridiques soumis à l'analyse
  • Contenu des correspondances électroniques professionnelles
  • Messages échangés avec l'assistant IA
  • Métadonnées associées (dates, types de documents, dossiers)

Ces traitements ont pour seules finalités la fourniture du Service (analyse IA, classement, recherche, génération de réponses) et la sécurité du Service.

4. Durée du traitement

Le traitement est effectué pendant toute la durée de l'abonnement du Client. À l'issue, les données sont supprimées dans un délai de 3 mois, sauf obligation légale de conservation.

5. Obligations d'Astrée (Sous-traitant)

Astrée s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client
  • Assurer la confidentialité des données (personnel soumis à une obligation de confidentialité)
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article 7
  • Ne pas recruter de sous-traitant ultérieur sans autorisation préalable du Client
  • Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées
  • Notifier le Client de toute violation de données dans un délai de 48 heures
  • Supprimer les données à l'issue de la prestation
  • Mettre à disposition les informations nécessaires pour démontrer la conformité au RGPD

6. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants suivants :

  • Hetzner Online GmbH — hébergement infrastructure (Allemagne, UE)
  • Stripe Inc. — paiement (certifié PCI-DSS)
  • Fournisseur d'inférence LLM — traitement des messages et documents par intelligence artificielle (modèle et fournisseur configurables ; fournisseur actuel communiqué sur demande à dpa@astree.ai)
  • Fournisseur d'OCR / vision — extraction de texte depuis images et PDF (fournisseur actuel communiqué sur demande à dpa@astree.ai)
  • Voyage AI Inc.— génération d'embeddings vectoriels pour la recherche sémantique (États-Unis)

Astrée informera le Client de tout changement de sous-traitant avec un préavis de 15 jours. Le Client dispose d'un droit d'objection motivée.

7. Mesures de sécurité

  • Chiffrement : documents chiffrés en AES-256-GCM avant stockage ; communications en TLS 1.3 ; mots de passe hachés en bcrypt (cost 12)
  • Contrôle d'accès : authentification forte (better-auth), isolation stricte par cabinet (cabinetId obligatoire sur toute requête), sessions JWT avec blacklist
  • Infrastructure : hébergement en France (Hetzner), pare-feu applicatif, protection DDoS, sauvegardes quotidiennes chiffrées, monitoring 24/7
  • Développement : pentest annuel, CSP enforcing par nonce unique, rate-limiting, audit logs immuables
  • Minimisation IA :les contenus transmis aux fournisseurs d'IA sont assainis (suppression des en-têtes d'identification, injection-wrapping) avant envoi

8. Transferts internationaux

Une partie des traitements listés à l'article 6 implique le transfert de données vers des fournisseurs établis hors de l'Union Européenne (notamment pour l'inférence IA et les embeddings). Ces transferts ne seront activés pour les clients payants qu'après contractualisation des garanties appropriées prévues par le RGPD (clauses contractuelles types ou mécanisme équivalent). À défaut, Astrée utilisera des fournisseurs établis dans l'Union Européenne. La liste détaillée des fournisseurs hors UE et des garanties associées est disponible sur demande à dpa@astree.ai.

Astrée s'engage à notifier le Client dans un délai de 15 jours de tout changement affectant la localisation du traitement des données.

9. Audit

Le Client peut demander un audit des mesures de sécurité d'Astrée une fois par an, à ses frais, sous réserve d'un préavis de 30 jours et de la signature d'un accord de confidentialité. Astrée fournira un rapport d'audit de sécurité externe annuel.

10. Contact

Pour toute question relative au présent DPA : dpa@astree.ai