Accord de Traitement des Données (DPA)
1. Object et Durée
Le présent Accord de Traitement des Données (DPA) régit le traitement des données personnelles effectué par Lumia (le "Sous-traitant") pour le compte du Client (le "Responsable du traitement") dans le cadre de l'utilisation de la plateforme Lumia.
Durée : Cet accord est en vigueur pendant toute la durée de l'abonnement du Client au service Lumia et se termine automatiquement à la résiliation du contrat.
2. Nature et Finalité du Traitement
Nature du traitement :
- Stockage et traitement des données de business plans
- Analyse de niche et génération de rapports de marché
- Traitement des informations fiscales et juridiques
- Suivi de progression dans les modules de formation
- Génération de statistiques et analytics
- Support technique et résolution de problèmes
Finalité : Fournir au Client des outils d'accompagnement entrepreneurial alimentés par IA, incluant la génération de business plans, l'analyse de niche, les outils fiscaux et juridiques, ainsi que la formation.
3. Types de Données et Catégories de Personnes
Types de données personnelles traitées :
- Données d'identification (nom, email, entreprise)
- Informations de projet entrepreneurial
- Données fiscales et juridiques saisies dans les outils
- Métadonnées de session (horodatage, ID session, navigateur)
- Progression et historique de formation
Catégories de personnes concernées :
- Utilisateurs de la plateforme Lumia (entrepreneurs, dirigeants)
- Membres de l'équipe du Client utilisant le tableau de bord
4. Obligations de Lumia (Sous-traitant)
Lumia s'engage à :
- Traiter les données uniquement sur instruction documentée du Client, sauf obligation légale contraire
- Garantir la confidentialité : tout personnel ayant accès aux données est soumis à une obligation de confidentialité
- Mettre en oeuvre des mesures de sécurité techniques et organisationnelles : chiffrement SSL/TLS, Row Level Security (RLS), sauvegardes quotidiennes, accès restreint
- Notifier toute violation de données au Client dans les 72 heures suivant la découverte
- Assister le Client dans le respect de ses obligations RGPD (réponse aux demandes d'exercice des droits, AIPD si nécessaire)
- Supprimer ou restituer toutes les données personnelles à la fin du contrat, sauf obligation légale de conservation
- Mettre à disposition toutes les informations nécessaires pour démontrer le respect du RGPD
5. Sous-traitants Ultérieurs
Lumia fait appel aux sous-traitants ultérieurs suivants :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Supabase | Hébergement base de données | UE (Allemagne) |
| Groq | Moteur IA (LLM) | USA |
| Stripe | Paiements | USA |
| Resend | Envoi emails | USA |
| Vercel | Hébergement application | USA/UE |
Lumia notifiera le Client de tout changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs, avec un préavis de 30 jours. Le Client peut s'opposer à ces changements pour des motifs légitimes.
6. Transferts Internationaux
Certains sous-traitants ultérieurs (Groq, Stripe, Resend) sont basés aux États-Unis. Ces transferts sont encadrés par :
- Clauses Contractuelles Types (SCC) approuvées par la Commission européenne
- Mesures supplémentaires : chiffrement des données, pseudonymisation lorsque possible, évaluation des risques
Pour Supabase (UE) et Vercel (présence UE), les données peuvent rester dans l'Espace Économique Européen selon la configuration choisie.
7. Droits des Personnes Concernées
Lumia assiste le Client dans la gestion des demandes d'exercice des droits RGPD :
- Droit d'accès
- Droit de rectification
- Droit à l'effacement ("droit à l'oubli")
- Droit à la portabilité des données
- Droit d'opposition
- Droit à la limitation du traitement
Les demandes doivent être adressées à Lumia via contact@lumia.blog. Lumia répondra dans un délai maximum de 30 jours.
8. Audits et Contrôles
Le Client a le droit de réaliser des audits ou de mandater un auditeur indépendant pour vérifier la conformité de Lumia avec le RGPD et le présent DPA.
Les audits doivent être notifiés avec un préavis de 30 jours et ne peuvent être effectués plus d'une fois par an, sauf en cas de violation de données ou d'obligation légale.
9. Responsabilité
Chaque partie est responsable des dommages qu'elle cause en cas de violation du RGPD ou du présent DPA.
La responsabilité de Lumia est limitée aux montants payés par le Client au cours des 12 derniers mois, sauf en cas de négligence grave ou de faute intentionnelle.
10. Contact
Pour toute question concernant cet Accord de Traitement des Données :
Email : contact@lumia.blog
DPO (Délégué à la Protection des Données) : dpo@lumia.blog
Adresse : Principauté de Monaco
Dernière mise à jour : Janvier 2025