L'entité cliente ayant souscrit un abonnement à la plateforme Doaken,
telle qu'identifiée dans le contrat de service principal (Conditions Générales de Vente).
Ci-après dénommée « le Responsable de traitement » ou « le Client »
Le Sous-traitant et le Responsable de traitement sont ci-après dénommés individuellement une « Partie » et collectivement les « Parties ».
Article 1 — Objet et champ d'application
Le présent Accord a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel nécessaires à la fourniture de la plateforme Doaken.
Cet Accord est conclu en application de l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « le RGPD »). Il complète et fait partie intégrante du contrat de service principal liant les Parties (Conditions Générales de Vente et Conditions Générales d'Utilisation de la plateforme Doaken).
En cas de contradiction entre le présent Accord et tout autre document contractuel entre les Parties, les stipulations du présent Accord prévalent en ce qui concerne la protection des données à caractère personnel.
Article 2 — Définitions
Les termes utilisés dans le présent Accord ont la signification qui leur est donnée par le RGPD, et notamment :
Données à caractère personnel (« Données personnelles ») : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4(1) du RGPD.
Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel (collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, effacement ou destruction), au sens de l'article 4(2) du RGPD.
Responsable de traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement, au sens de l'article 4(7) du RGPD. Dans le présent Accord, il s'agit du Client.
Sous-traitant : la personne physique ou morale qui traite des données à caractère personnel pour le compte du Responsable de traitement, au sens de l'article 4(8) du RGPD. Dans le présent Accord, il s'agit de Doaken.
Sous-traitant ultérieur : tout sous-traitant engagé par le Sous-traitant pour mener des activités de traitement spécifiques pour le compte du Responsable de traitement.
Personne concernée : la personne physique à laquelle se rapportent les données à caractère personnel.
Violation de données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel, ou l'accès non autorisé à de telles données, au sens de l'article 4(12) du RGPD.
Autorité de contrôle : la Commission Nationale de l'Informatique et des Libertés (CNIL) pour la France.
Article 3 — Nature et finalité du traitement
3.1 Description du service
Doaken est une plateforme SaaS (Software as a Service) d'aide à la réponse aux appels d'offres publics. Elle permet aux entreprises d'analyser des dossiers de consultation (DCE), de générer des mémoires techniques, de chiffrer des DPGF, de gérer un coffre-fort documentaire et de surveiller les opportunités de marchés publics.
3.2 Finalités du traitement
Le Sous-traitant traite les données personnelles du Responsable de traitement aux fins suivantes :
Fourniture et exploitation de la plateforme Doaken (création et gestion des comptes utilisateurs, authentification, gestion des accès)
Analyse automatisée des documents de consultation d'entreprises (DCE) déposés par le Client
Génération assistée de mémoires techniques et documents de réponse aux appels d'offres
Chiffrage et traitement des DPGF (Décomposition du Prix Global et Forfaitaire)
Stockage sécurisé de documents dans le coffre-fort numérique
Envoi de notifications et emails transactionnels liés au service
Veille sur les marchés publics (BOAMP, TED Europa) selon le profil du Client
Support technique et maintenance de la plateforme
3.3 Nature des opérations de traitement
Les opérations de traitement effectuées par le Sous-traitant comprennent : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, le rapprochement, la limitation, l'effacement et la destruction de données à caractère personnel.
Article 4 — Types de données traitées
Les catégories de données à caractère personnel traitées dans le cadre de la fourniture du service sont les suivantes :
4.1 Données d'identification et de compte
Nom et prénom des utilisateurs
Adresse email professionnelle
Mot de passe (haché, non réversible)
Rôle et permissions au sein de l'organisation
Préférences et paramètres de compte
4.2 Données relatives à l'entreprise cliente
Raison sociale et forme juridique
SIRET / SIREN
Secteur d'activité et codes d'activité (NAF/APE)
Adresse du siège social
Coordonnées de facturation
Numéro de TVA intracommunautaire
4.3 Documents d'appels d'offres
Dossiers de consultation des entreprises (DCE) : règlement de consultation, CCAP, CCTP, BPU, DPGF, plans, annexes
Mémoires techniques générés ou importés
Documents administratifs (Kbis, attestations d'assurance, certifications, attestations fiscales et sociales)
Références et expériences de l'entreprise
CV et compétences des personnels clés affectés aux marchés
4.4 Contenus générés par le service
Analyses automatisées de DCE (lots, critères, exigences extraites)
Scores Go/No-Go et recommandations
Sections de mémoires techniques rédigées avec assistance
Chiffrages et alertes de prix
Dossiers de soumission compilés
4.5 Données techniques et de connexion
Adresses IP
Journaux d'accès et d'activité (logs)
Type et version du navigateur
Données de session et cookies techniques
Article 5 — Catégories de personnes concernées
Les personnes concernées par le traitement sont :
Utilisateurs de la plateforme : collaborateurs du Client disposant d'un accès à la plateforme Doaken (directeurs commerciaux, responsables études de prix, chargés d'affaires, rédacteurs de mémoires techniques, personnel administratif)
Personnes mentionnées dans les documents : personnes physiques dont les données figurent dans les documents transmis par le Client (CV de personnel clé, signataires d'attestations, références de chantiers)
Contacts du Client : interlocuteurs identifiés pour la relation contractuelle et le support technique
Article 6 — Obligations du Sous-traitant
6.1 Traitement sur instruction documentée
Le Sous-traitant s'engage à traiter les données à caractère personnel uniquement sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts de données vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne ou du droit de l'État membre auquel le Sous-traitant est soumis. Dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Les instructions du Responsable de traitement sont constituées par :
Le présent Accord et ses annexes
Le contrat de service principal (CGV et CGU)
Les paramètres de configuration choisis par le Client dans la plateforme
Toute instruction écrite complémentaire adressée par le Client à dpo@doaken.fr
Si le Sous-traitant estime qu'une instruction du Responsable de traitement constitue une violation du RGPD ou de toute autre disposition du droit de l'Union européenne ou du droit national en matière de protection des données, il en informe immédiatement le Responsable de traitement.
6.2 Confidentialité
Le Sous-traitant s'assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité. Cette obligation de confidentialité survit à la fin du présent Accord.
6.3 Mesures de sécurité
Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont détaillées dans l'Annexe 1 du présent Accord et comprennent notamment :
Chiffrement en transit : toutes les communications sont chiffrées en TLS 1.3
Chiffrement au repos : les données stockées sont chiffrées en AES-256
Hachage des mots de passe : algorithme bcrypt avec salage individuel
Isolation des données : Row Level Security (RLS) sur PostgreSQL garantissant l'isolation stricte des données entre clients
Accès aux documents : URLs signées à expiration temporaire (temps limité)
Protection contre les attaques : rate limiting, protection CSRF, validation des entrées, protection XSS
Journalisation : logs d'accès et d'activité pour traçabilité et détection d'anomalies
Gestion des accès : authentification multi-facteurs disponible, gestion des rôles et permissions
Le Sous-traitant évalue régulièrement l'efficacité de ces mesures et les adapte en fonction de l'évolution des risques et de l'état de l'art.
6.4 Sous-traitance ultérieure
Le Responsable de traitement autorise le Sous-traitant à faire appel aux sous-traitants ultérieurs listés ci-dessous pour la réalisation d'activités de traitement spécifiques :
Sous-traitant
Finalité
Localisation
Garanties
Supabase (via AWS)
Base de données PostgreSQL
Europe (Frankfurt)
DPA
Cloudflare R2
Stockage de fichiers (documents, DCE)
Europe
DPA
Clerk
Authentification et gestion des sessions
USA
DPA + SCCs
Anthropic
Analyse documentaire (pas de stockage, pas d'entraînement)
USA
DPA + No training
Brevo (Sendinblue)
Emails transactionnels
France
DPA
Vercel
Hébergement web (application)
Global (données EU)
DPA + SCCs
Précision sur Anthropic : Les données transmises à l'API Anthropic (Claude) pour l'analyse documentaire ne sont pas stockées de manière permanente et ne sont jamais utilisées pour l'entraînement des modèles. Cette garantie est inscrite dans la politique de l'API Anthropic et dans le DPA signé entre Doaken et Anthropic.
Obligation de notification : Le Sous-traitant s'engage à informer le Responsable de traitement de tout projet de changement concernant l'ajout ou le remplacement de sous-traitants ultérieurs, au minimum trente (30) jours avant la mise en œuvre du changement. Le Responsable de traitement dispose d'un délai de quinze (15) jours à compter de la notification pour émettre des objections motivées. En cas d'objection légitime, les Parties se concertent de bonne foi pour trouver une solution alternative. Si aucune solution n'est trouvée, le Responsable de traitement pourra résilier le contrat de service principal sans pénalité.
Le Sous-traitant s'engage à imposer à ses sous-traitants ultérieurs des obligations contractuelles de protection des données au moins équivalentes à celles du présent Accord. Le Sous-traitant reste pleinement responsable devant le Responsable de traitement de l'exécution des obligations par ses sous-traitants ultérieurs.
6.5 Assistance au Responsable de traitement
Le Sous-traitant aide le Responsable de traitement, dans la mesure du possible, à s'acquitter de ses obligations en matière de :
Droits des personnes concernées (Articles 15 à 22 du RGPD) : le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour permettre au Responsable de traitement de répondre aux demandes d'exercice des droits (accès, rectification, effacement, limitation, portabilité, opposition). Le Sous-traitant transmet au Responsable de traitement toute demande reçue directement d'une personne concernée dans un délai de quarante-huit (48) heures.
Sécurité du traitement (Article 32 du RGPD) : assistance dans la mise en œuvre des mesures de sécurité adaptées.
Notification de violation (Articles 33 et 34 du RGPD) : assistance dans la notification aux autorités de contrôle et aux personnes concernées (voir Article 6.6).
Analyse d'impact (Articles 35 et 36 du RGPD) : assistance dans la réalisation d'analyses d'impact relatives à la protection des données (AIPD) et dans la consultation préalable de la CNIL le cas échéant.
6.6 Notification de violation de données
En cas de violation de données à caractère personnel, le Sous-traitant s'engage à :
Notifier le Responsable de traitement dans les meilleurs délais, et en tout état de cause dans un délai ne dépassant pas soixante-douze (72) heures après en avoir pris connaissance, par email à l'adresse du contact principal du Client et, le cas échéant, à dpo@doaken.fr.
Fournir les informations suivantes, dans la mesure où elles sont disponibles :
La nature de la violation (catégories et nombre approximatif de personnes concernées et d'enregistrements touchés)
Le nom et les coordonnées du point de contact
Les conséquences probables de la violation
Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets
Documenter la violation : constituer un registre de toutes les violations de données, y compris les faits, les effets et les mesures correctives prises.
Coopérer avec le Responsable de traitement pour toute communication aux personnes concernées et à l'autorité de contrôle.
6.7 Suppression et restitution des données
Au terme de la prestation de services relative au traitement, le Sous-traitant s'engage, au choix du Responsable de traitement :
Restitution des données : le Sous-traitant restitue au Responsable de traitement l'intégralité des données à caractère personnel dans un format structuré, couramment utilisé et lisible par machine (export JSON et/ou CSV), dans un délai de trente (30) jours suivant la demande.
Suppression des données : le Sous-traitant supprime l'intégralité des données à caractère personnel et de leurs copies existantes, dans un délai de soixante (60) jours suivant la fin du contrat, sauf obligation légale de conservation. Le Sous-traitant certifie par écrit la destruction des données sur demande du Responsable de traitement.
Les sauvegardes automatiques contenant des données du Client sont supprimées selon le cycle de rotation normal des sauvegardes, dans un délai maximum de quatre-vingt-dix (90) jours après la fin du contrat.
6.8 Droit d'audit
Le Sous-traitant met à la disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD, et pour permettre la réalisation d'audits, y compris des inspections, par le Responsable de traitement ou un auditeur qu'il a mandaté.
Les conditions de réalisation des audits sont les suivantes :
Le Responsable de traitement adresse une demande écrite au moins trente (30) jours avant la date souhaitée de l'audit
L'audit est réalisé pendant les heures ouvrables et ne doit pas perturber le fonctionnement normal du service
L'auditeur mandaté est soumis à des obligations de confidentialité appropriées
Le périmètre de l'audit est limité aux traitements effectués pour le compte du Responsable de traitement
Les frais de l'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement significatif du Sous-traitant aux obligations du présent Accord
Le Sous-traitant est limité à un audit par année civile, sauf circonstances exceptionnelles (violation de données avérée, demande de l'autorité de contrôle)
Le Sous-traitant peut également démontrer sa conformité par la fourniture de rapports d'audit ou de certifications réalisés par un tiers indépendant qualifié.
Article 7 — Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
Licéité du traitement : s'assurer que le traitement des données personnelles qu'il confie au Sous-traitant repose sur une base légale appropriée (consentement, exécution contractuelle, intérêt légitime, obligation légale)
Information des personnes concernées : informer les personnes concernées du traitement de leurs données, conformément aux articles 13 et 14 du RGPD, y compris de l'existence de la sous-traitance
Exercice des droits : traiter les demandes d'exercice des droits des personnes concernées, avec l'assistance du Sous-traitant le cas échéant
Instructions documentées : fournir au Sous-traitant des instructions documentées et conformes au RGPD pour le traitement des données personnelles
Qualité des données : veiller à la qualité, la pertinence et la minimisation des données personnelles transmises au Sous-traitant
Notification : informer le Sous-traitant de toute circonstance susceptible d'affecter le traitement des données (modification de la base légale, demande de l'autorité de contrôle, plainte d'une personne concernée)
Documents transmis : s'assurer qu'il dispose des droits nécessaires pour transmettre au Sous-traitant les documents contenant des données personnelles de tiers (CV, attestations, références)
Article 8 — Transferts de données hors Union Européenne
Certains sous-traitants ultérieurs sont situés aux États-Unis. Les garanties suivantes sont mises en place conformément au chapitre V du RGPD :
Clerk (USA — Authentification) : DPA signé incluant des clauses contractuelles types (SCCs) approuvées par la Commission européenne (Décision d'exécution 2021/914). Les données traitées sont limitées aux données d'authentification (email, identifiants de session).
Anthropic (USA — Analyse documentaire) : DPA signé avec engagement contractuel de non-stockage permanent et de non-utilisation des données pour l'entraînement des modèles. Les données sont transmises via API chiffrée (TLS 1.3), traitées en mémoire volatile et supprimées immédiatement après traitement.
Vercel (USA — Hébergement) : DPA signé incluant des SCCs. Les données de l'application sont traitées sur des nœuds européens dans la mesure du possible. Les données au repos sont hébergées en Europe (Supabase Frankfurt, Cloudflare R2 Europe).
Le Sous-traitant s'engage à réaliser et mettre à jour, pour chaque transfert hors UE, une évaluation de l'impact du transfert (Transfer Impact Assessment — TIA) conformément aux recommandations du Comité européen de la protection des données (EDPB). Ces évaluations sont tenues à disposition du Responsable de traitement sur demande.
Article 9 — Durée
Le présent Accord entre en vigueur à la date de sa signature par les deux Parties ou, en l'absence de signature formelle, à la date d'acceptation des Conditions Générales de Vente de la plateforme Doaken par le Client.
L'Accord est conclu pour la durée du contrat de service principal. Il prend fin automatiquement à la cessation dudit contrat, sous réserve des obligations qui, par leur nature, survivent à la fin de l'Accord, notamment les obligations de confidentialité, de suppression des données et de coopération en cas d'audit.
Article 10 — Sort des données en fin de contrat
À l'expiration ou à la résiliation du contrat de service principal, quelle qu'en soit la cause :
Phase de restitution (30 jours) : pendant les trente (30) jours suivant la fin du contrat, le Responsable de traitement peut demander la restitution de l'intégralité de ses données dans un format structuré et lisible par machine (JSON et/ou CSV). Le Sous-traitant met à disposition un outil d'export dans la plateforme, ainsi qu'un service d'assistance pour l'export sur demande.
Phase de suppression (60 jours) : à l'issue de la phase de restitution, ou au plus tard soixante (60) jours après la fin du contrat, le Sous-traitant procède à la suppression définitive de toutes les données à caractère personnel du Responsable de traitement, y compris les documents stockés, les données de compte et les journaux d'activité.
Sauvegardes : les sauvegardes automatiques contenant des données du Responsable de traitement sont purgées dans un délai maximum de quatre-vingt-dix (90) jours suivant la fin du contrat.
Certification de destruction : sur demande du Responsable de traitement, le Sous-traitant fournit une attestation écrite certifiant la suppression effective des données.
Exception : les données nécessaires au respect d'une obligation légale (facturation, comptabilité) sont conservées pendant la durée imposée par la loi, dans des conditions d'archivage sécurisé à accès restreint, et supprimées à l'expiration de cette durée.
Article 11 — Responsabilité
Chaque Partie est responsable des dommages causés par un traitement qui ne respecte pas les obligations mises à sa charge par le RGPD ou le présent Accord.
Le Sous-traitant n'est tenu responsable que du dommage causé par le traitement lorsqu'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants, ou lorsqu'il a agi en dehors des instructions licites du Responsable de traitement ou contrairement à celles-ci, conformément à l'article 82 du RGPD.
Le Sous-traitant est exonéré de sa responsabilité s'il prouve que le fait générateur du dommage ne lui est nullement imputable.
En cas de dommage résultant d'un traitement auquel plusieurs responsables de traitement ou sous-traitants participent, chaque Partie est responsable de la totalité du dommage afin de garantir une réparation effective de la personne concernée, conformément à l'article 82(4) du RGPD. La Partie qui a versé la réparation intégrale peut exercer un recours contre les autres parties au traitement pour obtenir la part de la réparation correspondant à leur responsabilité.
La responsabilité financière du Sous-traitant au titre du présent Accord est plafonnée au montant total des sommes versées par le Responsable de traitement au cours des douze (12) mois précédant l'événement générateur de responsabilité, sans préjudice du droit à réparation des personnes concernées.
Article 12 — Droit applicable et juridiction
Le présent Accord est régi par le droit français.
Les Parties s'efforcent de résoudre à l'amiable tout litige relatif à l'interprétation ou à l'exécution du présent Accord. En cas d'échec de la conciliation amiable dans un délai de trente (30) jours à compter de la notification du litige par l'une des Parties, le différend est soumis à la compétence exclusive du Tribunal de Commerce de Créteil.
Cette clause attributive de compétence s'applique même en cas de référé, de demande incidente ou de pluralité de défendeurs ou d'appel en garantie.
Signatures
Fait en deux (2) exemplaires originaux, un pour chaque Partie.
Le Sous-traitant
Doaken Technology
Rodolphe Chane-Wai — Dirigeant
Fontenay-sous-Bois
Signature
Le Responsable de traitement
Le Client
Signature
Annexe 1
Mesures de sécurité techniques et organisationnelles
La présente annexe décrit les mesures techniques et organisationnelles mises en œuvre par Doaken Technology conformément à l'article 32 du RGPD pour assurer la sécurité des données à caractère personnel traitées dans le cadre de la plateforme Doaken.
Chiffrement
TLS 1.3 pour toutes les communications (transit)
AES-256 pour les données au repos
Bcrypt avec salage individuel pour les mots de passe
URLs signées à expiration pour l'accès aux fichiers
Contrôle des accès
Authentification via Clerk (MFA disponible)
Row Level Security (RLS) PostgreSQL
Gestion des rôles et permissions par organisation
Sessions à durée limitée avec renouvellement sécurisé
Isolation des données
Cloisonnement strict par organisation (tenant isolation)
Politiques RLS empêchant tout accès inter-clients
Buckets de stockage séparés par organisation
Validation serveur systématique des autorisations
Journalisation et surveillance
Logs d'accès et d'activité horodatés
Détection d'anomalies et alertes
Conservation des journaux pendant 12 mois
Traçabilité des actions administratives
Protection applicative
Rate limiting et protection anti-brute-force
Protection CSRF (Cross-Site Request Forgery)
Protection XSS (Cross-Site Scripting)
Validation et assainissement de toutes les entrées
Continuité et sauvegarde
Sauvegardes automatiques quotidiennes chiffrées
Réplication de la base de données (Supabase)
Redondance du stockage (Cloudflare R2)
Plan de reprise d'activité documenté
Mesures organisationnelles
Principe du moindre privilège : l'accès aux données de production est limité au strict nécessaire, sur la base du besoin d'en connaître
Sensibilisation : toute personne ayant accès aux données personnelles est formée aux enjeux de la protection des données et du RGPD
Gestion des incidents : procédure formalisée de gestion des incidents de sécurité, incluant la notification au Responsable de traitement
Revue de sécurité : évaluation régulière des mesures de sécurité et mise à jour en fonction de l'état de l'art et de l'évolution des menaces
Politique de développement sécurisé : revue de code, tests de sécurité, validation avant mise en production
Gestion des sous-traitants : évaluation de la conformité et des mesures de sécurité de chaque sous-traitant ultérieur avant engagement, et suivi régulier
Pour une description complète de nos mesures de sécurité et certifications, consultez la page Sécurité et Conformité de notre site web.