Data Protection Addendum
de DPO-GPT

Le présent document (ci-après dénommée « DPA de DPO-GPT » en référence à l’acronyme de l’appellation anglaise « Data Processing Agreement ») fait partie intégrante des Conditions générales d’utilisation de DPO-GPT(les « CGU de DPO-GPT ») et régit la relation de sous-traitance née entre CODE IS LAW et les Utilisateurs ou les Organisations représentées en matière de Traitement de Données personnelles à l’occasion de l’exécution d’un Contrat Utilisateur les liant et qui est régi par les CGU de DPO-GPT. Le DPA de DPO-GPT et les CGU de DPO-GPT sont complémentaires.

Définitions

Dans le cadre de l’interprétation du DPA de DPO-GPT, les termes définis ci-après s’interprètent de la manière suivante, conformément aux définitions qui leurs sont respectivement associées.

  • Autorité de contrôle” : une entité indépendante chargée de superviser et de garantir le respect des dispositions du RGPD au sein d’un État membre de l’Union européenne
  • Abonnement”: ensemble déterminé de fonctionnalités de DPO-GPT faisant l’objet d’un droit d’utilisation concédé à un Utilisateur disposant Compte Utilisateur auquel a été affecté cet ensemble, ou dont ledit Compte Utilisateur est Membre d’un Espace de travail collaboratif auquel ledit ensemble a été affecté
  • Beta” : Période temporaire, dont la durée est fixée unilatéralement par CODE IS LAW, au cours de laquelle les Utilisateurs disposent de toutes les Fonctionnalités disponibles de DPO-GPT dans le cadre d’un Abonnement spécifique et gratuit, en contrepartie du fait de collaborer avec CODE IS LAW pour fournir des avis et recommandations sur les Fonctionnalités actuelles et futures de DPO-GPT
  • CGU de DPO-GPT” : document accessible à l’adresse https://www.olympe.legal/cgu-de-dpo-gpt
  • Contrat Utilisateur” : Contrat conclu entre CODE IS LAW et un Utilisateur ou un Organisme représenté et qui est régi apr les CGU de DPO-GPT et qui justifie l’acceptation par ces personnes du DPA de DPO-GPT
  • Conversation” : Suite de messages envoyés par DPO-GPT et par un ou plusieurs Utilisateurs, à l’instar d’une discussion menée au moyen de l’interface graphique de DPO-GPT
  • Décision d’adéquation” : Décision prise par la Commission européenne afin de reconnaître un niveau de protection des données à caractère personnel équivalent aux exigences de l’Union européenne en la matière.
  • Données personnelles” ou “Données à caractère personnel” : notion définie à l’article 4.1 du RGPD
  • EEE” : Espace économique européen
  • Espace de travail collaboratif” : ensemble de Fonctionnalités permettant à plusieurs Utilisateurs, travaillant ou oeuvrant pour une même Organisation, d’utiliser DPO-GPT collectivement, conformément à l’Abonnement applicable à cet ensemble
  • Fonctionnalité” : ensemble de moyens techniques mobilisés par CODE IS LAW et inclut dans DPO-GPT pour accomplir des services au bénéfice des Utilisateurs y ayant accès, conformément à leur(s) Abonnement(s)
  • Hébergement” ou “Héberger” : fait de faire fonctionner DPO-GPT et de stocker des données générées ou soumises par les Utilisateurs au moyen des Fonctionnalités de DPO-GPT, et ce, sur des terminaux informatiques reliés à l’Internet afin d’en assurer la disponibilité au travers du recours à un navigateur web installé sur un terminal informatique connecté à l’Internet, conformément aux niveaux de services décrits dans les CGU
  • Membre” : Un Utilisateur dont le Compte Utilisateur est indiqué, par le biais des Fonctionnalités de DPO-GPT, comme faisant partie d’un Espace de travail collaboratif et bénéficiant à ce titre de droits d’utilisation correspondant à l’Abonnement affecté audit Espace de travail collaboratif
  • Membre Administrateur” : Membre d’un Espace de travail collaboratif y disposant corrélativement de droits au travers de Fonctionnalités lui permettant d’ en administrer l’existence, le paramètrage ainsi que l’accès par d’autres Utilisateurs
  • OpenAI” : OpenAI OpCo, société de droit américain à responsabilité limitée, et dont le siège social est situé en Californie, aux États-Unis d’Amérique à l’adresse 3180 18th St., San Francisco, CA 94110
  • Organisation” : Personne morale, de droit privé ou public, régulièrement formée selon les lois qui lui sont applicables.
  • Organisation représentée” : Organisation pour le compte de laquelle un Utilisateur a créé un Espace de travail collaboratif sur DPO-GPT
  • Pinecone” : Pinecone Systems Inc, société de droit américain, dont le siège social est situé à l’adresse 548 Market St Pmb 19327 San Francisco, CA, 94104-5401 United States
  • Règles d’entreprise contraignantes” : une politique de protection des données intra-groupe en matière de transferts de données personnelles hors de l'Union européenne
  • Prompt” : Message envoyé par un Utilisateur lors d’une Conversation sur DPO-GPT
  • Réponse générée” : Message envoyé par DPO-GPT en réponse à un Prompt dans le cadre d’une Conversation
  • Responsable de Traitement” : notion définie à l’article 4.7 du RGPD
  • Sous-traitant” : notion définie à l’article 4.8 du RGPD
  • Traitement” : notion définie à l’article 4.2 du RGPD
  • RGPD” : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
  • Violation de données” : notion définie à l’article 4.12 du RGPD
  • Vous”, ou “vos”, “votre”, “Utilisateur” : Personne physique ou morale s’inscrivant sur DPO-GPT pour se créer un Compte Utilisateur, concluant ainsi, pour elle et/ou pour le compte d’une Organisation qu’elle représente, un Contrat Utilisateur avec CODE IS LAW et qui est régi par les CGU de DPO-GPT.

Les termes définis ci-avant sont employés la plupart du temps au sein de ce DPA de DPO-GPT avec une première lettre majuscule à des fins de commodité de lecture. Cependant, lorsque cela n’est pas le cas, ou que ces mots et expressions ont été accordés ou conjugués, il est convenu que leur signification n’est en rien affectée et qu’ils conservent leur sens tel qu’il est défini dans ladite liste de termes et expressions définis.

Préambule

Le DPA de DPO-GPT a pour objet de définir, conformément à l’article 28 du RGPD, les conditions dans lesquelles CODE IS LAW, en qualité de Sous-traitant et dans le cadre de l’utilisation de DPO-GPT, traite des Données à caractère personnel sur instruction de l’Utilisateur ou de l’Organisation titulaire d’un Espace de travail collaboratif créé sur DPO-GPT par l’Utilisateur pour le compte de cette Organisation en raison du fait que cet Utilisateur est habilité à la représenter à cet effet.

Si l’Utilisateur n’a pas agit au nom d’une Organisation représentée, alors l’Utilisateur est présumé agir en qualité de Responsable des Traitements faisant l’objet de la sous-traitance encadrée par le DPA de DPO-GPT.

En revanche, si l’Utilisateur a agit au nom d’une Organisation représentée, alors l’Organisation est présumée agir en qualité de Responsable des Traitements faisant l’objet de la sous-traitance encadrée par le DPA de DPO-GPT.

Si l’Utilisateur, ou l’Organisation représentée le cas échéant, agit en tant que Sous-traitant pour le compte d’un tiers Responsable du traitement, il est convenu que :

  • (a) L’Utilisateur doit s’assurer que (i) toutes les autorisations nécessaires pour conclure le présent DPA, y compris la nomination par l’Utilisateur, ou l’Organisation représentée le cas échéant, de CODE IS LAW en tant que sous-traitant ultérieur, ont été obtenues du Responsable du traitement (ii), un contrat, qui est en parfaite adéquation avec les stipulations des CGU de DPO-GPT, de la Politique de confidentialité de DPO-GPT et du DPA de DPO-GPT, a été conclu avec le Responsable du traitement conformément à l’article 28 du RGPD, (iii) toutes les instructions reçues par CODE IS LAW de la part de l’Utilisateur, ou de l’Organisation représentée le cas échéant, en exécution du Contrat Utilisateur et du DPA de DPO-GPT sont parfaitement conformes aux instructions du Responsable du traitement et (iv) toutes les informations communiquées ou mises à disposition par CODE IS LAW sont, lorsque cela est requis, communiquées de manière appropriée au Responsable du traitement.
  • (b) CODE IS LAW (i) traite les Données à caractère personnel uniquement sur instruction de l’Utilisateur, ou de l’Organisation représentée le cas échéant, et (ii) ne reçoit aucune instruction directement du Responsable du traitement, sauf dans les cas où, l’Utilisateur a matériellement disparu ou a cessé d’avoir une existence juridique sans que les droits et obligations de l’Utilisateur n’aient été transférés à une entité tierce.
  • (c) L’Utilisateur, qui est entièrement responsable envers CODE IS LAW de la bonne exécution des obligations du Responsable du traitement conformément au présent DPA, indemnise et dégage CODE IS LAW de toute responsabilité pour (i) tout manquement du Responsable du traitement de se conformer à la loi applicable, et (ii) toute action, réclamation ou plainte du Responsable du traitement concernant les dispositions des CGU et du Contrat (y compris le présent DPA) ou concernant les instructions reçues par CODE IS LAW de la part de l’Utilisateur.

Par ailleurs, lorsqu’il s’agit pour une Organisation représentée d’émettre des instructions, tel qu’entendu au sein du DPA de DPO-GPT, cela est réputé effectué par les stipulations du DPA de DPO-GPT et aussi lorsque l’un quelconque des Membres de l’Espace de travail collaboratif dont elle est titulaire, conformément aux CGU de DPO-GPT, transmet lesdites instructions à CODE IS LAW, notamment en faisant usage des Fonctionnalités de DPO-GPT. Il appartient à ladite Organisation représentée de veiller aux habilitations de chaque personne Membre de son Espace de travail collaboratif sur DPO-GPT. L’emploi des Fonctionnalités de DPO-GPT est un mode de communication de telles instructions.

Champ d’application

CODE IS LAW est autorisée, en tant que Sous-traitant agissant selon les instructions de l’Utilisateur, ou de l’Organisation représentée le cas échéant, à traiter les Données à caractère personnel du Responsable des Traitements suivants :

  • Gestion de l’hébergement et de la conservation des Conversations des Utilisateurs sur DPO-GPT
  • Génération de Réponses générées aux Prompts envoyés par les Utilisateurs

Dans le cadre de ces Traitements, et pour les seuls besoin de ceux-ci et conformément aux instructions qui lui sont communiquées, CODE IS LAW est habilitée à effectuer les opérations des natures suivantes :

  • Héberger les Données à caractère personnelles traitées
  • Afficher et gérer l’affichage des Données à caractère personnelles traitées conformément aux instructions communiquées par l’Utilisateur, ou l’Organisation représentée le cas échéant
  • Supprimer et ajouter les Données à caractère personnel soumises via DPO-GPT dans les serveurs de bases de données mobilisés par CODE IS LAW pour le fonctionnement de DPO-GPT,
  • Faire transiter les Données à caractère personnel vers des serveurs de CODE IS LAW et de Sous-traitants ultérieurs, y compris en dehors de l’EEE
  • Procéder à un encodage vectoriel des Données à caractère personnel présentes dans les Conversation et dans les documents soumis dans DPO-GPT

Le type de Données à caractère personnel et les catégories de personnes concernées sont déterminés et contrôlés par l'Utilisateur, ou l’Organisation représentée le cas échéant, à sa seule discrétion.

Les activités de Traitements sont effectuées par CODE IS LAW pour la durée du Contrat Utilisateur, ou, le cas échéant, pour la durée de l’Abonnement en raison duquel l’Organisation représentée bénéficie d’un Espace de travail collaboratif sur DPO-GPT.

Utilisation de DPO-GPT

L'Utilisateur, ou l’Organisation représentée le cas échéant, est seul responsable du choix des moyens mis en place pour les Traitements des Données personnelles qui lui incombent. L'Utilisateur, ou l’Organisation représentée le cas échéant, doit s’assurer que les moyens choisis ont les caractéristiques et les conditions requises compte tenu des activités et traitements du Responsable du traitement, ainsi que du type de Données à caractère personnel à traiter, notamment, mais non-limitativement, lorsque DPO-GPT est utilisé pour traiter des Données à caractère personnel soumises à des réglementations ou des normes spécifiques (par exemple, dans certains pays, des données relatives à la santé ou des données bancaires).

Si le traitement effectué par le Responsable du traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, l'Utilisateur doit choisir ses moyens avec précaution. Lors de l’évaluation du risque, il est notamment tenu compte des critères suivants, sans toutefois s’y limiter : évaluation systématique et approfondie d'aspects personnels concernant des personnes physiques ; prise de décision automatisée ayant des effets juridiques ou pouvant affecter de manière significative la personne concernée ; suivi systématique des personnes concernées ; traitement de catégories particulières de données ou de données sensibles ; traitement à grande échelle ; croisement de données ; combinaison de données ; traitement de données concernant des personnes vulnérables ; utilisation de nouvelles technologies innovantes méconnues du public pour le traitement.

Tel que stipulé dans la section “Audit” du DPA de DPO-GPT, CODE IS LAW met à la disposition les informations relatives aux mesures de sécurité mises en œuvre dans le cadre de l’utilisation de DPO-GPT, afin de permettre l’évaluation de la conformité de ces mesures appliquées aux Traitements de données personnelles du Responsable du traitement.

Conformité à la réglementation applicable

CODE IS LAW et l’Utilisateur, ou l’Organisation représentée le cas échéant, s’engagent à respecter la réglementation applicable en matière de protection des données.

Obligations de CODE IS LAW

CODE IS LAW s’engage à :

  • a) traiter les Données à caractère personnel téléchargées, stockées et utilisées par l'Utilisateur, ou par les Membres de l’Espace de travail collaboratif de l’Organisation représentées le cas échant, dans le cadre de l’utilisation de DPO-GPT uniquement dans la mesure nécessaire à la fourniture des Fonctionnalités tels que définis dans les CGU de DPO-GPT,
  • b) ne pas accéder à ou utiliser des Données à caractère personnel à d’autres fins que celles nécessaires à l’exécution du Contrat Utilisateur régi par les CGU de DPO-GPT et de la maintenance de DPO-GPT,
  • c) mettre en place les mesures techniques et organisationnelles décrites dans le DPA de DPO-GPT, afin d’assurer la sécurité des Données à caractère personnel dans le cadre des Traitements faisant l’objet de la sous-traitance encadrée par le DPA de DPO-GPT
  • d) s’assurer que les employés de CODE IS LAW autorisés à traiter les Données à caractère personnel sont soumis à une obligation de confidentialité et reçoivent une formation appropriée concernant la protection des Données à caractère personnel,
  • e) informer l'Utilisateur, ou l’un des Membres de l’Espace de travail collaboratif de l’Organisation représentée le cas échéant, si, à son avis et compte tenu des informations dont elle dispose, une des instructions enfreint les dispositions du RGPD ou d’autres dispositions de l’Union européenne ou d’un État membre de l’Union européenne en matière de protection des données personnelles,
  • f) dans le cas de demandes reçues d’une autorité compétente et relatives aux Données à caractère personnel traitées en vertu du Contrat Utilisateur, à informer l'Utilisateur, ou l’un des Membres de l’Espace de travail collaboratif de l’Organisation représentée le cas échéant (à moins que les lois applicables ou l’injonction d’une autorité compétente ne l’interdisent), et à limiter la communication de ces Données à caractère personnel à ce que l’autorité a expressément demandé.

Sur demande écrite de l’Utilisateur, CODE IS LAW fournit à l’Utilisateur, ou à un Membre Administrateur de l’Espace de travail collaboratif de l’Organisation représentée le cas échéant,  une assistance raisonnable dans la réalisation d’analyses d’impact relatives à la protection des données et la consultation de l’autorité de contrôle compétente, dans la mesure où l'Utilisateur est tenu de le faire en vertu de la loi applicable en matière de protection des données, et si une telle assistance est nécessaire et se rapporte aux Traitements de Données à caractère personnel opérés par CODE IS LAW dans le cadre de la sous-traitance régie par le DPA de DPO-GPT. Cette assistance consiste à assurer la transparence des mesures de sécurité mises en œuvre par CODE IS LAW dans le cadre de la mise à disposition de DPO-GPT.

Par ailleurs, CODE IS LAW s’engage à mettre en place les mesures techniques et organisationnelles suivantes :

  • (a) des mesures de sécurité physique destinées à empêcher les personnes non autorisées d’accéder à l’infrastructure dans laquelle les Données à caractère personnel, traitées par CODE IS LAW dans le cadre de la sous-traitance régie par le DPA de DPO-GPT, sont stockées,
  • b) des contrôles d’identité et d’accès au moyen d’un système d’authentification et d’une politique en matière de mots de passe,
  • c) un système de gestion des accès qui limite l’accès aux locaux, aux personnes ayant besoin d’y accéder dans l’exercice de leurs fonctions et dans le cadre de leurs responsabilités,
  • d) un système qui isole physiquement et/ou de façon logique les clients les uns des autres,
  • e)  des processus d’authentification des utilisateurs et des administrateurs, ainsi que des mesures visant à protéger l’accès aux fonctions d’administration,
  • f) un chiffrement des données en transit,
  • g) une sauvegarde des 24 dernières heures des Prompts, Réponses générées et documents soumis dans DPO-GPT,
  • h) un système de gestion de l’accès pour les opérations de soutien et d’entretien qui fonctionne selon les principes du moindre privilège et du besoin de savoir ; et
  • i) des processus et des mesures de suivi des actions effectuées sur son système d’information.

Ces mesures techniques et organisationnelles peuvent être décrites à la demande écrite de l’Utilisateur, ou d’un Membre Administrateur de l’Espace de travail collectif de l’Organisation représentée le cas échéant, adressée par courriel à l’adresse legal@gdpr.dev.

Violation de données à caractère personnel

Si CODE IS LAW a connaissance d’un incident affectant les Données à caractère personnel du Responsable du traitement (accès non autorisé, perte, divulgation ou altération de données), CODE IS LAW en informe l'Utilisateur dans les meilleurs délais.

La notification doit (i) décrire la nature de l’incident, (ii) décrire les conséquences probables de l’incident, (iii) décrire les mesures prises ou proposées par CODE IS LAW en réponse à l’incident et (iv) préciser qui est l’interlocuteur chez CODE IS LAW.

Localisation et transfert des Données à caractère personnel

L’utilisation de certaines Fonctionnalités de DPO-GPT permettent à l’Utilisateur de stocker des Prompts, des Réponses générées et des documents pouvant contenir notamment des Données à caractère personnel.

À cette occasion, CODE IS LAW est autorisée par l’Utilisateur, ou l’Organisation représentée le cas échéant, à faire transiter lesdites Données à caractère personnelles vers des Sous-traitants ultérieurs situés en dehors de l’EEE, à savoir les États-Unis d’Amérique.Sans préjudice des dispositions qui précèdent concernant la localisation des données, CODE IS LAW ainsi que les Sous-traitants ultérieurs autorisés conformément à la section 7 ci-dessous, peuvent traiter à distance les Données à caractère personnel objet de la présente partie si cela est nécessaire à l’exécution des Fonctionnalités mises à disposition via DPO-GPT.Si des Données à caractère personnel objet de la sous-traitance régie par le DPA de DPO-GPT sont transférées en dehors de l’Union européenne vers un pays qui ne fait pas l’objet d’une Décision d’adéquation, ou accessibles à distance depuis un tel pays, un accord de transfert de données conforme aux clauses contractuelles types adoptées par la Décision n°210/87/EU de la Commission européenne du 5 février 2010 (les « Clauses Contractuelles Types »).

Le Responsable du traitement doit accomplir toutes les formalités et obtenir toutes les autorisations nécessaires (y compris, le cas échéant, auprès des personnes concernées et des autorités compétentes en matière de protection des données) pour transférer des données à caractère personnel dans le cadre de la sous-traitance régie par le DPA de DPO-GPT.

Sous-traitance ultérieure

CODE IS LAW est autorisée à recourir à des Sous-traitants ultérieurs. Dans ce cadre, les Sous-traitants ultérieurs peuvent participer aux activités de Traitement des Données à caractère personnel effectuées par CODE IS LAW sur instruction de l’Utilisateur, ou de l’Organisation représentée le cas échéant.Les Sous-traitants susceptibles d’intervenir dans le cadre des tTraitements de données à caractère personnel réalisés par CODE IS LAW sur instruction de l’Utilisateur (« Sous-traitants ultérieurs »), sont situés aux Etats-Unis d’Amérique et sont :

  • OpenAI
  • Pinecone

Si CODE IS LAW décide de changer de Sous-traitant ultérieurement ou d’ajouter un nouveau Sous-traitant ultérieur (« Changement de Sous-traitant »), CODE IS LAW en informe l'Utilisateur, ou l’un des Membre Administrateur de l’Espace de travail collaboratif de l’Organisation représentée le cas échéant, par courrier électronique (à l’adresse e-mail utilisée par le Compte utilisateur) trente (30) jours à l'avance si le Sous-traitant est situé dans l'Union européenne ou dans un pays faisant l'objet d'une Décision d'Adéquation, ou quatre-vingt-dix (90) jours à l'avance dans les autres cas.

L'Utilisateur, ou l’Organisation représentée le cas échéant, a le droit d’émettre des objections en cas de changement de Sous-traitant ultérieur, dans les conditions prévues à l’article 28 du RGPD. Les objections doivent être notifiées à CODE IS LAW dans les quinze (15) jours suivant envoi de la notification du changement de Sous-traitant par CODE IS LAW en précisant le motif de l’objection.

Les objections doivent être notifiées par l'Utilisateur, ou un Membre Administrateur de l’Espace de travail collaboratif de l’Organisation représentée le cas échéant, via son Compte utilisateur ou par écrit à l’adresse localisée au 122 Rue Amelot, 75011, Paris.

En cas d’objection, une procédure de résiliation de Contrat Utilisateur pourra être initiée, conformément aux CGU de DPO-GPT.

CODE IS LAW veille à ce que ses Sous-traitants ultérieurs soient, au minimum, en mesure de remplir les obligations mises à la charge de CODE IS LAW dans le présent Contrat concernant le Traitement des Données à caractère personnel effectué par le Sous-traitant ultérieur. À cette fin, CODE IS LAW conclut un accord avec le Sous-traitant ultérieur. CODE IS LAW reste vis-à-vis de l’Utilisateur, ou de l’Organisation représentée le cas échéant, entièrement responsable de l’exécution de toute obligation que le Sous-traitant ultérieur ne remplit pas.CODE IS LAW est expressément autorisée à engager des fournisseurs tiers (tels que des fournisseurs d’énergie, des fournisseurs de réseaux, des fournisseurs de matériel et de logiciels, des transporteurs, des fournisseurs techniques, des sociétés de sécurité), sans devoir informer l'Utilisateur ou obtenir son autorisation préalable, dans la mesure où ces fournisseurs tiers ne traitent pas les Données à caractère personnel objet de la sous-traitance régie par le DPA de DPO-GPT.

Lorsque les Clauses Contractuelles Types de l'UE sont applicables, il est convenu que l'obligation prévue à la clause 9(a) des Clauses Contractuelles Types de l'UE de demander l'approbation des Sous-traitants ultérieurs est satisfaite par le processus décrit ci-dessus.

Obligations de l’Utilisateur, ou de l’Organisation représentée le cas échéant

Pour les Traitement des Données à caractère personnel faisant l’objet de la sous-traitance régie par le DPA de DPO-GPT, l'Utilisateur, ou l’Organisation représentée le cas échéant, doit fournir à CODE IS LAW par écrit (a) toute instruction pertinente et (b) toute information nécessaire à la création du registre des activités de traitement du sous-traitant. L'Utilisateur reste seul responsable du traitement des informations et instructions communiquées à CODE IS LAW.

L'Utilisateur a la responsabilité de s’assurer que :

  • a) les Traitement des Données à caractère personnel sous-traités dans le cadre de l’utilisation de DPO-GPT a une base juridique appropriée (par exemple, le consentement de la personne concernée, les intérêts légitimes du Responsable de traitement, etc.),
  • b) toutes les procédures et formalités requises (telles qu’analyse d’impact relative à la protection des données, notification et demande d’autorisation à l’autorité de contrôle compétente en matière de traitement de données personnelles ou à tout autre organisme compétent, le cas échéant) ont été effectuées,
  • c) la personne concernée est informée du traitement de ses Données à caractère personnel de façon concise, transparente, intelligible et facilement accessible, en utilisant un langage clair et simple, comme le prévoit le RGPD,
  • d) les personnes concernées sont informées et ont à tout moment la possibilité d’exercer facilement les droits relatifs aux données prévus par le RGPD directement auprès du Responsable du traitement.

L’Utilisateur, ou l’Organisation représentée le cas échéant, est responsable de la mise en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des ressources, systèmes, applications et opérations qui ne relèvent pas du périmètre de responsabilité de CODE IS LAW tel que prévu dans le DPA de DPO-GPT (notamment tous les systèmes et logiciels déployés et exploités par l'Utilisateur, ou l’Organisation représentée le cas échéant, dans le cadre de l’utilisation de DPO-GPT).

Droits des personnes

Le Responsable des Traitements sous-traités est pleinement responsable de l’information des personnes concernées concernant leurs droits et du respect de ces droits, y compris les droits d’accès, de rectification, d’effacement, de limitation ou de portabilité.

CODE IS LAW fournit la coopération et l’assistance, dans la mesure où cela est raisonnablement nécessaire, pour répondre aux demandes des personnes concernées. Cette coopération et cette assistance raisonnable peuvent consister à (a) communiquer à l’Utilisateur toute demande reçue directement de la personne concernée et (b) permettre au Responsable du traitement de concevoir et de déployer les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées. Le Responsable du traitement est seul responsable des réponses à ces demandes.

L’Utilisateur, ou l’Organisation représentée le cas échéant, reconnaît et convient que, dans l’éventualité où une telle coopération et assistance nécessiterait des ressources importantes de la part de CODE IS LAW, cela pourra être facturé à l’Utilisateur, ou à l’Organisation représentée le cas échéant, à condition de le lui notifier et d’obtenir son accord au préalable.

Suppression et restitution des Données à caractère personnel

À la fin du Contrat Utilisateur justifiant l’acceptation du DPA de DPO-GPT (notamment en cas de résiliation ou de non-renouvellement), CODE IS LAW s’engage à supprimer dans les conditions prévues dans le DPA de DPO-GPT, tout élément d’information (les Prompts, Réponses générées et documents soumis) reproduit, stocké, hébergé ou autrement utilisé par l'Utilisateur, ou l’Organisation représentée le cas échéant, dans le cadre de l’utilisation de DPO-GPT, sauf si une demande émise par une autorité légale ou judiciaire compétente, ou la loi applicable de l’Union européenne ou d’un État membre de l’Union européenne, en exigent autrement.L'Utilisateur, ou l’Organisation représentée le cas échéant, est seul responsable de faire en sorte que les opérations nécessaires (telles que la sauvegarde, le transfert vers une solution tierce, les instantanés, etc.) à la conservation des Données à caractère personnel soient effectuées, notamment avant la résiliation du Contrat Utilisateur ou l’expiration de l’Abonnement souscrit.

À cet égard, l'Utilisateur, ou l’Organisation représentée, est informé que l’arrivée à terme du Contrat Utilisateur ou du délai de validité de l’Abonnement pour quelque raison que ce soit (incluant, mais de façon non exclusive le non-renouvellement), ainsi que certaines opérations de mise à jour de DPO-GPT, peuvent automatiquement entraîner la suppression irréversible de tout Contenu (y compris les informations, données, fichiers, systèmes, applications, sites internet et autres éléments) reproduit, stocké, hébergé ou autrement utilisé par l'Utilisateur dans le cadre de l’utilisation de DPO-GPT, ce compris toute sauvegarde potentielle.

Par ailleurs, CODE IS LAW précise que DPO-GPT est actuellement en Beta.

Celle-ci pouvant prendre fin à tout moment, l’Utilisateur, ou l’Organisation représentée le cas échéant, accepte que les Données à caractère personnel traitées durant cette période peuvent être supprimées définitivement à l’issue de la Beta.

Responsabilités

CODE IS LAW ne peut être tenu responsable que des dommages causés par un Traitement pour lequel (i) elle n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants ou pour lequel (ii) elle a agi en-dehors des instructions licites de l’Utilisateur ou contrairement à celles-ci. Dans de tels cas, la disposition du Contrat relative à la Responsabilité s’applique.

Lorsque CODE IS LAW et l'Utilisateur, ou l’Organisation représentée le cas échéant, sont impliqués dans un Traitement, dont la sous-traitance à CODE IS LAW est encadrée par le DPA de DPO-GPT, qui a causé un dommage à une personne concernée, l'Utilisateur, ou l’Organisation représentée le cas échéant, prend en charge, dans un premier temps, l’intégralité de la réparation effective (ou toute autre compensation) due à la personne concernée et, dans un second temps, réclame à CODE IS LAW la part de la réparation correspondant à la part de responsabilité de CODE IS LAW dans le dommage, étant précisé que les clauses limitatives de responsabilité prévues par les CGU de DPO-GPT demeurent applicables.

Audits

CODE IS LAW met à la disposition toutes les informations nécessaires pour (a) démontrer la conformité aux exigences du RGPD et (b) mener des audits.

Ces informations sont disponibles dans la documentation standard sur le site internet de CODE IS LAW. Des informations supplémentaires peuvent être communiquées suite à une sollicitation envoyée par courriel à l’adresse legal@gdpr.dev

Si les informations, les rapports et les certificats susmentionnés s’avèrent insuffisants pour permettre à l’Utilisateur, ou l’Organisation représentée le cas échéant, de démontrer que les obligations prévues par le RGPD sont remplies, CODE IS LAW et l'Utilisateur, ou l’Organisation représentée le cas échéant, se réunissent alors pour convenir des conditions opérationnelles, sécuritaires et financières d’une inspection technique sur site. En toutes hypothèses, les conditions de cette inspection ne doivent pas affecter la sécurité des autres Utilisateurs de DPO-GPT.

L’inspection sur site susmentionnée, ainsi que la communication des certificats et des rapports de contrôles peuvent donner lieu à une facturation supplémentaire raisonnable.

Toute information communiquée à l’Utilisateur en vertu de la présente clause et qui n’est pas disponible sur le site internet de https://www.olympe.legal est considérée comme une information confidentielle de CODE IS LAW. Avant de communiquer ces informations, CODE IS LAW peut exiger la signature d’un accord de confidentialité spécifique.

Nonobstant ce qui précède, l'Utilisateur, ou l’Organisation représentée le cas échéant, est autorisé à répondre aux demandes de l’autorité de contrôle compétente à condition que toute divulgation d’informations soit strictement limitée à ce qui est demandé par ladite autorité. Dans un tel cas, et à moins que la loi applicable ne l’interdise, l'Utilisateur, ou l’Organisation représentée le cas échéant, doit d’abord consulter CODE IS LAW au sujet de toute divulgation requise.

Contact CODE IS LAW

Pour toutes questions concernant ses données à caractère personnel (incident, conditionsd’utilisation, etc.), l'Utilisateur, ou un Membre Administrateur de l’Organisation représentée le cas échéant, peut contacter CODE IS LAW par l’un des moyens suivants :(b) En contactant le support CODE IS LAW à l’adresse legal@gdpr.dev.(c) Par courrier postal à l’adresse : CODE IS LAW SAS, 122 Rue Amelot, 75011, Paris.

Entrée en vigueur

Le DPA de DPO-GPT s’applique dès la conclusion du Contrat Utilisateur ou, le cas échéant, de la souscription de l’Abonnement permettant à une Organisation représentée de disposer d’un Espace de travail collaboratif sur DPO-GPT.

Legal Index
Privacy policy- Legal Index
 CODE IS LAW, SAS - 2023