Accord de Traitement de Données — inKore

1. Parties

Le présent accord (ci-après « DPA ») est conclu entre :

• inKore SAS, société par actions simplifiée immatriculée au RCS de Paris, dont le siège social est situé à Paris (France), agissant en qualité de sous-traitantau sens de l'article 4(8) du RGPD (ci-après « inKore » ou le « Sous-traitant »),
• et le Client, identifié dans les Conditions Générales d'Utilisation ou le Bon de Commande applicable, agissant en qualité de responsable du traitementau sens de l'article 4(7) du RGPD (ci-après le « Responsable »).

2. Objet et étendue du traitement

inKore traite des données à caractère personnel pour le compte du Responsable, dans le cadre exclusif de la fourniture de la plateforme inKore (agents IA, orchestration, observabilité, validations).

Catégories de données :données d'identification (nom, email), données professionnelles (entreprise, poste), contenus produits par l'utilisateur (posts, prospects, briefs), métadonnées d'exécution (logs, traces).

Catégories de personnes concernées : utilisateurs du Responsable, contacts professionnels insérés par le Responsable (prospects, clients).

Durée du traitement : durée du contrat principal, plus la rétention légale applicable. Suppression sur demande du Responsable dans un délai maximum de 30 jours ouvrés.

3. Localisation et hébergement

Les données sont stockées dans l'Union Européenne (Supabase EU-West-1 — Frankfurt). Aucun transfert vers un pays tiers n'est effectué sans base légale (clauses contractuelles types CCT 2021/914 ou décision d'adéquation).

Le Responsable peut activer le mode eu_only_modeau niveau workspace, qui trace l'exigence EU-only, horodate la décision et active les contrôles fournisseurs disponibles. L'enforcement est documenté fournisseur par fournisseur.

4. Sous-traitants ultérieurs

inKore recourt aux sous-traitants suivants, pour lesquels un DPA est signé :

• Supabase — Base de données Postgres + auth · EU-West-1 (Frankfurt)
• Anthropic — Modèle Claude (agents IA) · selon configuration client et endpoint disponible
• Stripe Payments Europe — Facturation · Irlande
• Resend — Emails transactionnels · EU + US (toggle)
• Sentry — Observabilité erreurs · sentry.io/eu
• Upstash — Rate limiting (Redis) · eu-west-1
• Vercel — Hébergement applicatif · régions EU disponibles

Toute modification de cette liste est notifiée au Responsable au moins 30 jours à l'avance, avec un droit d'objection raisonnable.

5. Mesures de sécurité

inKore met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
• Isolation multi-tenant via Row-Level Security PostgreSQL
• Authentification OTP magic link (pas de mot de passe en clair côté inKore)
• Stockage des secrets clients dans Supabase Vault (chiffrement applicatif)
• Audit logs immuables pour toute mutation de configuration sensible
• Rate limiting applicatif et infrastructure
• Sentry pour la détection proactive d'anomalies
• Sauvegardes quotidiennes Supabase, rétention 7 jours

6. Droits des personnes concernées

inKore assiste le Responsable dans l'exercice des droits prévus aux articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, portabilité, opposition).

Le Responsable peut exporter les données de son workspace à tout moment via les fonctionnalités natives de la plateforme. Une demande d'effacement déclenche une suppression sous 30 jours, étendue aux sauvegardes après expiration de la rétention.

7. Notification de violation

En cas de violation de données personnelles, inKore notifie le Responsable sans délai injustifié et au plus tard dans les 48 heures suivant la prise de connaissance, avec : nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises.

8. Audits

Le Responsable peut demander, une fois par an et à ses frais, un audit de conformité mené par un auditeur indépendant agréé. Préavis de 30 jours, sous engagement de confidentialité, sur des plages horaires ouvrées et avec un périmètre raisonnable.

inKore met à disposition les rapports SOC 2 (readiness Q4 2026, certification Type I visée Q1 2027) et les attestations de ses sous-traitants ultérieurs sur simple demande.

9. AI Act et entraînement

inKore n'utilise pasles données du Responsable pour entraîner ses propres modèles ni ceux de ses fournisseurs IA. Les contrats avec Anthropic incluent une clause de zero-retention applicable aux requêtes API. Les agents IA sont classés comme systèmes d'IA à risque limité au sens de l'AI Act (article 50), avec information explicite à l'utilisateur final.

10. Fin du contrat

À l'issue du contrat, sur instruction du Responsable, inKore restitue ou supprime l'ensemble des données traitées dans un délai de 30 jours ouvrés, hors obligations légales de conservation.

11. Loi applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relève des juridictions compétentes du ressort de la Cour d'appel de Paris, après tentative de résolution amiable.