Olia

Accord de traitement des données (DPA)

Data Processing Agreement — Article 28 RGPD — Service Olia — En vigueur à compter du 20 avril 2026 — Version 1.0

Préambule

Le présent Accord de traitement des données (« DPA ») est conclu entre :
Kema Studio, Lda, société à responsabilité limitée de droit portugais au capital de 1 000 euros, immatriculée sous le NIPC 519361776, dont le siège est situé Rua Leite de Vasconcelos, 85, 8 E, 1170-199 Lisboa, Portugal, représentée par Raphaël Macquet et Thomas Eskanazi, gérants, « le Sous-traitant »,
et
Le Client, tel qu'identifié dans son espace personnel Olia et dans les CGV, « le Responsable de traitement »,
ensemble dénommés « les Parties ». Le présent DPA fait partie intégrante du Contrat et prévaut, en cas de contradiction, sur toute autre disposition relative au traitement des données personnelles.

1. Objet

Le présent DPA définit les conditions dans lesquelles le Sous-traitant effectue, pour le compte du Responsable de traitement, les opérations de traitement de données à caractère personnel dans le cadre de la fourniture du Service Olia. Il est établi en application de l'article 28 du RGPD.

2. Description du traitement

2.1. Nature et finalité

  • L'hébergement des données saisies ou importées par le Responsable de traitement ;
  • Le fonctionnement des fonctionnalités (suivi de dossiers, gestion clients, suivi du temps, rattachement de confrères, gestion et émission de factures) ;
  • La reconnaissance optique (OCR) des factures importées par le Responsable de traitement, le texte restitué étant ensuite traité par le Sous-traitant au sein de son infrastructure aux fins de pré-remplissage et de suggestion de rattachement à un dossier, sous réserve de la validation du Responsable de traitement ;
  • Le support technique sur demande ;
  • Les sauvegardes et la sécurité technique du Service.

2.2. Catégories de personnes concernées

  • Clients du Responsable de traitement (personnes physiques et morales représentées par des personnes physiques) ;
  • Tiers mentionnés dans les dossiers (parties adverses, témoins, confrères, experts) ;
  • Collaborateurs du Responsable de traitement (associés, collaborateurs, stagiaires, secrétariat).

2.3. Catégories de données

  • Données d'identification (nom, prénom, adresse, coordonnées) ;
  • Données professionnelles ;
  • Données relatives aux dossiers et à leur suivi ;
  • Données de facturation et d'honoraires ;
  • Correspondance et notes relatives aux dossiers ;
  • Toutes autres données saisies librement par le Responsable de traitement.
Données sensibles : le Responsable de traitement est susceptible de saisir des données couvertes par le secret professionnel de l'avocat (art. 66-5 loi n° 71-1130) et, le cas échéant, des catégories particulières (art. 9 RGPD), des données pénales (art. 10 RGPD) ainsi que des données relatives à des mineurs. Le Sous-traitant met en œuvre des mesures de sécurité renforcées.

2.4. Durée du traitement

Durée du Contrat, augmentée de 30 jours après résiliation pour permettre l'export, et des durées de conservation légales (10 ans pour les données de facturation — Código do IVA).

2.5. Absence de décision automatisée (art. 22 RGPD)

Les traitements mis en œuvre dans le cadre du Service, y compris la reconnaissance optique (OCR) des factures et la suggestion de rattachement à un dossier, ne constituent pas une décision fondée exclusivement sur un traitement automatisé au sens de l'article 22 du RGPD. L'extraction des champs est réalisée par le Sous-traitant au sein de son infrastructure UE, et toute donnée extraite ou suggestion de rattachement est soumise à la validation préalable du Responsable de traitement (ou de ses préposés), qui conserve l'entière maîtrise des décisions produisant des effets juridiques ou affectant de manière significative les personnes concernées.

3. Obligations du Sous-traitant

3.1. Agir sur instructions documentées

Traiter les données uniquement sur instructions documentées du Responsable de traitement, y compris pour les transferts hors UE, sauf obligation légale contraire. Le Contrat et le présent DPA constituent les instructions initiales. Toute instruction complémentaire doit être adressée à raphael@kema-studio.com.

3.2. Garantir la confidentialité

Garantir que les personnes autorisées s'engagent à respecter la confidentialité, visant explicitement le secret professionnel des avocats lorsque les données traitées en relèvent.

3.3. Mettre en œuvre les mesures de sécurité

Mesures techniques et organisationnelles prévues à l'Annexe 1.

3.4. Encadrer les sous-traitants ultérieurs

Respecter les conditions de l'article 5.

3.5. Aider le Responsable de traitement

  • À répondre aux demandes d'exercice de droits ;
  • À assurer la sécurité du traitement ;
  • À notifier les violations aux autorités et personnes concernées ;
  • À réaliser les analyses d'impact (AIPD) ;
  • À consulter préalablement l'autorité de contrôle si nécessaire.

3.6. Notifier les violations de données

Notifier toute violation dans un délai maximum de 48 heures à compter de sa connaissance, par courriel à l'adresse renseignée dans le compte, avec les informations prévues à l'article 33.3 du RGPD.

3.7. Supprimer ou restituer les données

À la fin de la prestation, selon le choix du Responsable de traitement : restitution (CSV et/ou PDF) ou destruction. À défaut d'instruction dans 30 jours après résiliation, suppression définitive (sous réserve des obligations légales).

3.8. Tenir un registre

Registre des catégories d'activités de traitement (art. 30.2 RGPD).

3.9. Mettre à disposition la documentation

Informations nécessaires pour démontrer le respect du DPA et de l'article 28 du RGPD.

3.10. Permettre les audits

  • Un audit par an au maximum (sauf violation avérée) ;
  • Préavis écrit de 30 jours ;
  • Pendant les heures ouvrables, sans perturber l'activité ;
  • Auditeur soumis à confidentialité ;
  • Coût à la charge du Responsable de traitement, sauf non-conformité grave.

4. Obligations du Responsable de traitement

  • Fournir les données et instructions nécessaires ;
  • S'assurer de la licéité des traitements ;
  • Respecter ses propres obligations RGPD (information, consentement, registre, AIPD) ;
  • Documenter par écrit toute instruction complémentaire ;
  • Respecter les règles déontologiques de la profession d'avocat, notamment le secret professionnel.

5. Sous-traitants ultérieurs

5.1. Autorisation générale

Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants listés à l'Annexe 2.

5.2. Modifications

Le Sous-traitant informe de tout projet de changement au moins 30 jours avant. Le Responsable de traitement peut formuler des objections motivées. À défaut d'accord, il pourra résilier sans frais.

5.3. Obligations

Le Sous-traitant impose à ses sous-traitants ultérieurs des obligations équivalentes et demeure pleinement responsable de leur exécution.

6. Transferts hors Union européenne

Les bases de données de production sont hébergées dans l'UE (AWS eu-north-1, Stockholm). Lorsqu'un transfert hors UE est nécessaire, il est encadré par :
  • Une décision d'adéquation (Data Privacy Framework) ; ou
  • Les clauses contractuelles types (Décision d'exécution UE 2021/914) ; et
  • Des mesures complémentaires (chiffrement, pseudonymisation) après Transfer Impact Assessment.

7. Responsabilité

Chaque Partie est responsable des dommages résultant d'un manquement, dans les limites prévues par les CGV et le RGPD. Le Sous-traitant est réputé responsable conformément à l'article 82.2 du RGPD lorsqu'il n'a pas respecté les obligations qui lui incombent ou agit en dehors des instructions licites.

8. Durée — Résiliation

Le DPA entre en vigueur à la date d'acceptation du Contrat et reste en vigueur pendant toute la durée du traitement, sous réserve des obligations qui par nature survivent (confidentialité, restitution/destruction).

9. Dispositions diverses

En cas de contradiction, le présent DPA prévaut sur le Contrat pour les questions relatives au traitement des données personnelles. Régi par le droit portugais. Compétence exclusive des tribunaux de Lisbonne.

Annexe 1 — Mesures de sécurité techniques et organisationnelles

1. Chiffrement et pseudonymisation

  • Chiffrement des communications en TLS 1.2 ou supérieur ;
  • Chiffrement au repos (AES-256 via l'infrastructure AWS) ;
  • Pseudonymisation des identifiants transmis aux outils d'analyse (Amplitude, Sentry).

2. Contrôle d'accès

  • Authentification par identifiant et mot de passe fort ;
  • Authentification à deux facteurs disponible ;
  • Gestion granulaire des accès (principe du moindre privilège) ;
  • Journalisation des accès aux données sensibles.

3. Disponibilité et résilience

  • Sauvegardes quotidiennes automatiques ;
  • Tests de restauration périodiques ;
  • Infrastructure répartie et haute disponibilité ;
  • Plan de continuité et de reprise d'activité.

4. Sécurité opérationnelle

  • Mises à jour de sécurité régulières ;
  • Tests de sécurité applicative ;
  • Supervision continue (Sentry, journaux applicatifs) ;
  • Procédure documentée de gestion des incidents.

5. Sécurité organisationnelle

  • Engagement de confidentialité renforcé visant le secret professionnel des avocats ;
  • Politique interne de sécurité documentée ;
  • Sensibilisation et formation régulière du personnel ;
  • Contrôle préalable des sous-traitants ultérieurs et DPA signés avec chacun.

Annexe 2 — Liste des sous-traitants ultérieurs autorisés

Hébergement et base de données

  • Supabase Inc. (USA, données hébergées en UE — AWS eu-north-1, Stockholm) — base de données, authentification, stockage de fichiers.
  • Vercel Inc. (USA, infrastructure edge avec traitement UE) — hébergement de l'application.

Paiement et facturation

  • Stripe Payments Europe Ltd (Irlande) — paiements et abonnements.
  • Invopop (Espagne) — émission et transmission de factures électroniques conformes.

Communication et support

  • Resend — emails transactionnels.

Analyse et supervision

  • Amplitude (USA, CCT en place) — analyse d'usage pseudonymisée.
  • Sentry (USA, CCT en place) — supervision technique et remontée d'erreurs.

Reconnaissance optique de caractères (OCR)

  • Mistral AI, société par actions simplifiée de droit français, RCS Paris 952 418 325, siège 15 rue des Halles, 75001 Paris, France (Union européenne). Finalité : reconnaissance optique de caractères (OCR) des factures importées par le Responsable de traitement, aux seules fins de restitution du texte brut. L'extraction des champs et la suggestion de rattachement à un dossier sont réalisées par Kema Studio au sein de son infrastructure UE, sans transmission à ce sous-traitant. Traitement réalisé dans l'UE, sous régime Zero Data Retention activé sur l'organisation, sans réutilisation à des fins d'entraînement.
La liste est susceptible d'évoluer dans les conditions de l'article 5.

Annexe 3 — Coordonnées

Responsable de traitement : tel qu'identifié dans son espace personnel Olia et dans le Contrat.
Sous-traitant : Kema Studio, Lda — Rua Leite de Vasconcelos, 85, 8 E, 1170-199 Lisboa, Portugal
Délégué à la protection des données : Raphaël Macquet — raphael@kema-studio.com