Avenant de traitement des données (DPA)

Dernière mise à jour : 8 mai 2026

1. Parties

Le présent Avenant de traitement des données (« DPA ») est conclu entre :

• Le Responsable du traitement (« le Client ») : la personne morale ou physique souscrivant à un abonnement payant à PilotCrew.
• Le Sous-traitant : KEY FOR AI SAS, société par actions simplifiée immatriculée au RCS de Paris sous le numéro 994 487 775, dont le siège social est situé 229 Rue Saint-Honoré, 75001 Paris, France (« PilotCrew »).

2. Objet

Le présent DPA encadre les conditions dans lesquelles PilotCrew traite, en qualité de sous-traitant au sens de l'article 28 du RGPD, les données personnelles confiées par le Client dans le cadre de l'exécution du Service.

3. Description du traitement

• Nature : génération automatique de contenu (textes, images), gestion de prospection et facturation, analytics, support client, automatisation marketing.
• Finalité : exécution des fonctionnalités souscrites du Service par le Client.
• Durée : la durée de l'abonnement, prolongée de 30 jours après résiliation pour permettre l'export des données.
• Catégories de personnes concernées : utilisateurs du Client, prospects, clients finaux du Client, salariés du Client.
• Catégories de données : données d'identification (email, nom, prénom, fonction, entreprise), données professionnelles (secteur, ville), contenus produits (textes, images), données de facturation (via Stripe), métadonnées d'usage (logs, IP).
• Données sensibles : aucune donnée sensible au sens de l'article 9 RGPD n'est traitée par défaut.

4. Obligations de PilotCrew

PilotCrew s'engage à :

• Ne traiter les données qu'à la demande documentée du Client (via le Service ou par écrit).
• Garantir la confidentialité des données et la formation de son personnel au RGPD.
• Mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2.
• Notifier au Client toute violation de données dans les 72 heures suivant sa connaissance, conformément à l'article 33 RGPD.
• Assister le Client pour répondre aux demandes des personnes concernées (droit d'accès, de rectification, d'effacement, de portabilité).
• Mettre à disposition toute information utile pour démontrer la conformité (audit logs, rapports d'incident, certifications).
• Supprimer ou restituer les données à la fin de la prestation, au choix du Client.

5. Sous-traitants ultérieurs

Le Client autorise PilotCrew à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants ultérieurs. Toute modification de cette liste est notifiée 30 jours avantsa prise d'effet (par email aux abonnés à la liste de notification, et publication sur la page publique). Le Client dispose alors d'un délai de 14 jours pour faire opposition motivée à un nouveau sous-traitant ; à défaut d'accord, le Client peut résilier sans frais le contrat.

6. Transferts hors UE

Certains sous-traitants ultérieurs (Anthropic, OpenAI, Google, Fal.ai, Resend, Sentry, Apollo.io, Vapi.ai) sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), assorties des mesures supplémentaires recommandées par le CEPD (chiffrement TLS 1.2+, pseudonymisation lorsque possible, droits opposables).

7. Sécurité des données

PilotCrew met en œuvre les mesures de sécurité décrites en Annexe 2, en particulier :

• Chiffrement TLS 1.2+ des données en transit.
• Chiffrement AES-256 des données au repos (Supabase Postgres, Cloudflare R2).
• RLS (Row-Level Security) Postgres pour l'isolation multi-tenant.
• Authentification par lien magique ou OAuth Google ; tokens de session JWT signés.
• Sauvegardes quotidiennes vérifiées par le cron db-backup-verifier.
• Audit logs immuables conservés 90 jours.
• Monitoring d'erreurs 24/7 via Sentry, alertes Slack/Telegram en cas d'incident.

8. Audit

Le Client peut auditer la conformité de PilotCrew à hauteur d'une fois par an, avec un préavis de 30 jours, à ses frais. Pour les Clients sur plan Scale, un rapport SOC2 Type 2 (en cours d'obtention) sera mis à disposition annuellement.

9. Durée et résiliation

Le présent DPA est conclu pour la durée du contrat principal. Il prend fin de plein droit à la résiliation du contrat principal, sous réserve des obligations de restitution / suppression des données décrites à l'article 4.

10. Loi applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive du Tribunal de commerce de Paris, sous réserve des dispositions impératives du droit de la consommation.

Annexe 2 — Mesures techniques et organisationnelles

Mesures techniques

• Chiffrement en transit : TLS 1.2+ exigé sur tous les endpoints publics ; HSTS preload activé.
• Chiffrement au repos : AES-256 sur Supabase Postgres + Cloudflare R2.
• CSP stricte (script-src, frame-src, object-src 'none', upgrade-insecure-requests, report-uri actif).
• Rate-limiting Upstash Redis pour endpoints publics et authentifiés.
• Validation Zod systématique sur toutes les routes mutantes.
• Code-audit hebdomadaire (46 checks hand-rolled + 390 ESLint + 2000 Semgrep) ; objectif 0 finding.

Mesures organisationnelles

• Accès aux données de production limité aux ingénieurs avec besoin opérationnel ; revue trimestrielle.
• Audit logs sur toutes les actions sensibles (auth, suppression, export) conservés 90 jours.
• Procédure de réponse à incident documentée ; objectif de notification < 72h aux clients impactés.
• Formation RGPD obligatoire pour tout collaborateur ayant accès à la production.
• Test de restauration de sauvegarde mensuel par le cron db-backup-verifier.
• Politique de mots de passe forte (Auth Supabase + 2FA exigé pour le personnel).

Voir aussi

• Centre de confiance — vue d'ensemble
• Liste des sous-traitants ultérieurs
• Politique de confidentialité
• Conditions générales de vente
• Conformité EU AI Act

Pour toute question relative à ce DPA, contactez le délégué à la protection des données : dpo@pilotcrew.io.