PilotCrew logoPilotCrew
Vue d’ensembleAgent vocalRédac · contenuBuzz · social (Suite Contenu)Compta · recouvrementAssist · supportÉtoile · réputationProspecto · salesDevisco · devisVisite guidée (2 min)
🟢 En direct
📞 Appelez-nous, on décroche
Appel gratuit, Capi vous répond en français en 2 sonneries.
+33 1 89 31 63 23 →
Guides PME7 secteurs · ROI · setupBlogInsights & actualitésBonnes pratiquesPlaybooks IA pour PMECas d’usageBibliothèque de scénariosAvis clientsTrustpilot · témoignagesÀ propos · FondateurCurtys ACCIPE · parcoursAgencesMarque blanche · reventeIntégrationsCal.com · Stripe · Slack…Visite guidée2 min · capi en démo
📘 Guide
EU AI Act : ce que les PME doivent préparer
Gratuit · 12 pages · échéance août 2026.
Lire le guide →
Centre d’assistanceHub support · FAQ · contactDocumentationAPI · setup · intégrationsChangelogNouveautés produitStatut systèmeDisponibilité en directCentre de confianceEU AI Act · RGPD · sécuCommunautéÉchanges & entraide
🟢 24/7
Une question ? Capi répond
Téléphone, chat, e-mail, la voix officielle PilotCrew.
Contacter le support →
🍽️ RestaurantRésa + avis + menus🔧 ArtisanDevis + SEO local + tournées🩺 MédecinRDV 24/7 + rappels SMS🛒 E-commerceFiches + posts + support💇 BeautéInsta + fidélisation💼 FreelanceLinkedIn + devis + factu🏠 ImmobilierAnnonces multi-portail + voice qualif
TarifsComparatifs
Appelez-nousConnexionEssai gratuit
Menu
FonctionnalitésComment ça marcheIntégrationsTarifsComparatifs

Agents IA

Agent vocal · CapiAgent contenu · RédacAgent social · BuzzAgent finance · ComptaAgent support · AssistAgent réputation · ÉtoileAgent prospection · ProspectoAgent devis · Devisco

Ressources

Visite guidée (2 min)BlogBonnes pratiquesCas d’usageAvis clientsAgences (marque blanche)

Assistance

Centre d’assistanceDocumentationChangelogStatut systèmeCentre de confianceEU AI ActCommunauté
ConnexionEssai gratuit
  1. Accueil
  2. /Légal
  3. /DPA Article 28 RGPD

Avenant de traitement des données (DPA)

Avenant de traitement des données (DPA)

Dernière mise à jour : 23 juin 2026

En souscrivant à un plan payant PilotCrew, vous acceptez automatiquement le présent DPA. Aucune contre-signature manuelle n'est requise, le contrat est opposable dès la première facture. Une copie PDF signée électroniquement est disponible sur demande à dpo@pilotcrew.io pour les services achats / juridique.

1. Parties

Le présent Avenant de traitement des données (« DPA ») est conclu entre :

  • Le Responsable du traitement (« le Client ») : la personne morale ou physique souscrivant à un abonnement payant à PilotCrew.
  • Le Sous-traitant : KEY FOR AI SAS, société par actions simplifiée immatriculée au RCS de Paris sous le numéro 994 487 775, dont le siège social est situé 229 Rue Saint-Honoré, 75001 Paris, France (« PilotCrew »).

2. Objet

Le présent DPA encadre les conditions dans lesquelles PilotCrew traite, en qualité de sous-traitant au sens de l'article 28 du RGPD, les données personnelles confiées par le Client dans le cadre de l'exécution du Service.

3. Description du traitement

  • Nature : génération automatique de contenu (textes, images), gestion de prospection et facturation, analytics, support client, automatisation marketing.
  • Finalité : exécution des fonctionnalités souscrites du Service par le Client.
  • Durée : la durée de l'abonnement, prolongée de 30 jours après résiliation pour permettre l'export des données.
  • Catégories de personnes concernées : utilisateurs du Client, prospects, clients finaux du Client, salariés du Client.
  • Catégories de données : données d'identification (email, nom, prénom, fonction, entreprise), données professionnelles (secteur, ville), contenus produits (textes, images), données de facturation (via Stripe), métadonnées d'usage (logs, IP).
  • Données sensibles : aucune donnée sensible au sens de l'article 9 RGPD n'est traitée par défaut.

4. Obligations de PilotCrew

PilotCrew s'engage à :

  • Ne traiter les données qu'à la demande documentée du Client (via le Service ou par écrit).
  • Garantir la confidentialité des données et la formation de son personnel au RGPD.
  • Mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe 2.
  • Notifier au Client toute violation de données dans les 72 heures suivant sa connaissance, conformément à l'article 33 RGPD.
  • Assister le Client pour répondre aux demandes des personnes concernées (droit d'accès, de rectification, d'effacement, de portabilité).
  • Mettre à disposition toute information utile pour démontrer la conformité (audit logs, rapports d'incident, certifications).
  • Supprimer ou restituer les données à la fin de la prestation, au choix du Client.

5. Sous-traitants ultérieurs

Le Client autorise PilotCrew à recourir aux sous-traitants ultérieurs listés sur la page Sous-traitants ultérieurs. Toute modification de cette liste est notifiée 30 jours avantsa prise d'effet (par email aux abonnés à la liste de notification, et publication sur la page publique). Le Client dispose alors d'un délai de 14 jours pour faire opposition motivée à un nouveau sous-traitant ; à défaut d'accord, le Client peut résilier sans frais le contrat.

6. Transferts hors UE

Certains sous-traitants ultérieurs (Anthropic, OpenAI, Google, Fal.ai, Resend, Sentry, Apollo.io, Vapi.ai) sont établis aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914), assorties des mesures supplémentaires recommandées par le CEPD (chiffrement TLS 1.2+, pseudonymisation lorsque possible, droits opposables).

7. Sécurité des données

PilotCrew met en œuvre les mesures de sécurité décrites en Annexe 2, en particulier :

  • Chiffrement TLS 1.2+ des données en transit.
  • Chiffrement AES-256 des données au repos (Supabase Postgres, Cloudflare R2).
  • RLS (Row-Level Security) Postgres pour l'isolation multi-tenant.
  • Authentification par lien magique ou OAuth Google ; tokens de session JWT signés.
  • Sauvegardes quotidiennes vérifiées par le cron db-backup-verifier.
  • Audit logs immuables conservés 90 jours.
  • Monitoring d'erreurs 24/7 via Sentry, alertes Slack/Telegram en cas d'incident.

8. Audit

Le Client peut auditer la conformité de PilotCrew à hauteur d'une fois par an, avec un préavis de 30 jours, à ses frais. Pour les Clients sur plan Scale, un rapport SOC2 Type 2 (en cours d'obtention) sera mis à disposition annuellement.

9. Durée et résiliation

Le présent DPA est conclu pour la durée du contrat principal. Il prend fin de plein droit à la résiliation du contrat principal, sous réserve des obligations de restitution / suppression des données décrites à l'article 4.

10. Loi applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution sera soumis à la compétence exclusive du Tribunal de commerce de Paris, sous réserve des dispositions impératives du droit de la consommation.

Annexe 2, Mesures techniques et organisationnelles

Mesures techniques

  • Chiffrement en transit : TLS 1.2+ exigé sur tous les endpoints publics ; HSTS preload activé.
  • Chiffrement au repos : AES-256 sur Supabase Postgres + Cloudflare R2.
  • CSP stricte (script-src, frame-src, object-src 'none', upgrade-insecure-requests, report-uri actif).
  • Rate-limiting Upstash Redis pour endpoints publics et authentifiés.
  • Validation Zod systématique sur toutes les routes mutantes.
  • Code-audit hebdomadaire (46 checks hand-rolled + 390 ESLint + 2000 Semgrep) ; objectif 0 finding.

Mesures organisationnelles

  • Accès aux données de production limité aux ingénieurs avec besoin opérationnel ; revue trimestrielle.
  • Audit logs sur toutes les actions sensibles (auth, suppression, export) conservés 90 jours.
  • Procédure de réponse à incident documentée ; objectif de notification < 72h aux clients impactés.
  • Formation RGPD obligatoire pour tout collaborateur ayant accès à la production.
  • Test de restauration de sauvegarde mensuel par le cron db-backup-verifier.
  • Politique de mots de passe forte (Auth Supabase + 2FA exigé pour le personnel).

Voir aussi

  • Registre Article 30 RGPD de PilotCrew, l'inventaire opposable des traitements
  • AIPD agent vocal Capi, méthodologie CNIL en 4 phases
  • Centre de confiance, vue d'ensemble
  • Liste des sous-traitants ultérieurs
  • Politique de confidentialité
  • Conditions générales de vente
  • Conformité EU AI Act

Pour toute question relative à ce DPA, contactez le délégué à la protection des données : dpo@pilotcrew.io.

Recevez les nouveautés PilotCrew

Une lettre par mois, sans spam. Roadmap produit, retours clients, playbooks éprouvés. Désinscription en un clic.

Produit

  • Vue d’ensemble
  • Fonctionnalités
  • Tarifs
  • Intégrations
  • Comparatifs
  • Changelog

Agents IA

  • Agent vocal
  • Agent contenu
  • Agent social
  • Agent support
  • Agent réputation
  • Agent recouvrement
  • Agent prospection
  • Agent devis
  • Cas d’usage par métier

Ressources

  • Visite guidée (2 min)
  • Centre d’aide
  • Blog
  • Cas d’usage
  • Bonnes pratiques
  • Avis clients
  • Presse
  • À propos · Fondateur
  • Recherche

Outils gratuits

  • Calculateur de TVA
  • Salaire brut / net
  • Quittance de loyer
  • Solde de tout compte
  • Modèle de facture
  • Mise en demeure
  • Réponse avis Google
  • Tous les outils →

Légal & confiance

  • Centre de confiance
  • EU AI Act Ready
  • Guides conformité
  • Accompagnement Lab IA
  • CGV
  • Confidentialité
  • DPA (RGPD art. 28)
  • Sous-traitants
  • Divulgation responsable
  • CAIQ-Lite (questionnaire sécurité)
  • Accessibilité (RGAA)
  • Mentions légales
  • Agences (marque blanche)

Demander des informations ou planifier une démo

Démarrer 14 jours gratuitsNous contacter+33 1 89 31 63 23
PilotCrew logoPilotCrew·Votre équipe IA pour PME. 8 agents. Zéro friction.
🇪🇺 EU AI Act compliant

© 2026 KEY FOR AI SAS · PilotCrew · SIRET 994 487 775 00011