Accord de sous-traitance (DPA)
⚠️ Document en cours de revue légale. Ce contenu est une version de travail rédigée par l'équipe Weloom et n'est pas opposable jusqu'à validation par un conseil juridique. Pour un déploiement contractuel, contactez legal@weloom.ai pour la version signée.
Dernière mise à jour : juin 2026
Préambule
Le présent Data Processing Agreement (« DPA ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 (« RGPD ») entre :
- Weloom (« le Sous-traitant ») — éditeur de la plateforme Weloom.ai,
- l'Entreprise cliente (« le Responsable de traitement ») — ayant souscrit un abonnement aux services Weloom.
Le présent DPA est partie intégrante des CGU et s'applique automatiquement à toute Entreprise cliente.
1. Définitions
Les termes commençant par une majuscule ont le sens donné par le RGPD (Art.4), notamment : Données à caractère personnel, Traitement, Personne concernée, Sous-traitant ultérieur, Violation de données.
2. Objet
Le présent DPA encadre les conditions dans lesquelles Weloom traite les Données à caractère personnel pour le compte du Responsable de traitement, dans le cadre de l'utilisation de la plateforme Weloom.ai.
3. Catégories de données traitées
| Catégorie | Exemples | |---|---| | Identification | Nom, prénom, email professionnel, image, langue | | Vie professionnelle | Rôle, dates d'embauche / fin de contrat, manager, buddy | | Parcours d'onboarding | Avancement, scores, badges, points, milestones | | Échanges IA | Messages chat (stockés chiffrés AES-256-GCM) | | Feedback | Réponses 360°, notes managers, commentaires | | Connexion | IP, user-agent, dates de connexion |
Pas de catégories particulières (santé, opinions, syndicat, etc.). L'usage de la plateforme pour collecter des données sensibles est interdit par les CGU.
4. Catégories de personnes concernées
- Collaborateurs en cours d'intégration (recrues)
- Managers et tuteurs (buddies)
- Responsables RH (admins)
5. Durée
Le Traitement s'effectue pendant toute la durée du contrat d'abonnement aux services Weloom, avec une période de rétention complémentaire de 3 ans après la fin du contrat pour les données des collaborateurs ayant quitté l'entreprise (RM-08), sauf demande de suppression anticipée du Responsable de traitement.
6. Obligations de Weloom (Sous-traitant)
Weloom s'engage à :
6.1 Confidentialité et instructions
- Traiter les Données uniquement sur instruction documentée du Responsable de traitement (configuration tenant via la plateforme).
- Garantir la confidentialité des Données auprès de son personnel habilité.
6.2 Sécurité (Art.32)
Mesures techniques et organisationnelles déployées (cf. Sécurité) :
- Isolation multi-tenant par Row Level Security PostgreSQL sur
tenant_id. Aucune requête cross-tenant possible côté API. - Chiffrement applicatif des conversations IA : AES-256-GCM avec clé dérivée par entreprise (HKDF). La perte de la clé maître rend les conversations irrécupérables (gage de confidentialité fort).
- Chiffrement au repos AES-256 natif Supabase.
- TLS 1.3 obligatoire en transit, HTTPS strict.
- Audit log immuable des actions sensibles.
- Authentification : NextAuth.js v5, SSO Google, magic link à usage unique.
- Rate limiting : 50 messages chat / heure / utilisateur.
- Sauvegarde Supabase (PITR 7 jours, snapshots quotidiens).
6.3 Sous-traitants ultérieurs (Art.28.2)
Weloom recourt à des Sous-traitants ultérieurs listés sur la page Sous-traitants. Toute modification substantielle de cette liste est notifiée au Responsable de traitement avec un préavis raisonnable, lui permettant de s'opposer.
6.4 Assistance aux droits des personnes (Art.28.3.e)
Weloom fournit dans son interface RH une fonction d'export RGPD (Art.20) et de suppression / anonymisation (Art.17) en un clic, permettant au Responsable de traitement de répondre dans les délais.
6.5 Notification des violations (Art.33-34)
En cas de Violation de Données affectant le Responsable de traitement, Weloom le notifie sans délai injustifié, en pratique dans les 72 heures suivant la prise de connaissance, avec :
- la nature et le périmètre estimé de la violation,
- les conséquences probables,
- les mesures prises ou proposées pour atténuer les effets.
6.6 Coopération et audits (Art.28.3.h)
Weloom met à disposition, à la demande raisonnable du Responsable de traitement, les informations nécessaires pour démontrer le respect des obligations. Un audit annuel sur site peut être organisé selon des modalités à convenir (préavis, NDA, périmètre).
6.7 Fin du contrat (Art.28.3.g)
À la fin du contrat, Weloom :
- restitue au Responsable de traitement un export complet des Données (sur demande, format JSON par utilisateur), OU
- supprime les Données dans un délai raisonnable (anonymisation immédiate, purge complète à l'issue de la période de rétention RM-08).
Cette option doit être notifiée par le Responsable de traitement dans les 30 jours suivant la fin du contrat. À défaut, l'option « suppression à l'échéance RM-08 » s'applique par défaut.
7. Obligations du Responsable de traitement
Le Responsable de traitement s'engage à :
- N'utiliser la plateforme que pour des finalités légitimes d'onboarding (Art.5 RGPD principe de finalité).
- Disposer d'une base légale appropriée pour le traitement de ses collaborateurs (typiquement, exécution du contrat de travail).
- Informer ses collaborateurs (mention d'information employeur) de l'usage de la plateforme.
- Configurer les rôles et les paramètres de manière proportionnée.
- Ne pas charger dans la base de connaissance des données sensibles ou personnelles d'un tiers sans base légale.
8. Sous-traitants ultérieurs autorisés
Liste actualisée : /legal/sous-traitants.
9. Transferts internationaux
Certains Sous-traitants ultérieurs sont établis hors UE (Anthropic, OpenAI, Resend — États-Unis). Les transferts sont encadrés par :
- les clauses contractuelles types (CCT) de la Commission européenne (Décision 2021/914),
- et, le cas échéant, des mesures techniques additionnelles (chiffrement en transit, pseudonymisation, minimisation).
Aucune donnée nominale n'est transmise aux fournisseurs d'embeddings (OpenAI). Les conversations IA transmises à Anthropic sont à l'initiative du Responsable de traitement (via le Compagnon) et tracées dans l'audit log.
10. Responsabilité
La responsabilité de Weloom est limitée selon les termes des CGU § 10. Pour les violations relevant exclusivement de l'article 82 RGPD, les règles légales de répartition s'appliquent.
11. Entrée en vigueur
Le présent DPA prend effet à la date de souscription d'un abonnement payant ou de signature séparée par le Responsable de traitement. Pour les abonnements en essai gratuit, le DPA s'applique également par adhésion aux CGU.
12. Loi applicable
Le présent DPA est régi par le droit français et le RGPD. Les juridictions compétentes sont celles définies aux CGU § 12.
13. Contact RGPD
Pour toute question : dpo@weloom.ai.