DPA simplifié
Accord de traitement des données - Dernière mise à jour : mars 2026
Ce document constitue l'accord de traitement des données (Data Processing Agreement) entre le client (« Responsable du traitement ») et Adrien Lacour EI - PortraitsCabinet (« Sous-traitant »), conformément à l'article 28 du RGPD.
1. Objet du traitement
| Nature du traitement | Génération de portraits professionnels par IA à partir de photos fournies par le client |
| Données traitées | Photos de visage, nom/prénom, adresse email |
| Personnes concernées | Avocats et collaborateurs du cabinet client |
| Finalité | Production et livraison de portraits corporate |
| Durée | Durée du traitement + délai de rétention (30 jours ou 7 jours selon l'option choisie) |
Aucun dossier client, aucune donnée juridique ou confidentielle liée à l'exercice de la profession d'avocat n'est traitée.
2. Obligations du sous-traitant
- Traiter les données uniquement sur instruction documentée du client (la commande vaut instruction)
- Garantir la confidentialité : accès restreint aux personnes ayant besoin d'en connaître
- Mettre en œuvre des mesures de sécurité appropriées (chiffrement TLS, tokens hachés, URLs signées, stockage sécurisé)
- Ne pas faire appel à un sous-traitant ultérieur sans information préalable du client (liste ci-dessous)
- Aider le client à répondre aux demandes d'exercice des droits des personnes concernées
- Notifier le client en cas de violation de données dans un délai de 72 heures
- Supprimer toutes les données à l'expiration du délai de rétention convenu
3. Sous-traitants ultérieurs
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données et stockage fichiers | UE (AWS eu-west) | DPA Supabase conforme RGPD |
| Vercel Inc. | Hébergement de l'application | UE + CDN mondial | DPA Vercel conforme RGPD |
| Stripe Inc. | Traitement des paiements | UE (certifié PCI-DSS) | DPA Stripe conforme RGPD |
| Google Cloud EMEA Limited (Vertex AI) | Génération des portraits par IA (traitement des photos de visage) | Endpoint global (Gemini 3.1 Flash non disponible en région UE). Bascule automatique vers europe-west1 (Belgique, UE) dès disponibilité du modèle. | Google Cloud Data Processing Addendum ; Clauses Contractuelles Types UE (CCT 2021/914). ISO 27001, SOC 2/3. Données non réutilisées pour l'entraînement IA. SynthID sur chaque portrait. Aucun entraînement modèle. |
Précisions sur le traitement IA
- PortraitsCabinet utilise Google Cloud Vertex AI (services payants) pour la génération de portraits.
- Le modèle utilisé (Gemini 3.1 Flash Image) est actuellement disponible uniquement via l'endpoint global de Vertex AI. Les photos peuvent donc être traitées dans n'importe quelle région Google Cloud, y compris hors UE.
- Dès que ce modèle sera disponible dans une région européenne (europe-west1, Belgique), le traitement sera automatiquement basculé sur l'endpoint régional UE.
- Conformément au Cloud Data Processing Addendum et aux Service Terms de Vertex AI, Google n'utilise ni les photos transmises, ni les portraits générés pour entraîner ou améliorer ses modèles IA.
- Google peut journaliser temporairement les données transmises pour la seule détection de violations de sa politique d'utilisation. Ces logs sont conservés une durée limitée et ne sont pas utilisés à des fins d'entraînement.
- Toutes les images générées incluent un filigrane invisible SynthID permettant l'identification du contenu généré par IA.
Endpoint global — transparence
Le modèle Gemini 3.1 Flash Image (preview) est actuellement disponible uniquement via l'endpoint global de Vertex AI. Cet endpoint ne garantit pas la résidence des données dans l'Union européenne : les photos et portraits peuvent être traités dans n'importe quelle région Google Cloud (y compris hors EEE).
Ce régime s'applique à toutes les commandes (bêta gratuites et payantes). Les utilisateurs donnent leur consentement explicite à ce traitement lors de leur inscription.
Garanties maintenues : Google ne réutilise pas les données transmises pour l'entraînement IA (Cloud DPA), chaque portrait porte un filigrane SynthID, et les données sont supprimées automatiquement après livraison.
Dès que Gemini 3.1 Flash Image sera disponible dans une région européenne, toutes les commandes basculeront automatiquement sur l'endpoint régional UE.
En cas de changement de sous-traitant ultérieur, le client est informé avec un préavis minimum de 30 jours. Le client peut s'opposer au changement dans ce délai. À défaut d'opposition motivée dans les 30 jours, le changement est réputé accepté.
4. Suppression des données
- Rétention standard : photos et portraits supprimés automatiquement 30 jours après livraison
- Rétention stricte (option) : suppression sous 7 jours après livraison
- Suppression anticipée : possible sur demande à adrien@portraits-avocats.fr
- Les tokens d'accès expirent automatiquement après leur durée de validité
5. Mesures de sécurité
- Chiffrement des données en transit (HTTPS/TLS)
- Tokens d'accès hachés (non réversibles)
- URLs de téléchargement signées avec expiration
- Stockage sécurisé avec contrôle d'accès
- Suppression automatique selon les délais convenus
- Journalisation des accès aux portails de livraison
6. Droits des personnes concernées
Le sous-traitant aide le client à répondre aux demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition). Les demandes peuvent être adressées à adrien@portraits-avocats.fr et seront traitées sous 30 jours.
7. Droit d'audit
Le client peut demander un questionnaire de sécurité ou un audit documentaire une fois par an, sur demande écrite à adrien@portraits-avocats.fr. Le sous-traitant s'engage à y répondre dans un délai raisonnable (30 jours maximum).
8. Droit applicable
Le présent accord est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). Pour toute question, contactez adrien@portraits-avocats.fr.
Voir également notre page Sécurité & Secret professionnel pour une présentation détaillée de nos engagements.