ELRIC

Accord de traitement des données (DPA)

Data Processing Agreement · Dernière mise à jour : 15 avril 2026

À qui s’adresse ce document ? Ce DPA est destiné aux clients professionnels (responsables du traitement) qui utilisent Elric pour traiter les données personnelles de leurs propres utilisateurs, collaborateurs, prospects ou clients. Il formalise la relation Responsable ↔ Sous-traitant au sens du RGPD (art. 28).

Si vous utilisez Elric uniquement pour vos données personnelles individuelles, seule notre politique de confidentialité s’applique. Confidentialité

1. Parties

Sous-traitant : Accelerhate SAS, société par actions simplifiée au capital de 99 EUR — 31 Rue de la Rive, 44230 Saint-Sébastien-sur-Loire, France — RCS Nantes : 989 119 672 — TVA intracommunautaire : FR18989119672.

Responsable du traitement : toute personne morale ayant souscrit à un abonnement Elric et accepté les CGU.

2. Objet

Le présent DPA complète les CGU et encadre le traitement par Accelerhate des données à caractère personnel confiées à Elric dans le cadre de l’utilisation du Service.

Il est conclu conformément à l’article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD). En cas de contradiction, le DPA prévaut sur les CGU pour les sujets liés aux données personnelles.

3. Définitions

Les termes “Données à caractère personnel”, “Traitement”, “Responsable du traitement”, “Sous-traitant”, “Personne concernée” et “Violation de données” ont le sens donné par le RGPD.

4. Description du traitement

  • Nature du traitement : hébergement, indexation, recherche sémantique, analyse IA, synthèse, transcription, stockage et transmission aux services tiers connectés.
  • Finalités : fournir Elric : assistance IA, recherche documentaire, analyse de contenus, gestion de tâches et synthèse de réunions.
  • Catégories de données : identification, données professionnelles, contenus téléversés, conversations, réunions, métadonnées d’usage et données issues des intégrations activées.
  • Personnes concernées : collaborateurs, clients, prospects, partenaires et candidats du Client.
  • Durée : durée de l’abonnement + délai technique de suppression.

5. Données sensibles

Le Client s’engage à ne pas téléverser dans Elric de catégories particulières de données au sens de l’article 9 du RGPD, ni de données relatives aux condamnations pénales, sauf accord écrit préalable d’Accelerhate.

6. Obligations du Responsable du traitement

  • Disposer d’une base légale pour chaque traitement opéré via Elric.
  • Informer les personnes concernées conformément aux articles 13 et 14 du RGPD.
  • Recueillir les consentements nécessaires lorsque la base légale est le consentement.
  • Documenter ses traitements dans son registre.
  • Veiller à la minimisation des données téléversées.
  • Notifier Accelerhate en cas d’exercice de droits par une personne concernée.

7. Obligations du Sous-traitant

  • Traiter les données uniquement sur instructions documentées du Client.
  • Garantir la confidentialité des données traitées.
  • Mettre en œuvre des mesures techniques et organisationnelles appropriées.
  • Assister le Client dans le respect de ses obligations RGPD.
  • Notifier le Client en cas de violation de données.
  • Supprimer ou restituer les données à la fin de la prestation.

8. Absence d’entraînement de modèles IA

Accelerhate n’utilise pas les données des Clients pour entraîner ou affiner des modèles d’intelligence artificielle. Les données ne sont transmises aux fournisseurs d’IA tiers que pour l’inférence en temps réel nécessaire à une requête initiée par le Client.

9. Sous-traitants ultérieurs

Le Client autorise Accelerhate à recourir aux sous-traitants nécessaires à la fourniture du Service. Accelerhate informera le Client de tout ajout ou remplacement significatif avec un préavis raisonnable.

9.1 Subprocessors

PrestataireFinalitéLocalisation
Supabase Inc.Base de données PostgreSQL + authentificationUE (eu-west-1, Irlande)
Vercel Inc.Hébergement de l’application webUE / US (edge network)
Google LLCInférence IA, OAuth, APIs Google WorkspaceUS (Data Privacy Framework + SCC)
Recall.aiTranscription de réunions en ligneUE (eu-central-1)
Stripe Inc.Paiements et facturationUS (PCI DSS + SCC)
ResendEmails transactionnelsUS (SCC)

10. Mesures de sécurité

  • TLS 1.3 sur les connexions.
  • Chiffrement AES-256 des bases et credentials OAuth.
  • Isolation stricte par Row-Level Security PostgreSQL.
  • Contrôle d’accès, journalisation et monitoring.
  • Protections applicatives : CSP, HSTS, X-Frame-Options, rate limiting, SSRF, anti-injection de prompt.
  • Validation humaine obligatoire pour les actions externes irréversibles.
  • Sauvegardes automatiques et supervision continue.

11. Violation de données

En cas de violation de données personnelles, Accelerhate notifiera le Client dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance. La notification inclura la nature de la violation, les données concernées, les conséquences probables et les mesures correctives proposées.

12. Droits des personnes concernées

Accelerhate assiste le Client, dans la mesure du possible, pour répondre aux demandes d’exercice de droits. Le Client dispose d’outils self-service pour exporter les données, supprimer un workspace et révoquer les intégrations tierces.

13. Fin du contrat — sort des données

À la fin de la prestation, Accelerhate permet au Client d’exporter ses données puis supprime les données personnelles dans les délais prévus, sauf obligations légales de conservation. Une attestation de suppression peut être fournie sur demande écrite.

14. Audit

Le Client peut procéder à un audit annuel moyennant un préavis écrit de 30 jours, à ses frais, pendant les heures ouvrées, sans perturber le Service et sous confidentialité stricte. Accelerhate peut fournir des rapports d’audit indépendants lorsqu’ils sont disponibles.

15. Transferts hors UE

Lorsque des données personnelles sont transférées hors de l’Union européenne vers un pays sans décision d’adéquation, Accelerhate met en œuvre des garanties appropriées, notamment les Clauses Contractuelles Types.

16. Responsabilité

La responsabilité des parties au titre du DPA s’applique dans les conditions prévues par les CGU. Chaque partie reste responsable du non-respect de ses propres obligations RGPD.

17. Durée et résiliation

Le DPA prend effet à l’acceptation des CGU et demeure applicable pendant toute la durée de la prestation, ainsi que pendant la période nécessaire à la suppression effective des données.

18. Droit applicable

Le DPA est soumis au droit français et au RGPD. Tout litige relève de la compétence exclusive des tribunaux du ressort de la Cour d’appel de Rennes.

19. Contact DPO / Protection des données

Pour toute question relative à ce DPA ou à la protection des données :

Un DPO externe pourra être désigné ultérieurement si le volume de traitement ou les obligations d’Accelerhate l’exigent.

jean@elric-ia.com
Accelerhate SAS — 31 Rue de la Rive, 44230 Saint-Sébastien-sur-Loire, France

Voir également : CGU · Confidentialité · Mentions légales · Sécurité