Légal
Avenant Traitement des Données
Dernière mise à jour : 12 avril 2026
Le présent Avenant relatif au Traitement des Données (ci-après « DPA ») est conclu entre :
et tout client professionnel (cabinet d'avocats, entreprise ou organisation) utilisant le service Consia pour traiter des données à caractère personnel de ses propres clients ou collaborateurs (ci-après le « Responsable de traitement »).
Ce DPA est incorporé aux Conditions Générales d'Utilisation de Consia et s'applique dès lors que l'utilisation du service implique le traitement de données personnelles de tiers (clients du cabinet, parties à un litige, etc.).
Ce document est destiné aux cabinets d'avocats et professionnels du droit qui utilisent Consia dans le cadre de dossiers client. Si vous n'êtes pas un professionnel traitant des données de tiers, ce document ne vous concerne pas directement.
1. Objet et qualification
Le présent DPA a pour objet de définir les conditions dans lesquelles Consia traite des données à caractère personnel pour le compte du Responsable de traitement, dans le cadre de la fourniture du service d'assistance juridique par intelligence artificielle.
Conformément à l'article 4 du RGPD :
- Le Responsable de traitement (client professionnel) détermine les finalités et les moyens du traitement des données de ses propres clients
- Consia agit en qualité de sous-traitant, traitant ces données uniquement sur instruction du Responsable de traitement et aux fins de fourniture du service
2. Description du traitement
Dans le cadre de ce DPA, le traitement effectué par Consia présente les caractéristiques suivantes :
- Nature : analyse, synthèse et interrogation de questions textuelles soumises par le Responsable de traitement via l'interface Consia
- Finalité : assistance à la recherche juridique et à la rédaction — strictement limitée à l'exécution du service
- Types de données : toute donnée à caractère personnel éventuellement contenue dans les questions textuelles soumises par le Responsable de traitement (noms, faits, situations personnelles de clients)
- Catégories de personnes concernées : clients du Responsable de traitement, parties à des litiges, tiers mentionnés dans les documents soumis
- Durée : limitée à la durée de la session de traitement — les données soumises à l'IA ne sont pas conservées
3. Obligations de Consia (sous-traitant)
Consia s'engage à :
- Ne traiter les données à caractère personnel que sur instruction documentée du Responsable de traitement, telle qu'exprimée par l'utilisation du service
- Garantir que les personnes autorisées à traiter ces données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées visées à l'article 5 du présent DPA
- Ne pas recruter d'autres sous-traitants sans accord préalable du Responsable de traitement, sous réserve des sous-traitants listés à l'article 4
- Aider le Responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées
- Aider le Responsable de traitement à garantir le respect des obligations relatives à la sécurité, aux violations de données et aux analyses d'impact
- Supprimer ou restituer les données à l'issue de la prestation, et détruire les copies existantes
- Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA
4. Sous-traitants ultérieurs autorisés
Le Responsable de traitement autorise Consia à faire appel aux sous-traitants ultérieurs suivants pour la fourniture du service :
| Sous-traitant | Rôle | Pays | Garanties |
|---|---|---|---|
| Google Cloud EMEA Ltd | Traitement IA (Vertex AI) | France (Paris, europe-west9) | DPA Google Cloud — traitement intra-UE |
| Vercel Inc. | Hébergement applicatif | États-Unis | Clauses Contractuelles Types UE (art. 46 RGPD) |
| Neon Inc. | Base de données | Allemagne (Frankfurt) | DPA RGPD — hébergement zone UE |
| Clerk Inc. | Authentification | Europe (instance EU) | DPA RGPD — instance européenne |
| Stripe Inc. | Paiement | États-Unis (SCCs + DPF) | Clauses Contractuelles Types UE + Data Privacy Framework |
| Sentry GmbH | Monitoring erreurs | Allemagne | DPA RGPD — zone UE |
Consia s'engage à informer le Responsable de traitement de tout ajout ou remplacement d'un sous-traitant ultérieur au moins 30 jours à l'avance, laissant la possibilité au Responsable de traitement de s'y opposer.
5. Transferts hors Union Européenne
Le traitement IA (Google Cloud Vertex AI) est effectué exclusivement sur des serveurs situés à Paris (France, europe-west9). Ce traitement est intra-UE et ne constitue pas un transfert hors Union Européenne au sens du chapitre V du RGPD.
L'hébergement applicatif (Vercel) et le paiement (Stripe) peuvent impliquer un transfert de données vers les États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (SCCs) approuvées par la Commission Européenne et la certification Data Privacy Framework.
La base de données (Neon), l'authentification (Clerk) et le monitoring (Sentry) sont hébergés exclusivement en Union Européenne.
6. Droits des personnes concernées
Le Responsable de traitement demeure responsable de la gestion des demandes d'exercice de droits formulées par les personnes dont les données sont traitées via Consia (droit d'accès, rectification, effacement, etc.).
Consia s'engage à transmettre sans délai au Responsable de traitement toute demande reçue directement d'une personne concernée relative au traitement effectué dans le cadre du présent DPA.
7. Sécurité et notification d'incidents
Consia met en œuvre les mesures de sécurité suivantes pour protéger les données traitées dans le cadre du service :
- Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
- Contrôle d'accès strict avec authentification par compte utilisateur nominatif
- Isolation logique des données entre utilisateurs
- Infrastructure certifiée ISO 27001 (via sous-traitants)
- Journalisation des accès aux systèmes
En cas de violation de données à caractère personnel, Consia notifiera le Responsable de traitement sans délai injustifié et au plus tard dans les 72 heures suivant la prise de connaissance de l'incident, conformément à l'article 33 du RGPD. La notification comprendra a minima la nature de la violation, les catégories et le nombre approximatif de personnes concernées, et les mesures prises ou envisagées.
8. Durée, retour et suppression des données
Le présent DPA prend effet à la date de première utilisation du service par le Responsable de traitement et reste en vigueur pendant toute la durée de la relation contractuelle.
À l'expiration du contrat ou sur demande du Responsable de traitement, Consia s'engage à :
- Supprimer toutes les données à caractère personnel traitées dans le cadre du présent DPA
- Attester par écrit de cette suppression si le Responsable de traitement en fait la demande
Concernant les questions textuelles soumises à l'IA : elles sont traitées en mémoire uniquement et jamais conservées — la suppression est instantanée après génération de la réponse.
9. Audits et coopération
Consia s'engage à mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et à contribuer aux audits mandatés par le Responsable de traitement, dans des conditions à convenir mutuellement et à ses frais.
Pour toute question relative à ce DPA ou pour soumettre une demande d'audit, contactez : contact@consia.fr
10. Droit applicable
Le présent DPA est soumis au droit français et au droit de l'Union Européenne, notamment le Règlement (UE) 2016/679 (RGPD). En cas de litige, le Tribunal judiciaire de Tarascon sera seul compétent, conformément au siège social de l'éditeur.
