Contrat de Sous-Traitance — RGPD Article 28
Version : DRAFT V0.1 — En cours de validation juridique
Date : avril 2026
Parties
Le Responsable de traitement (ci-après « le Client ») : l'organisation ayant souscrit un abonnement à la plateforme ClipHow.
Le Sous-traitant (ci-après « ClipHow ») : ClipHow SAS, société par actions simplifiée, en cours d'immatriculation au RCS.
Email : contact@cliphow.com
DPO : Vincent Charles — dpo@cliphow.com
Article 1 — Objet
Le présent contrat définit les conditions dans lesquelles ClipHow, en qualité de sous-traitant au sens de l'article 28 du RGPD, traite des données personnelles pour le compte du Client dans le cadre de la fourniture de la plateforme ClipHow.
ClipHow est une plateforme SaaS B2B de gestion des connaissances d'entreprise par la vidéo. Elle permet la transcription automatique, la génération de cours de formation et la mise à disposition d'un agent IA conversationnel.
Article 2 — Description du traitement
| Élément | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, transcription IA, analyse visuelle (OCR), vectorisation, génération de cours, agent conversationnel, monitoring d'erreurs |
| Finalité | Fourniture du service ClipHow de gestion des connaissances vidéo |
| Types de données | Données d'identification (nom, prénom, email), données de connexion (IP, user-agent), contenus vidéo (voix, visages), transcriptions, conversations IA, données de progression, logs d'audit |
| Catégories de personnes | Collaborateurs du Client (employés, managers, administrateurs) |
| Durée | Durée du contrat d'abonnement entre le Client et ClipHow |
Article 3 — Obligations du Sous-traitant
3.1 Traitement sur instruction documentée
Traiter les données personnelles uniquement sur instruction documentée du Client. Les instructions du Client sont matérialisées par les présentes, par les CGU et par les paramètres de configuration de la plateforme.
3.2 Confidentialité
Garantir que les personnes autorisées à traiter les données personnelles sont soumises à une obligation de confidentialité.
3.3 Sécurité (Art. 32 RGPD)
Mettre en oeuvre les mesures techniques et organisationnelles appropriées :
- Chiffrement : AES-256 au repos (Supabase), TLS 1.2+ en transit (HSTS preload).
- Contrôle d'accès : MFA/TOTP obligatoire pour les propriétaires et administrateurs, disponible pour tous les utilisateurs. Row Level Security sur toutes les tables, 4 niveaux de rôles, timeout de session à 15 minutes, verrouillage de compte après tentatives échouées.
- Journalisation : audit logs de toutes les actions sensibles, conservation minimum 12 mois, protégés en écriture.
- Sécurité applicative : en-têtes HTTP (CSP, HSTS, X-Frame-Options), rate limiting, validation des mots de passe (12 caractères minimum, complexité requise).
3.4 Sous-traitants ultérieurs
| Sous-traitant | Siège | Localisation données | Rôle |
|---|---|---|---|
| Supabase Inc. | Singapour | UE (Frankfurt) | Base de données, auth, stockage fichiers |
| Vercel Inc. | États-Unis | UE (Frankfurt) | Hébergement application, cron jobs |
| Mistral AI | France | France | Transcription, embeddings, chat IA, génération de cours |
| Sentry | États-Unis | États-Unis | Monitoring d'erreurs (texte masqué, médias bloqués) |
| Resend (optionnel, non déployé) | À confirmer | Union européenne | Envoi d'emails transactionnels (invitations, notifications) |
| Fournisseur IdP SAML/SCIM | Variable (choisi par le Client) | Variable | Authentification SSO et provisionnement automatique |
Notification de changement : ClipHow informera le Client par écrit de tout changement de sous-traitant ultérieur avec un préavis de 30 jours.
3.5 Assistance au Client
ClipHow s'engage à assister le Client pour :
- Répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition).
- Réaliser des analyses d'impact (AIPD) lorsque nécessaire.
- Notifier toute violation de données (cf. Article 5).
3.6 Sort des données en fin de contrat
- Restitution : ClipHow met à disposition du Client un export complet de ses données dans un format structuré (JSON/ZIP) dans un délai de 30 jours.
- Suppression : À l'issue du délai de 30 jours, suppression définitive de toutes les données du Client, sauf obligation légale de conservation.
- Certificat : ClipHow fournit un certificat de destruction des données sur demande.
- Exception : Les logs d'audit sont conservés conformément aux obligations légales (RGPD Art. 17(3)(b)).
3.7 Audit
Le Client peut :
- Demander un rapport de conformité tiers (type SOC 2) une fois par an.
- Poser des questions écrites auxquelles ClipHow répondra sous 30 jours.
Article 4 — Transferts hors Union européenne
Les données personnelles sont stockées et traitées exclusivement dans l'Union européenne, à l'exception du monitoring d'erreurs (Sentry, États-Unis) pour lequel des Clauses Contractuelles Types encadrent le transfert et les données textuelles sont masquées.
Les sièges sociaux de certains sous-traitants (Supabase, Vercel) sont situés hors UE, mais les serveurs utilisés sont localisés dans l'UE (région Frankfurt, Allemagne).
Article 5 — Notification de violation de données
En cas de violation de données personnelles, ClipHow s'engage à :
- Informer le Client dans un délai maximum de 48 heures après en avoir pris connaissance.
- Fournir la nature de la violation, les catégories et nombre de personnes concernées, les conséquences probables, et les mesures prises ou proposées.
- Coopérer avec le Client pour la notification à la CNIL et aux personnes concernées si nécessaire.
Le Client, en tant que responsable de traitement, est responsable de la notification à la CNIL (Art. 33 RGPD) et aux personnes concernées (Art. 34 RGPD).
Article 6 — Durée
Le présent contrat prend effet à la date de signature et reste en vigueur pendant toute la durée du contrat d'abonnement. Les obligations de confidentialité et de sécurité survivent à la résiliation.
Article 7 — Droit applicable
Le présent contrat est régi par le droit français. Tout litige sera soumis aux tribunaux compétents du ressort du siège social de ClipHow SAS.
Ce document est un projet (DRAFT V0.1) en cours de validation par notre conseil juridique. Pour obtenir la version définitive signée, contactez-nous à contact@cliphow.com.