KIROHQ

Accord de traitement des données (DPA)

Version en vigueur au 28 avril 2026. Le présent accord de traitement des données (« DPA » ou « Accord ») complète et fait partie intégrante des conditions contractuelles entre KIROHQ et son client (le « Client »). Il encadre les traitements de données à caractère personnel mis en œuvre par KIROHQ pour le compte du Client, conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »).

En cas de contradiction avec d'autres documents contractuels, le présent DPA prévaut sur les questions relatives à la protection des données. Contact unique : contact@kirohq.com.

1. Définitions & rôles des parties

1.1. Définitions

Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « personne concernée », « violation de données » ont le sens qui leur est donné par le RGPD. « Services » désigne les prestations souscrites par le Client (audit, intégration, abonnements, support).

1.2. Qualifications

Aux fins du présent DPA, le Client agit en qualité de responsable de traitement (ou de sous-traitant lorsqu'il agit pour le compte d'un tiers) et KIROHQ agit en qualité de sous-traitant. Lorsque KIROHQ traite des données pour ses propres finalités (administration, sécurité, facturation), elle agit en qualité de responsable de traitement, dans les conditions décrites par sa politique de confidentialité.

2. Objet, durée & nature des traitements

2.1. Objet & durée

Le DPA s'applique pendant toute la durée pendant laquelle KIROHQ traite des données pour le compte du Client, et survit au contrat principal pour les obligations résiduelles (restitution/suppression, confidentialité, défense en justice).

2.2. Nature & finalités

KIROHQ traite les données aux seules fins de fournir les Services souscrits : exécution des fonctionnalités (Ki Agent, Ki Notes, Ki Analytics, Ki Private AI), support, supervision technique, maintenance, sécurité, journalisation, sauvegardes, et toute autre finalité documentée au contrat ou aux instructions écrites du Client.

2.3. Catégories de données

Selon le périmètre souscrit : données d'identification et de contact des utilisateurs, données professionnelles, contenus métiers (documents, e-mails, conversations, voix transcrites), données de navigation et logs applicatifs. Le Client s'interdit de transmettre des catégories particulières (article 9 RGPD) ou des données pénales (article 10) sans accord écrit préalable de KIROHQ.

2.4. Catégories de personnes concernées

Selon le contexte : utilisateurs, salariés, prestataires, clients, prospects, fournisseurs, candidats du Client, et toute autre personne dont les données sont volontairement chargées dans les Services par le Client.

3. Obligations & instructions documentées

KIROHQ s'engage à :

  • traiter les données uniquement sur instruction documentée du Client, telle que résultant du contrat, du paramétrage des Services et de la Documentation, sauf obligation légale contraignant KIROHQ à agir autrement (auquel cas KIROHQ informe le Client, sauf interdiction légale) ;
  • informer immédiatement le Client si une instruction lui paraît contraire au RGPD ou à toute autre disposition relative à la protection des données ;
  • veiller à ce que les personnes habilitées à traiter les données soient soumises à une obligation de confidentialité appropriée ;
  • prendre toutes les mesures requises au titre de l'article 32 du RGPD ;
  • tenir à jour un registre des traitements effectués pour le compte du Client (article 30 §2 RGPD), disponible sur demande raisonnable.

Le Client garantit qu'il dispose d'une base légale valide pour les traitements et qu'il a délivré aux personnes concernées les informations exigées par les articles 13 et 14 du RGPD.

4. Mesures techniques & organisationnelles

KIROHQ met en œuvre, conformément à l'article 32 du RGPD et au guide CNIL de la sécurité des données personnelles, des mesures appropriées au risque, parmi lesquelles :

  • Contrôle d'accès : authentification forte, authentification multifacteur, gestion fine des habilitations, principe du moindre privilège, revue régulière des accès, journalisation des actions sensibles.
  • Cloisonnement : séparation logique des environnements (production, recette, développement) et des données par client.
  • Chiffrement : chiffrement en transit (TLS 1.2+) et chiffrement au repos pour les données sensibles, gestion des clés selon les bonnes pratiques.
  • Disponibilité & résilience : sauvegardes régulières, plan de continuité (PCA) et de reprise (PRA), tests périodiques.
  • Gestion des vulnérabilités : veille, correctifs, scans, tests d'intrusion périodiques.
  • Sensibilisation & engagement : formation des équipes, engagements de confidentialité contractuels.
  • Détection : supervision, alerting, journaux d'audit conservés selon les exigences applicables.

Le détail à jour des mesures est documenté dans la page Sécurité. Une fiche de mesures techniques et organisationnelles (Annexe II du DPA) peut être communiquée sur demande.

5. Sous-traitance ultérieure

5.1. Autorisation générale

Le Client autorise KIROHQ à recourir à des sous-traitants ultérieurs pour l'exécution des Services. KIROHQ tient à jour la liste des sous-traitants et la communique sur demande à contact@kirohq.com.

5.2. Information & opposition

Toute évolution substantielle (ajout, remplacement) est notifiée au Client avec un préavis raisonnable. Le Client dispose d'un délai de quinze (15) jours pour s'opposer pour motif légitime ; à défaut d'accord, chaque partie peut résilier les Services concernés sans pénalité, hors sommes dues au prorata.

5.3. Garanties imposées

Chaque sous-traitant ultérieur est lié par un contrat conforme à l'article 28 §4 du RGPD imposant des obligations équivalentes en matière de protection des données. KIROHQ demeure pleinement responsable de l'exécution par ses sous-traitants ultérieurs.

5.4. Indépendance technique

KIROHQ se réserve le choix des sous-traitants techniques nécessaires à la fourniture des Services, en privilégiant des prestataires européens et des solutions limitant les transferts internationaux.

6. Transferts hors UE/EEE

KIROHQ privilégie un hébergement et un traitement au sein de l'Union européenne. Lorsqu'un transfert hors UE/EEE est strictement nécessaire à la fourniture des Services, KIROHQ met en place les garanties appropriées prévues au chapitre V du RGPD : décision d'adéquation de la Commission européenne, ou à défaut clauses contractuelles types (CCT) complétées par une analyse d'impact sur les transferts (TIA) et les mesures techniques complémentaires nécessaires (chiffrement, pseudonymisation, restrictions d'accès).

Le Client autorise les transferts ainsi encadrés dans le cadre du présent DPA. Les pays de destination et les garanties spécifiques sont disponibles sur demande à contact@kirohq.com.

7. Assistance au Client

7.1. Droits des personnes

KIROHQ met à la disposition du Client les fonctionnalités nécessaires pour répondre aux demandes d'exercice des droits (accès, rectification, effacement, limitation, opposition, portabilité). Lorsque KIROHQ reçoit directement une telle demande, elle la transmet au Client sans délai et n'y répond pas elle-même, sauf instruction contraire ou obligation légale.

7.2. AIPD & consultation préalable

KIROHQ assiste le Client, dans la limite de ses possibilités et compte tenu des informations à sa disposition, pour l'analyse d'impact relative à la protection des données (AIPD) et la consultation préalable de l'autorité de contrôle, lorsque ces démarches sont nécessaires.

7.3. Audit & documentation

KIROHQ met à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 du RGPD (questionnaires, documentation sécurité, certifications, attestations). Le Client peut demander la réalisation d'un audit, à ses frais, par un tiers indépendant lié par un accord de confidentialité, sur préavis raisonnable et hors période sensible, dans la limite d'un audit par an, sauf incident avéré.

7.4. Coopération avec les autorités

KIROHQ coopère, sur demande, avec l'autorité de contrôle compétente (CNIL) dans l'exercice de ses missions.

8. Notification des violations

KIROHQ a mis en place une procédure de détection, qualification, remédiation et notification des incidents de sécurité. En cas de violation de données affectant les données traitées pour le compte du Client, KIROHQ notifie le Client sans retard injustifié après en avoir pris connaissance, et au plus tard dans un délai compatible avec le respect par le Client de ses obligations de notification à la CNIL (72 h, art. 33 RGPD) et, le cas échéant, aux personnes concernées (art. 34 RGPD).

La notification précise, dans la mesure du possible, la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables, les mesures prises ou envisagées et les coordonnées du point de contact. Les informations complémentaires sont communiquées au fur et à mesure de leur disponibilité.

9. Restitution & suppression

À la fin de la fourniture des Services, et au choix du Client, KIROHQ restitue les données dans un format structuré, couramment utilisé et lisible par machine, ou les supprime des systèmes opérationnels et des sauvegardes selon les durées techniques nécessaires. La période de réversibilité est de trente (30) jours à compter de la fin du contrat, sauf accord particulier.

À l'expiration du délai, et sauf obligation légale de conservation contraignant KIROHQ à conserver tout ou partie des données (auquel cas la conservation est limitée à cette finalité et à la durée prévue), KIROHQ supprime les données et délivre, sur demande, une attestation de suppression.

10. Responsabilité, droit applicable & juridiction

10.1. Responsabilité

La responsabilité respective des parties au titre du RGPD s'applique conformément à ses articles 82 et suivants. Les limitations de responsabilité prévues par le contrat principal s'appliquent au présent DPA, sauf disposition impérative contraire.

10.2. Droit applicable

Le présent DPA est régi par le droit français. Tout litige relèvera des juridictions désignées par le contrat principal, sous réserve de l'application de dispositions impératives, notamment en matière de protection des données.