Data Processing Agreement (DPA)

Accord de Traitement des Données Personnelles

Dernière mise à jour : 20/05/2026

Version : 2.0

Préambule

Le présent Accord de Traitement des Données Personnelles (ci-après le « DPA » ou l'« Accord ») a pour objet de définir les conditions dans lesquelles ORKOM, en sa qualité de sous-traitant, traite les données à caractère personnel pour le compte de ses Clients, en sa qualité de responsable de traitement, conformément à l'Article 28 du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »).

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation (CGU) accessibles à l'adresse https://orkom.fr/legal/cgu et, le cas échéant, du Contrat commercial conclu entre ORKOM et le Client.

En acceptant les CGU lors de la création du compte d'une organisation cliente, le représentant de cette organisation (« owner ») accepte le présent DPA au nom de l'organisation cliente, conformément à l'Article 28 RGPD et à la jurisprudence en matière d'acceptation électronique de contrats B2B (CJUE, arrêt El Majdoub, 21 mai 2015).

Les clients souhaitant signer un DPA spécifique ou négocié peuvent en faire la demande à contact@orkom.fr.

1. Définitions

Les termes utilisés dans le présent DPA ont la signification qui leur est donnée par le RGPD. Pour faciliter la lecture, les principales définitions sont rappelées ci-dessous :

Terme	Définition
Données à caractère personnel	Toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'Article 4.1 RGPD.
Traitement	Toute opération effectuée sur des Données à caractère personnel, au sens de l'Article 4.2 RGPD.
Responsable de traitement	Le Client, qui détermine les finalités et les moyens du traitement des Données à caractère personnel.
Sous-traitant	ORKOM, qui traite des Données à caractère personnel pour le compte du Responsable de traitement.
Sous-traitant ultérieur	Tout sous-traitant désigné par ORKOM pour traiter des Données à caractère personnel pour son compte (ex : Google, Anthropic, Resend).
Personne concernée	La personne physique identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.
Violation de données	Toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données à caractère personnel.
Services	La plateforme SaaS ORKOM telle que définie dans les CGU.
Contenu Client	L'ensemble des documents, données et informations uploadés par le Client ou ses utilisateurs dans la plateforme ORKOM.

2. Objet et durée du traitement

2.1 Objet

ORKOM traite les Données à caractère personnel contenues dans le Contenu Client pour le compte du Client, dans le cadre exclusif de la fourniture des Services tels que définis dans les CGU et, le cas échéant, dans le Contrat commercial.

2.2 Durée

Le présent DPA prend effet à la date d'acceptation par le Client (clickwrap au signup ou signature électronique pour les Contrats commerciaux) et reste en vigueur pendant toute la durée d'utilisation des Services par le Client.

À l'issue de la relation contractuelle, les Données à caractère personnel sont traitées conformément à l'article 11 du présent DPA (Restitution ou suppression des données).

3. Nature et finalité du traitement

3.1 Nature du traitement

Le traitement consiste en la mise à disposition d'une plateforme d'automatisation de processus documentaires par intelligence artificielle, permettant au Client d'automatiser le traitement de ses documents de bout en bout.

Dans ce cadre, ORKOM effectue, sur instructions documentées du Client (configuration de l'organisation, paramétrage des traitements automatisés), les opérations suivantes :

la collecte et le stockage des données et documents fournis par le Client, qu'ils proviennent d'un upload manuel, d'une intégration API, ou d'une source de données tierce connectée par le Client ;
l'application de traitements automatisés définis et configurés par le Client, notamment via des modèles d'intelligence artificielle, sur les données et documents ;
la restitution des résultats vers les sorties configurées par le Client (interface utilisateur, API, intégrations tierces).

Les traitements appliqués par la plateforme sont déterminés par le Client lors de la configuration de ses paramètres et sont susceptibles d'évoluer.

3.2 Finalité du traitement

La finalité du traitement est strictement limitée à la fourniture de la plateforme au Client et à l'exécution des traitements automatisés définis par le Client.

3.3 Limitation

ORKOM ne traite les Données à caractère personnel que sur instructions documentées du Client (Article 28.3.a RGPD). ORKOM ne traite pas les Données à caractère personnel pour ses propres finalités, sauf obligation légale à laquelle ORKOM serait soumise.

ORKOM n'utilise pas le Contenu Client pour entraîner ses modèles d'intelligence artificielle ni ceux de ses sous-traitants ultérieurs.

4. Catégories de Données et de Personnes concernées

4.1 Catégories de Données à caractère personnel

Les catégories de Données à caractère personnel traitées dépendent du contenu uploadé par le Client. Elles peuvent inclure, à titre non exhaustif :

Données d'identification : nom, prénom, adresse postale, identifiants administratifs (SIREN, SIRET, numéro de sécurité sociale)
Données de contact : adresse email, téléphone
Données financières et bancaires : RIB, IBAN, montants, références bancaires
Données professionnelles : fonction, employeur, secteur d'activité
Toute autre catégorie de données contenue dans le Contenu Client

4.2 Personnes concernées

Les Personnes concernées sont les personnes physiques mentionnées dans le Contenu Client uploadé par le Client, notamment :

les clients, prospects ou usagers du Client
les salariés, candidats ou prestataires du Client
les fournisseurs et autres tiers en relation avec le Client

4.3 Données sensibles (Article 9 RGPD)

Le Client s'engage à informer ORKOM par écrit s'il prévoit de traiter des Données sensibles au sens de l'Article 9 RGPD (santé, opinions politiques, biométrie, etc.) via la plateforme.

Le Client est seul responsable de s'assurer qu'il dispose des bases légales appropriées (Article 9.2 RGPD) avant d'uploader de telles données.

5. Obligations d'ORKOM en tant que Sous-traitant

Conformément à l'Article 28.3 RGPD, ORKOM s'engage à :

5.1 Traitement sur instructions documentées

Traiter les Données à caractère personnel uniquement sur instructions documentées du Client, telles que définies :

par la configuration de l'organisation Cliente dans la plateforme ;
par les fonctionnalités utilisées par le Client ;
par les demandes écrites du Client adressées à support@orkom.fr ;
par le présent DPA et le Contrat commercial éventuel.

Si ORKOM estime qu'une instruction du Client viole le RGPD ou toute autre disposition applicable, ORKOM en informe le Client sans délai.

5.2 Confidentialité

Garantir la confidentialité des Données personnelles traitées: seules les personnes parmi les

employés d’ORKOM et du(es) Sous-traitant(s) Ultérieur(s) ayant besoin d’y accéder pour

l’exercice de leurs fonctions dans le cadre de l’exécution du Contrat (ci-après les « Personnes

autorisées ») sont autorisées à accéder aux Données personnelles traitées.

Dans l’hypothèse où ORKOM se verrait ordonner par toute juridiction, administration,

autorité ou représentant de la force publique de permettre un accès aux Données personnelles, ou de transmettre ou de produire une copie des Données personnelle, le Sous-traitant s’engage à prendre toutes précautions et mesures utiles pour assurer la protection de la confidentialité des Données à caractère personnel confiées, dont au minimum les mesures suivantes :

● Informer sans délai le Responsable de traitement et se conformer aux instructions

documentées du Responsable de traitement pour y répondre ;

● A défaut rediriger la juridiction, administration ou autorité vers le Responsable de

traitement pour obtenir une réponse ;

● En toute hypothèse, ne communiquer ou donner accès aux Données personnelles que

sur présentation d’une décision de justice définitive.

Veiller à ce que les Personnes autorisées à traiter les Données personnelles s’engagent;

à respecter la confidentialité et soient soumises à une obligation légale appropriée de confidentialité, et,
reçoivent une formation nécessaire et adéquate en matière de protection des Données personnelles.

5.3 Mesures de sécurité (Article 32 RGPD)

Mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, telles que décrites en Annexe A du présent DPA.

5.4 Recours à des sous-traitants ultérieurs

Recourir à des sous-traitants ultérieurs uniquement dans les conditions prévues à l'article 7 du présent DPA.

5.5 Assistance dans l'exercice des droits des Personnes concernées

Aider le Client, par des mesures techniques et organisationnelles appropriées, à répondre aux demandes des Personnes concernées exerçant leurs droits prévus aux Articles 15 à 22 RGPD (accès, rectification, effacement, limitation, portabilité, opposition).

Lorsqu'une Personne concernée s'adresse directement à ORKOM pour exercer ses droits sur des données contenues dans le Contenu Client, ORKOM redirige la demande vers le Client (responsable de traitement) et en informe le Client sans délai.

5.6 Assistance dans les obligations de sécurité, de notification et de DPIA

Aider le Client à respecter ses obligations relatives :

à la sécurité du traitement (Article 32 RGPD) ;
à la notification des violations de données aux autorités de contrôle et aux Personnes concernées (Articles 33 et 34 RGPD) ;
à la réalisation d'analyses d'impact relatives à la protection des données (DPIA — Article 35 RGPD), notamment en fournissant les informations utiles sur les traitements effectués par ORKOM.

5.7 Restitution ou suppression des données

À l'issue de la relation contractuelle, restituer ou supprimer les Données à caractère personnel conformément à l'article 11 du présent DPA.

5.8 Mise à disposition d'informations et audits

Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Article 28 RGPD, et permettre la réalisation d'audits dans les conditions prévues à l'article 10 du présent DPA.

6. Obligations du Client en tant que Responsable de traitement

Le Client s'engage à :

6.1 Légalité du traitement

S'assurer qu'il dispose des bases légales appropriées (Article 6 RGPD) pour le traitement des Données à caractère personnel contenues dans le Contenu Client, et le cas échéant, des bases légales renforcées pour les Données sensibles (Article 9 RGPD).

6.2 Information des Personnes concernées

Informer les Personnes concernées du traitement réalisé via la plateforme ORKOM, conformément aux Articles 12 à 14 RGPD, et notamment :

des finalités du traitement ;
du recours à ORKOM en tant que sous-traitant ;
des sous-traitants ultérieurs ;
des transferts hors Union européenne et des garanties applicables.

6.3 Décisions automatisées

Si le Client utilise des fonctionnalités produisant des décisions automatisées au sens de l'Article 22 RGPD (notamment le module de vérification de dossiers), le Client s'engage à :

informer les Personnes concernées de la logique sous-jacente, de l'importance et des conséquences ;
garantir le droit d'obtenir une intervention humaine, d'exprimer son point de vue et de contester la décision ;
prendre la décision finale par intervention humaine (le Client ne peut pas s'appuyer exclusivement sur la sortie automatisée d'ORKOM).

6.4 Configuration et instructions

Configurer la plateforme et émettre ses instructions de manière conforme au RGPD. Le Client est seul responsable des paramétrages et des règles qu'il définit.

6.5 Durée de conservation

Définir et faire respecter les durées de conservation appropriées au sein de l'organisation cliente. Le Client peut, à tout moment, supprimer le Contenu Client de la plateforme ou demander à ORKOM de procéder à la suppression.

7. Sous-traitants ultérieurs

7.1 Autorisation générale

ORKOM est autorisé à recourir exclusivement au(x) sous-traitant(s) ultérieur(s) listé(s) en Annexe B du présent DPA (ci-après, le(s) « Sous-traitant(s) ultérieur(s) »), pour réaliser les activités de Traitements.

7.2 Notification des évolutions

ORKOM s'engage à notifier le Client par email de toute modification de la liste des sous-traitants ultérieurs (ajout, remplacement) au moins 30 jours avant l'entrée en vigueur de la modification.

La notification est envoyée à l'adresse email du représentant de l'organisation (owner) telle qu'enregistrée dans la plateforme, ou à l'adresse du contact RGPD désigné par le Client.

L’information indiquera clairement les Traitements qu’ORKOM envisage de sous-traiter ainsi que l’identité et les coordonnées du Sous-traitant ultérieur auquel le Sous-traitant envisage de faire appel.

7.3 Droit d'opposition

Le Client dispose d'un délai de 30 jours à compter de la notification pour s'opposer par motif légitime à l'ajout ou au remplacement d'un sous-traitant ultérieur, par notification écrite à contact@orkom.fr.

En cas d'opposition motivée, les Parties s'efforcent de trouver une solution alternative dans un délai de 30 jours supplémentaires.

À défaut d'accord à l'issue de cette période, le Client peut résilier le contrat sans pénalité, moyennant un préavis raisonnable permettant la restitution ou la suppression des Données conformément à l'article 11.

7.4 Garanties imposées aux sous-traitants ultérieurs

Le Sous-traitant ultérieur :

- sera tenu, envers ORKOM, d’obligations identiques ou équivalentes à celles mises à la charge du Sous-traitant et ainsi de respecter les obligations contenues dans le Contrat et notamment dans le présent DPA, pour le compte et selon les instructions documentées du Responsable de traitement communiquées par ORKOM au Sous-traitant ultérieur.

- devra présenter des garanties suffisantes et en tout état de cause, identiques ou équivalentes à celles mises à la charge d’ORKOM, quant à la mise en œuvre de mesures techniques, organisationnelles, de sécurité et de confidentialité des Données personnelles appropriées de manière à ce que les activités de Traitement sous-traitées répondent aux exigences des Lois et règlementations applicables en matière de protection des données personnelles/du Règlement.

- Ne pourra à son tour recruter d’autre(s) Sous-traitant(s) ultérieur(s) que dans le respect des conditions prévues au présent article et dans le respect des instructions documentées du Responsable de traitement.

ORKOM demeure pleinement responsable devant le Responsable de traitement de recruter

que des Sous-traitants ultérieurs permettant d’assurer la conformité continue des Traitements confiés aux Lois et réglementations applicables en matière de protection des données personnelles et de l’exécution par le Sous-traitant ultérieur des obligations sous-traitées.

8. Transferts hors Union européenne

8.1 Localisation par défaut des données

Par défaut, ORKOM héberge et traite le Contenu Client au sein de l'Union européenne, y compris les copies de sauvegarde.

8.2 Traitement IA et choix du Client

Le traitement par intelligence artificielle peut être réalisé :

(a) par un modèle hébergé dans l'Union européenne (option par défaut) : aucun transfert hors UE n'a lieu ;

(b) par un modèle hébergé hors UE, uniquement lorsque le Client active explicitement cette option dans la configuration de son organisation.

8.3 Transferts encadrés

Lorsque le Client active l'option (b), le transfert du Contenu Client vers le Sous-traitant ultérieur concerné est encadré par :

- les Clauses Contractuelles Types (SCC) de la Commission européenne (Décision d'exécution UE 2021/914) ;

- le cas échéant, l'EU-US Data Privacy Framework lorsque le sous-traitant y est certifié.

L'activation de cette option par le Client vaut instruction documentée au sens de l'article 5.1 et autorisation du transfert correspondant.

8.4 Garanties

ORKOM s'assure que tout sous-traitant ultérieur situé hors UE présente des garanties appropriées et reste lié par des obligations de protection équivalentes à celles du présent DPA.

9. Violation de Données à caractère personnel

9.1 Notification au Client

En cas de Violation de Données à caractère personnel concernant le Contenu Client, ORKOM s'engage à notifier le Client dans les 48 heures suivant la prise de connaissance de la violation.

La notification est adressée par email à l'adresse du représentant de l'organisation (owner) ou à l'adresse du contact RGPD désigné par le Client.

9.2 Contenu de la notification

La notification d'ORKOM comprend, dans la mesure du possible :

la nature de la Violation, y compris les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
les conséquences probables de la Violation ;
les mesures prises ou proposées par ORKOM pour remédier à la Violation et en atténuer les éventuelles conséquences négatives ;
les coordonnées du point de contact RGPD d'ORKOM pour obtenir plus d'informations.

Cette notification est accompagnée de toute documentation utile afin de permettre au Responsable de traitement, si nécessaire, de notifier cette violation à l’autorité de contrôle compétente. La notification contient les informations visées à l’article 33.3 du Règlement. Dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu.

9.3 Responsabilité du Client

Le Client demeure seul responsable de la notification de la Violation à l'autorité de contrôle compétente (Article 33 RGPD) dans le délai de 72 heures qui lui est applicable, et le cas échéant aux Personnes concernées (Article 34 RGPD).

ORKOM apporte son assistance au Client dans ces démarches, dans les conditions prévues à l'article 5.6 du présent DPA.

10. Audit

10.1 Droit d'audit

Le Client dispose du droit d'auditer le respect par ORKOM des obligations du présent DPA, dans les conditions suivantes :

audit au maximum une fois par an ;
préavis écrit de 30 jours minimum ;
audit réalisé par le Client ou par un auditeur tiers indépendant soumis à une obligation de confidentialité ;
audit conduit pendant les heures ouvrables d'ORKOM et de manière à ne pas perturber l'activité d'ORKOM ;
frais d'audit à la charge du Client, sauf si l'audit révèle un manquement substantiel d'ORKOM auquel cas les frais sont à la charge d'ORKOM ;
audit ne portant pas atteinte à la confidentialité des données d'autres clients d'ORKOM.

10.2 Acceptation de certifications et rapports tiers

Le Client accepte que les certifications et rapports d'audit indépendants suivants se substituent à l'audit prévu à l'article 10.1, lorsque ceux-ci sont disponibles chez ORKOM :

rapport SOC 2 Type II ;
certification ISO/IEC 27001 ;
tout autre rapport d'audit ou certification équivalente.

ORKOM met ces rapports à la disposition du Client sur demande écrite à contact@orkom.fr, sous réserve d'un engagement de confidentialité.

11. Restitution ou suppression des données

11.1 Durée de conservation post-contractuelle

À l'issue de la relation contractuelle (résiliation, expiration, suppression de l'organisation), ORKOM conserve le Contenu Client pendant une période de 30 jours afin de permettre au Client d'en demander la restitution.

Pendant cette période, l'accès à la plateforme est restreint à la consultation et à l'export. Aucune nouvelle opération de traitement n'est possible.

11.2 Suppression

À l'expiration du délai de 30 jours, ORKOM procède à la suppression définitive du Contenu Client, conformément à la politique de rétention d'ORKOM, incluant :

la suppression des fichiers stockés ;
la suppression des métadonnées et résultats associés;
la suppression des données dans les caches éphémères ;
la suppression dans les sauvegardes selon le calendrier de rotation des sauvegardes (14 jours sauvegardes complètes + 7 jours Point-in-Time Recovery).

11.3 Restitution

Sur demande écrite du Client adressée pendant le délai de 30 jours, ORKOM met à disposition le Contenu Client dans un format structuré, couramment utilisé et lisible par machine (notamment JSON ou CSV).

11.4 Exception légale

ORKOM peut conserver certaines données au-delà du délai prévu, uniquement si une obligation légale lui en impose la conservation. Le cas échéant, ORKOM en informe le Client.

11.5 Confirmation de suppression

Sur demande écrite du Client, ORKOM lui adresse une confirmation écrite de la suppression définitive du Contenu Client à l'issue du processus de suppression.

12. Responsabilité

12.1 Limitation de responsabilité

La responsabilité d'ORKOM au titre du présent DPA est plafonnée :

pour un Client utilisant le Service en mode gratuit (Free Tier) : à un montant forfaitaire maximum de 100 € (cent euros) ;
pour un Client ayant souscrit un Contrat commercial payant : au montant total des sommes effectivement versées par le Client à ORKOM au titre du Contrat commercial sur les douze (12) mois précédant le fait générateur de responsabilité.

12.2 Exclusions

Les limitations ci-dessus ne s'appliquent pas en cas de :

dol ou faute lourde d'ORKOM ;
violation manifeste et grave des obligations RGPD imputable à ORKOM en sa qualité de sous-traitant.

12.3 Indemnisation

En cas de manquement d'une Partie à ses obligations au titre du présent DPA, et notamment d'amende infligée par une autorité de contrôle, chaque Partie supporte les conséquences financières des manquements qui lui sont imputables.

13. Modification du DPA

13.1 Modification unilatérale par ORKOM

ORKOM se réserve le droit de modifier le présent DPA pour les adapter aux évolutions juridiques, techniques ou organisationnelles, ou aux évolutions de ses sous-traitants ultérieurs.

Toute modification est notifiée au Client par email au moins 30 jours avant son entrée en vigueur.

13.2 Droit d'opposition

Le Client dispose d'un délai de 30 jours à compter de la notification pour s'opposer par motif légitime à la modification, par notification écrite à contact@orkom.fr.

À défaut d'opposition dans ce délai, la modification est réputée acceptée et entre en vigueur à la date prévue.

13.3 Conséquence de l'opposition

En cas d'opposition motivée, les Parties s'efforcent de trouver une solution amiable dans un délai de 30 jours supplémentaires.

14. Dispositions diverses

14.1 Hiérarchie des documents

En cas de contradiction entre le présent DPA et les autres documents contractuels, l'ordre de priorité est le suivant :

Contrat commercial spécifique signé entre les Parties (le cas échéant)
DPA spécifique signé entre les Parties (le cas échéant)
Présent DPA standard
Conditions Générales d'Utilisation
Privacy Policy

14.2 Indépendance des clauses

Si l'une des stipulations du présent DPA était jugée nulle, illégale ou inapplicable, les autres stipulations conserveraient leur pleine validité.

14.3 Notifications

Toute notification au titre du présent DPA est valablement effectuée :

pour le Client : à l'adresse email du représentant de l'organisation (owner) telle qu'enregistrée dans la plateforme, ou à l'adresse du contact RGPD désigné ;
pour ORKOM : à contact@orkom.fr ou par courrier au siège social.

14.4 Langue

Le présent DPA est rédigé en langue française. En cas de traduction dans une autre langue, la version française fait foi en cas de divergence.

14.5 Loi applicable et juridiction

Le présent DPA est soumis au droit français.

Tout litige relatif à l'interprétation ou à l'exécution du présent DPA est soumis à la compétence exclusive du Tribunal de Commerce de Bordeaux, après tentative préalable de résolution amiable.

14.6 Délégué à la protection des données

Nom et coordonnées du délégué à la protection des données d’ORKOM, s’il en a désigné un conformément à l’article 37 du Règlement : Rayan Azmatally: rayan.azmatally@orkom.fr

Annexe A — Mesures techniques et organisationnelles de sécurité (Article 32 RGPD)

ORKOM met en œuvre les mesures suivantes pour garantir la sécurité du traitement :

A.1 Mesures techniques

Chiffrement des données au repos : AES-256 sur l'ensemble des bases de données et stockages
Chiffrement des données en transit : TLS 1.2+ pour toutes les communications
Authentification forte : authentification multi-facteurs (MFA) disponible pour tous les comptes utilisateurs, requise pour les comptes administrateurs
Gestion des mots de passe : mots de passe hashés via Firebase Authentication, jamais stockés en clair par ORKOM
Hébergement en Union européenne : Google Cloud
Sauvegardes : sauvegardes automatiques quotidiennes + Point-in-Time Recovery (7 jours)
Isolation multi-tenant : isolation stricte des données par organisation cliente, garantie par l'architecture applicative
Journalisation et audit : journal d'audit des actions sensibles, conservé 2 ans
Surveillance : monitoring des accès, détection d'anomalies
Gestion des accès : contrôle d'accès basé sur les rôles (RBAC), principe du moindre privilège
Mises à jour de sécurité : déploiement régulier de correctifs de sécurité

A.2 Mesures organisationnelles

Habilitations : accès aux données limité aux personnes habilitées, selon le principe du moindre privilège
Confidentialité : engagements de confidentialité signés par les collaborateurs
Formation : formation des équipes aux bonnes pratiques de sécurité et au RGPD
Gestion des incidents : procédures documentées de notification et de gestion des violations de données (72h max pour la CNIL, 48h max pour le Client)
Sélection des sous-traitants : critères de sélection rigoureux, exigence contractuelle de garanties équivalentes
Politique de rétention : durées de conservation définies par finalité, documentées dans la politique de rétention interne d'ORKOM

A.3 Évolution des mesures

Les mesures décrites dans la présente Annexe sont susceptibles d'évoluer afin de maintenir un niveau de sécurité adapté aux risques. Toute évolution substantielle est notifiée au Client conformément à l'article 13 du présent DPA.

Annexe B — Liste des sous-traitants ultérieurs

À la date d'entrée en vigueur du présent DPA, ORKOM recourt aux sous-traitants ultérieurs suivants pour le traitement du Contenu Client :

Sous-traitant	Adresse	Service fourni	Catégories de données	Localisation	Garanties
Google Cloud (Google LLC)	8 RUE DE LONDRES 75009 PARIS	- Hébergement de l'infrastructure applicative<br>- Stockage des données<br>- Traitement IA via Vertex AI	Ensemble du Contenu Client et des données associées	UE	- Clauses Contractuelles Types (SCC)<br>- Data Processing Addendum
Anthropic, PBC	548 Market Street, PMB 90375, San Francisco, CA 94104, USA	Traitement IA du Contenu Client via l'API Claude, lorsque cette option est sélectionnée par le Client	Contenu des documents traités	USA	- Clauses Contractuelles Types (SCC)<br>- Data Processing Addendum<br>- Engagement de non-utilisation des données pour l'entraînement

Toute modification de cette liste est régie par l'article 7 du présent DPA.

Data Processing Agreement ORKOM — Version 2.0 — 20/05/2026