Aller au contenu principal
Astrée

Data Processing Agreement (DPA)

Dernière mise à jour : mai 2026

1. Parties

Le présent Data Processing Agreement (ci-après « DPA ») est conclu entre :

  • Le Client(Responsable de traitement) : le cabinet d'avocats utilisateur du Service
  • Astrée SASU (Sous-traitant) : éditeur de la plateforme Astrée

2. Objet

Le présent DPA régit les conditions dans lesquelles Astrée traite les données personnelles pour le compte du Client dans le cadre de la fourniture du Service, conformément à l'article 28 du RGPD.

3. Nature et finalités du traitement

Astrée traite les catégories de données suivantes pour le compte du Client :

  • Données d'identification professionnelle des avocats utilisateurs
  • Contenu des documents juridiques soumis à l'analyse
  • Contenu des correspondances électroniques professionnelles
  • Messages échangés avec l'assistant IA
  • Métadonnées associées (dates, types de documents, dossiers)

Ces traitements ont pour seules finalités la fourniture du Service (analyse IA, classement, recherche, génération de réponses) et la sécurité du Service.

4. Durée du traitement

Le traitement est effectué pendant toute la durée de l'abonnement du Client. À l'issue, les données sont supprimées dans un délai de 3 mois, sauf obligation légale de conservation.

5. Obligations d'Astrée (Sous-traitant)

Astrée s'engage à :

  • Traiter les données uniquement sur instruction documentée du Client
  • Assurer la confidentialité des données (personnel soumis à une obligation de confidentialité)
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article 7
  • Ne pas recruter de sous-traitant ultérieur sans autorisation préalable du Client
  • Aider le Client à répondre aux demandes d'exercice des droits des personnes concernées
  • Notifier le Client de toute violation de données dans un délai de 48 heures
  • Supprimer les données à l'issue de la prestation
  • Mettre à disposition les informations nécessaires pour démontrer la conformité au RGPD

6. Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants suivants :

  • Hetzner Online GmbH (hébergement, Allemagne)
  • Stripe Inc. (paiement, certifié PCI-DSS)

Astrée informera le Client de tout changement de sous-traitant avec un préavis de 15 jours. Le Client dispose d'un droit d'objection motivée.

7. Mesures de sécurité

  • Chiffrement : documents chiffrés en AES-256-GCM avant stockage ; communications en TLS 1.3 ; mots de passe hachés en bcrypt (cost 12)
  • Contrôle d'accès : authentification forte (NextAuth v5), isolation stricte par cabinet (cabinetId obligatoire sur toute requête), sessions JWT avec blacklist
  • Infrastructure : hébergement en France (Hetzner), pare-feu applicatif, protection DDoS, sauvegardes quotidiennes chiffrées, monitoring 24/7
  • Développement : pentest annuel, CSP enforcing par nonce unique, rate-limiting, audit logs immuables

8. Transferts internationaux

Astrée s'engage à ne pas transférer les données personnelles en dehors de l'Union Européenne sans garanties appropriées (clauses contractuelles types de la Commission Européenne).

9. Audit

Le Client peut demander un audit des mesures de sécurité d'Astrée une fois par an, à ses frais, sous réserve d'un préavis de 30 jours et de la signature d'un accord de confidentialité. Astrée fournira un rapport d'audit de sécurité externe annuel.

10. Contact

Pour toute question relative au présent DPA : dpa@astree.ai