Contrat de sous-traitance des données
Date d'entrée en vigueur: 26 mars 2026
1. Parties
Ce DPA est signé entre :
- Responsable du traitement (« Responsable ») : L'entité client qui a signé un accord d'abonnement pour les services AgentForge et détermine les objectifs et les moyens du traitement des données personnelles.
- Sous-traitant (« Sous-traitant ») : KOWEX Co. Holding, une entreprise enregistrée en République tchèque, exploitant la plateforme AgentForge à agentforge.community.
2. Étendue du traitement
Le Sous-traitant traitera les données personnelles au nom du Responsable uniquement pour l'objectif de fournir les services de la plateforme AgentForge, y compris :
- Fournir l'accès à l'API et au tableau de bord AgentForge
- HĂ©bergement et service des configurations des serveurs MCP
- Traitement des demandes d'API entre les agents et les serveurs MCP
- Maintenance des journaux d'utilisation et analytique
- Gestion de l'authentification et du contrôle d'accès
- Traitement des opérations d'abonnement et de facturation
Le Sous-traitant traitera les données personnelles uniquement selon les instructions documentées du Responsable, sauf exigence d'une loi de l'UE ou d'un État membre.
3. Catégories de données traitées
Les catégories de données personnelles suivantes peuvent être traitées en vertu de ce DPA :
| Catégorie | Éléments de données | Personnes concernées |
|---|---|---|
| Informations de compte | Adresse e-mail, nom d'affichage, credentials d'authentification (hachés) | Employés du Responsable, utilisateurs autorisés |
| Données d'utilisation de l'API | Points de terminaison appelés, timestamps, codes d'état de réponse, compteurs de limite de débit | Employés du Responsable, agents |
| Métadonnées du serveur | Noms des serveurs MCP, descriptions, définitions d'outils, capacités | Employés du Responsable |
| Données techniques | Adresses IP, chaînes user agent, métadonnées de requête | Employés du Responsable, agents |
4. Mesures de sécurité
Le Sous-traitant met en œuvre et maintient les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données personnelles conformément à l'article 32 du RGPD :
- Chiffrement au repos : Tout le stockage en base de données est chiffré à l'aide d'AES-256. Les clés API sont stockées sous forme de hachages salés.
- Chiffrement en transit : Toutes les données transmises entre les clients, les serveurs et les sous-traitants sont protégées par TLS 1.2 ou supérieur.
- Contrôles d'accès : Contrôle d'accès basé sur les rôles (RBAC) avec principes du moindre privilège. Authentification multifacteur pour l'accès administratif. Row Level Security (RLS) appliqué au niveau de la base de données.
- Audit logging : Tous les accès à l'API et les actions administratives sont enregistrés avec timestamps, identification de l'acteur et détails des actions. Les journaux sont conservés pendant 90 jours.
- Sécurité de l'infrastructure : Hébergement géré sur Supabase (SOC 2 Type II) et Vercel avec correctifs automatiques et scans de vulnérabilités.
- Réponse aux incidents : Procédures de réponse aux incidents documentées avec rôles définis et protocoles de communication.
5. Sous-traitants
Le Responsable autorise généralement le Sous-traitant à s'engager avec les sous-traitants suivants. Le Sous-traitant notifiera le Responsable au moins 30 jours avant tout changement prévu de sous-traitants, donnant au Responsable la possibilité de s'opposer.
| Sous-traitant | Objectif | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement de bases de données, authentification, stockage | UE (Francfort, Allemagne) |
| Stripe Inc. | Traitement des paiements, gestion des abonnements | UE |
| Vercel Inc. | HĂ©bergement d'applications, livraison edge | Edge UE (CDN mondial) |
| Anthropic PBC | Fonctionnalités alimentées par l'IA (recommandations d'agents) | États-Unis (avec CCT) |
6. Notification de violation de données
En cas de violation de données personnelles, le Sous-traitant :
- Notifiera le Responsable sans délai indu et au plus tard 72 heures après avoir découvert la violation, conformément à l'article 33 du RGPD.
- Fournira des détails complets y compris la nature de la violation, les catégories et le nombre approximatif de personnes concernées affectées, les conséquences probables, et les mesures prises ou proposées pour atténuer la violation.
- Coopérera pleinement avec le Responsable pour enquêter sur la violation et remplir les obligations de notification du Responsable envers les autorités de surveillance et les personnes concernées.
- Documentera tous les violations indépendamment de la gravité, en conservant les dossiers des faits, des effets et des mesures correctives prises.
7. Retour et suppression des données
Ă€ la fin ou l'expiration de l'accord de service, le Sous-traitant, au choix du Responsable :
- Retournera toutes les données personnelles au Responsable dans un format structuré, couramment utilisé, lisible par machine (export JSON), y compris les données de compte, les configurations de serveur et les journaux d'utilisation.
- Supprimera toutes les données personnelles dans les 30 jours de la date de résiliation, y compris toutes les copies dans les systèmes actifs et les sauvegardes, sauf où la conservation est requise par la loi de l'UE ou d'un État membre.
Le Sous-traitant fournira une confirmation écrite de suppression sur demande. Les registres de facturation peuvent être conservés jusqu'à 10 ans selon exigence de la loi tchèque sur la comptabilité (Act No. 563/1991 Coll.).
8. Droits d'audit
Le Responsable a le droit de vérifier la conformité du Sous-traitant à ce DPA :
- Audits annuels : Le Responsable peut mener ou commander un audit indépendant des activités de traitement des données du Sous-traitant une fois par année civile, avec au moins 30 jours de préavis écrit.
- Étendue : Les audits peuvent couvrir les mesures de sécurité, la gestion des sous-traitants, les procédures de traitement des données et les capacités de réponse aux violations.
- Coopération : Le Sous-traitant fournira toutes les informations nécessaires pour démontrer la conformité, y compris l'accès aux installations, systèmes et personnel pertinents pendant les heures de bureau normales.
- Alternative de certification : Le Sous-traitant peut satisfaire les exigences d'audit en fournissant les rapports SOC 2 Type II actuels, les certifications ISO 27001 ou les évaluations indépendantes équivalentes.
9. Transferts internationaux
Le Sous-traitant ne transférera pas les données personnelles en dehors de l'Espace économique européen (EEE) sauf où :
- La Commission européenne a émis une décision d'adéquation pour le pays de destination (RGPD article 45).
- Des garanties appropriées sont en place, y compris les Clauses contractuelles types (CCT) approuvées par la Commission européenne (RGPD article 46(2)(c)).
- Une Évaluation d'impact du transfert (EIT) a été conduite et documentée pour le transfert spécifique.
Actuellement, le seul sous-traitant situé en dehors de l'EEE est Anthropic PBC (États-Unis), pour lequel les CCT sont en place et le traitement d'IA n'implique pas le stockage persistant de données personnelles.
10. Contact pour l'exécution du DPA
Pour demander l'exécution de ce DPA, discuter des conditions ou vous enquérir sur nos pratiques de protection des données :
KOWEX Co. Holding — Équipe d'entreprise
E-mail : enterprise@agentforge.community
Délégué à la protection des données : privacy@agentforge.community
Ce DPA est régi par les lois de la République tchèque. Tout différend découlant de ce DPA sera soumis à la juridiction exclusive des tribunaux de la République tchèque. Ce DPA restera en vigueur pendant la durée de l'utilisation d'AgentForge par le Responsable et aussi longtemps que le Sous-traitant conserve les données personnelles traitées au nom du Responsable.