1. Objet et champ d'application
Le présent accord de sous-traitance (« DPA ») s'applique uniquement lorsque Astrumworks LLC (« Astrumworks ») traite des données personnelles pour le compte d'un client (« le Client ») dans le cadre de la mise en place, de la configuration, du support, du débogage, de la maintenance ou de prestations professionnelles connexes (les « Prestations »). Il fait partie intégrante du contrat de prestation, du cahier des charges ou du bon de commande applicable conclu entre les parties (le « Contrat »), auquel il est incorporé.
2. Définitions
Les termes « données personnelles », « traitement », « responsable du traitement », « sous-traitant » et « violation de données à caractère personnel » ont le sens que leur donne le règlement (UE) 2016/679 (le « RGPD »). Les « Données Personnelles du Client » désignent les données personnelles traitées par Astrumworks pour le compte du Client au titre du Contrat.
3. Rôles des parties
Le Client détermine les finalités et les moyens du traitement des Données Personnelles du Client au sein des workflows d'automatisation ; il en est le responsable du traitement. Astrumworks agit en qualité de sous-traitant uniquement lorsque, et dans la mesure où, il accède à des Données Personnelles du Client ou les manipule pour fournir les Prestations, et il les traite uniquement sur instruction documentée du Client. Astrumworks agit en qualité de responsable du traitement indépendant pour ses propres données d'entreprise — échanges commerciaux, facturation, demandes reçues via le site, administration du service ; ce traitement est décrit dans la politique de confidentialité d'Astrumworks.
4. Modèle de déploiement à accès minimisé
Les Prestations reposent sur un modèle de déploiement qui minimise l'accès d'Astrumworks aux Données Personnelles du Client :
- le Client détient ou contrôle l'espace de travail n8n dans lequel s'exécutent les workflows ;
- le Client connecte son propre compte Gmail / Google Workspace, et les messages partent de sa propre adresse ;
- le Client peut utiliser son propre compte OpenAI ou Anthropic pour la rédaction assistée par IA ;
- Astrumworks ne reçoit par défaut ni corps d'e-mails, ni données de facturation, ni fichiers clients ;
- la supervision des erreurs est conçue pour ne collecter que des métadonnées techniques (article 10) ;
- un accès temporaire n'a lieu que lorsque le Client demande une mise en place, un débogage ou un support, et seulement le temps nécessaire.
5. Description du traitement ART. 28
L'objet, la durée, la nature et la finalité du traitement, les types de données personnelles et les catégories de personnes concernées figurent à l'Annexe I, qui fait partie intégrante du présent DPA.
6. Instructions du Client ART. 28
Astrumworks traite les Données Personnelles du Client uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou à une organisation internationale, à moins d'y être tenu par le droit qui lui est applicable ; dans ce cas, Astrumworks informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
Astrumworks informe le Client sans retard injustifié si, de son point de vue, une instruction constitue une violation du RGPD ou d'autres dispositions applicables en matière de protection des données.
Constituent par exemple des instructions documentées valides : configurer des nœuds de workflow ; tester un workflow ; inspecter une exécution en échec ; dépanner une authentification ; corriger une erreur ; supprimer des éléments de diagnostic copiés ; déconnecter un accès après le support.
Astrumworks n'utilise pas les Données Personnelles du Client à des fins de publicité, d'entraînement de modèles, de comparaison de performances, de revente, d'analyses sans rapport avec les Prestations ou d'amélioration de produit, sauf accord écrit distinct.
7. Confidentialité ART. 28
Astrumworks veille à ce que les personnes autorisées à traiter les Données Personnelles du Client s'engagent à en respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès est limité aux personnes qui en ont besoin pour fournir le support. Astrumworks ne divulgue pas les Données Personnelles du Client à des tiers, sauf pour fournir les Prestations, respecter le droit applicable, ou constater, exercer ou défendre des droits en justice.
8. Sécurité ART. 28 · 32
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes concernées, Astrumworks met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (article 32 du RGPD). Ces mesures sont décrites à l'Annexe II, qui fait partie intégrante du présent DPA.
9. Protocole d'accès pour le support et le débogage
L'accès de support n'est jamais actif par défaut. Chaque accès requiert l'autorisation du Client, et le moyen le moins intrusif est utilisé en premier :
- 1Description écrite du problème
- 2Journaux expurgés
- 3Partage d'écran avec le Client
- 4Rôle ou jeton temporaire accordé par le Client
- 5Inspection guidée par le Client
Astrumworks évite les corps d'e-mails, les contenus de factures et les données personnelles, sauf si leur consultation est nécessaire à la résolution du problème, et ne consulte que ce qui est nécessaire. L'accès est révoqué après résolution. Les copies temporaires, captures d'écran, journaux ou exports créés pendant le support sont supprimés une fois le problème résolu, sauf obligation légale de conservation.
10. Supervision des erreurs
Astrumworks peut recevoir des notifications techniques d'erreur émises par le workflow. Ces notifications sont configurées pour éviter les données personnelles et ne doivent contenir ni corps d'e-mails, ni objets de messages, ni contenus de factures, ni noms de clients finaux, ni adresses e-mail de clients finaux, ni texte de prompt, ni texte produit par l'IA, ni charges utiles brutes d'exécution du workflow.
Champs autorisés
- Horodatage
- Identifiant de workflow ou identifiant client aléatoire
- Nom du nœud
- Code d'erreur générique
- Statut d'exécution
- Nombre de tentatives
- Trace technique expurgée
- Métadonnées d'environnement non identifiantes
Champs exclus
- Corps d'e-mail
- Objet du message
- Adresse e-mail d'expéditeur / de destinataire
- Facture PDF
- Noms de clients
- Contenu de fils Gmail
- Contenu de prompt / de sortie IA
- Charge utile n8n brute
- Captures d'écran contenant des données du Client ou de ses clients
Si des données personnelles sont néanmoins reçues via la supervision des erreurs, Astrumworks les supprime rapidement, en informe le Client lorsque c'est approprié et ajuste la configuration du workflow pour prévenir toute récurrence.
11. Sous-traitants ultérieurs ART. 28
Le Client accorde à Astrumworks une autorisation écrite générale de recourir aux sous-traitants ultérieurs listés à l'Annexe III. Astrumworks informe le Client au moins 30 jours avant d'ajouter ou de remplacer un sous-traitant ultérieur, afin de lui permettre d'émettre des objections pour des motifs raisonnables tenant à la protection des données.
Astrumworks impose à chaque sous-traitant ultérieur, par contrat écrit, des obligations de protection des données substantiellement équivalentes à celles du présent DPA, et demeure pleinement responsable envers le Client de l'exécution des obligations de chacun d'eux.
Les services tiers choisis par le Client et connectés directement par lui — y compris ses propres comptes n8n, Google Workspace, OpenAI, Anthropic ou similaires — ne sont pas des sous-traitants ultérieurs d'Astrumworks, sauf si Astrumworks contracte avec ces fournisseurs pour le compte du Client.
12. Transferts internationaux
Astrumworks est une société établie aux États-Unis. Un accès de support à distance depuis les États-Unis peut constituer un accès à des données personnelles de l'EEE depuis l'extérieur de l'EEE.
Lorsqu'un transfert de Données Personnelles du Client vers Astrumworks requiert un mécanisme de transfert au titre du chapitre V du RGPD, les parties conviennent que les clauses contractuelles types de l'UE (décision d'exécution (UE) 2021/914), module deux (responsable du traitement vers sous-traitant), s'appliquent et seront signées à la demande du Client, les Annexes I à III du présent DPA en constituant les appendices.
13. Violation de données personnelles ART. 33
Astrumworks notifie le Client sans délai injustifié, au plus tard 48 heures après avoir pris connaissance d'une violation de données à caractère personnel affectant des Données Personnelles du Client. La notification comprend, dans la mesure où ces éléments sont connus : la nature de la violation, les données et personnes concernées, les conséquences probables, les mesures prises ou proposées, et un point de contact.
Astrumworks coopère à l'enquête du Client et fournit les informations raisonnablement nécessaires aux obligations de notification propres du Client. Astrumworks ne notifie pas directement les autorités de contrôle ni les personnes concernées, sauf obligation légale ou instruction du Client.
14. Assistance au Client ART. 28
Si une personne concernée contacte Astrumworks au sujet de données traitées dans les workflows du Client, Astrumworks lui transmet la demande, sauf obligation légale d'y répondre. Astrumworks apporte une assistance raisonnable pour les demandes d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité portant sur des données auxquelles il a accédé ou qu'il a stockées. Les workflows s'exécutant dans des systèmes détenus par le Client, la plupart des demandes peuvent et doivent être traitées directement par le Client dans ses propres systèmes.
Compte tenu de la nature du traitement et des informations à sa disposition, Astrumworks apporte une assistance raisonnable au Client pour ses obligations relatives à la sécurité du traitement, à la notification des violations, aux analyses d'impact relatives à la protection des données et à la consultation préalable des autorités de contrôle (articles 32 à 36 du RGPD).
15. Suppression et restitution ART. 28
Au terme des Prestations, Astrumworks, selon le choix du Client, supprime ou restitue l'ensemble des Données Personnelles du Client en sa possession, et supprime les copies existantes, sauf si le droit applicable exige leur conservation. Les données de support temporaires sont supprimées après résolution du problème (article 9). Astrumworks ne contrôle pas la suppression au sein des comptes n8n, Google, OpenAI ou Anthropic détenus par le Client ; le Client est responsable des données conservées dans ses propres comptes connectés.
16. Audits, primauté, durée, droit applicable ART. 28
Audits. Astrumworks met à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect du présent DPA, et permet la réalisation d'audits, y compris des inspections, par le Client ou un auditeur qu'il a mandaté, et y contribue. Les demandes d'audit sont d'abord satisfaites par de la documentation et des réponses écrites. Tout audit sur site est exceptionnel : planifié à l'avance, confidentiel, limité dans son périmètre, il ne doit compromettre ni la sécurité, ni les systèmes, ni les secrets d'affaires, ni les données d'Astrumworks ou de ses autres clients, et il est aux frais du Client sauf s'il est exigé par le droit applicable ou une autorité de contrôle.
Primauté. En matière de protection des données, le présent DPA prévaut sur toute stipulation contraire du Contrat.
Durée. Le présent DPA reste en vigueur aussi longtemps qu'Astrumworks traite des Données Personnelles du Client au titre du Contrat.
Droit applicable. Le présent DPA est régi par le droit français.
17. Limite de périmètre
Astrumworks fournit des prestations techniques de mise en œuvre et de support. Le Client demeure responsable de la détermination de ses propres bases légales, de l'information des personnes concernées, de ses pratiques de recouvrement de factures, de ses règles d'envoi d'e-mails, de ses registres comptables et de son usage des services tiers connectés.
Annexe I — Description du traitement
- Objet
- Mise en place, configuration, support, débogage et maintenance de workflows d'automatisation de relance de factures
- Durée
- Durée du Contrat, plus toute période de support convenue ; l'accès temporaire de débogage ne dure que le temps nécessaire à la résolution du problème
- Nature
- Consultation, configuration, test, dépannage, transmission, accès temporaire ou suppression de données au sein d'outils contrôlés par le Client, uniquement lorsque nécessaire
- Finalité
- Déploiement, maintenance, dépannage et support des workflows d'automatisation du Client
- Données personnelles
- Noms de contacts professionnels, adresses e-mail professionnelles, métadonnées de factures, informations de statut de paiement, contenu de fils d'e-mails, métadonnées Gmail, communications clients, journaux d'exécution n8n, données techniques de diagnostic
- Personnes concernées
- Salariés et prestataires du Client ; clients du Client ; contacts comptabilité fournisseurs ; fournisseurs ; prospects ; correspondants e-mail
- Catégories particulières
- Aucune n'est visée — voir l'exclusion ci-dessous
Astrumworks ne collecte ni ne stocke intentionnellement les catégories ci-dessus en fonctionnement normal. Elles ne peuvent être consultées qu'incidemment, lors d'une mise en place ou d'un dépannage autorisés.
Les Prestations ne sont pas destinées aux catégories particulières de données (art. 9 RGPD), aux données relatives aux condamnations pénales et aux infractions (art. 10 RGPD), aux données d'enfants, aux données de paie ni aux données RH hautement sensibles ; le Client s'engage à ne pas soumettre de telles données aux Prestations.
Annexe II — Mesures techniques et organisationnelles
- Accès au moindre privilège
- Accès de support temporaire uniquement
- Identifiants contrôlés par le Client autant que possible
- Aucun mot de passe partagé par e-mail
- Gestionnaires de mots de passe et accès par OAuth
- Authentification à deux facteurs sur les comptes Astrumworks
- Appareils chiffrés avec verrouillage automatique
- Suppression sécurisée des fichiers de diagnostic temporaires
- Aucun téléchargement local superflu
- Aucune capture d'écran contenant des e-mails ou des factures, sauf nécessité approuvée
- Alertes d'erreur expurgées — ni corps d'e-mails ni données de facturation dans la supervision
- Journalisation des accès de support lorsque c'est faisable
- Séparation entre les espaces de travail des clients