Contrat de sous-traitance (DPA)

⚠️ Remarque juridique : ce modèle de DPA a été généré à partir d'un modèle, sur la base de briques de modèles usuelles EDPB / BayLDA, et nécessite, avant la première signature avec un client, une revue par un avocat spécialisé en droit informatique / protection des données. D'ici là, il sert d'information de transparence à l'égard des partenaires professionnels. Une version juridiquement contraignante est établie sur simple demande informelle par e-mail à info@castloop.de.

Parties au contrat

Ce DPA est conclu entre :

Le sous-traitant :
Daniel Ovadia — CastLoop (entreprise individuelle)
Eugen-Richter-Str. 159, 76187 Karlsruhe, Allemagne
E-mail : info@castloop.de

— et le responsable du traitement (le client CastLoop, ci-après : « le client »), dont l'identité ressort du compte client et qui, lors de la première demande de cette version, doit être nommément inscrit dans le préambule.

§ 1 Objet & durée

L'objet de ce contrat est le traitement de données personnelles par le sous-traitant pour le compte du client dans le cadre de l'utilisation du service « CastLoop » conformément aux conditions générales d'utilisation (CGU) conclues entre les parties.

Ce DPA s'applique pour toute la durée du contrat principal (de l'abonnement SaaS) et prend fin automatiquement avec la cessation de celui-ci.

§ 2 Droit d'instruction du client

Le sous-traitant traite les données personnelles exclusivement dans le cadre des accords contractuels et des instructions documentées du client. Si le sous-traitant estime qu'une instruction du client enfreint le droit de la protection des données, il en informe le client.

Les instructions sont en règle générale documentées par voie électronique via (a) les configurations effectuées dans le tableau de bord SaaS, (b) les bases contractuelles (CGU, DPA) et (c) des instructions ad hoc par e-mail à info@castloop.de.

§ 3 Nature et finalité du traitement

Le sous-traitant traite des données personnelles aux fins de la fourniture du service SaaS « CastLoop » (Content Autopilot pour la publication sur les réseaux sociaux). Concrètement, cela comprend notamment :

le téléchargement et le stockage des contenus sources YouTube / podcast que le client fournit pour traitement ;
la transcription automatisée et l'analyse assistée par IA via Google Gemini 2.5 Flash (Google Ireland Ltd.) ;
la création de variantes de clips avec sous-titres animés (FFmpeg) ;
la publication des clips sur les comptes de réseaux sociaux connectés par le client (YouTube, Instagram, Facebook, TikTok, LinkedIn, X, Threads) pour le compte du client ;
le stockage de jetons d'authentification, de métadonnées, de données analytiques pour la fourniture du service.

§ 4 Lieu du traitement

Le traitement a lieu principalement sur des serveurs d'IONOS SE en Allemagne (UE). Concernant les transferts vers des pays tiers, inévitables lors de la publication multi-plateformes (X, Meta, groupe TikTok), voir § 13.

§ 5 Catégories de personnes concernées et de données

Catégories de personnes concernées :

le client lui-même en tant que personne physique (s'il s'agit d'un entrepreneur individuel) ;
les employés / mandataires du client qui travaillent dans le compte client ;
les personnes qui apparaissent dans les contenus fournis par le client (vidéos, podcasts) ou qui y sont reconnaissables sur le plan sonore/visuel (p. ex. invités d'interview) ;
les utilisateurs finaux / spectateurs des clips publiés, dans la mesure où des données d'engagement (vues, mentions « j'aime », commentaires) sont renvoyées par les plateformes.

Catégories de données personnelles :

données de base (nom, e-mail, entreprise, adresse de facturation) ;
données d'utilisation (heures de connexion, hachages d'IP, jetons de session) ;
données de contenu (audio, vidéo, transcriptions, sous-titres, métadonnées) ;
jetons d'accès OAuth des comptes de réseaux sociaux connectés (chiffrés en AES-256-GCM) ;
données de performance (impressions, vues, portée — agrégées par les plateformes).

§ 6 Mesures techniques et organisationnelles (MTO)

Le sous-traitant prend les mesures techniques et organisationnelles exigées par l'art. 32 du RGPD. Une liste détaillée figure dans l' annexe MTO distincte, qui fait partie de ce contrat en tant qu'annexe 1 au présent DPA. Les MTO sont régulièrement vérifiées et, le cas échéant, adaptées à l'état de la technique.

§ 7 Sous-traitants ultérieurs

Le client consent au recours aux sous-traitants ultérieurs suivants dès la conclusion du contrat :

Sous-traitant ultérieur	Siège	Finalité
IONOS SE	Montabaur, DE (UE)	Hébergement, relais SMTP, sauvegardes par instantanés de VM
Google Ireland Ltd.	Dublin, IE (UE)	Transcription & analyse par IA (Gemini 2.5 Flash), YouTube Data API, connexion Google
Mollie B.V.	Amsterdam, NL (UE)	Traitement des paiements (responsable autonome selon l'art. 9 al. 3 KWG)
Microsoft Ireland Operations Ltd.	Dublin, IE (UE)	SSO (Sign in with Microsoft)
Apple Distribution International Ltd.	Cork, IE (UE)	SSO (Sign in with Apple)
Meta Platforms Ireland Ltd.	Dublin, IE (UE)	Publications Instagram, Facebook et Threads (pour le compte du client)
TikTok Technology Ltd.	Dublin, IE (UE)	Publications TikTok
LinkedIn Ireland Unlimited Company	Dublin, IE (UE)	Publications LinkedIn
X Corp.	San Francisco, USA (pays tiers !)	Publications X/Twitter, sécurisées par les CCT 2021/914

Le sous-traitant informera le client au moins 30 jours avant un changement envisagé ou le recours à d'autres sous-traitants ultérieurs. Le client peut s'opposer à ce recours ; en cas de motif d'opposition légitime, relevant du droit de la protection des données, les deux parties sont en droit de résilier le contrat principal de manière extraordinaire.

§ 8 Obligations d'assistance

Le sous-traitant assiste le client dans l'exécution de ses obligations selon les art. 12 et suivants du RGPD (droits des personnes concernées), les art. 33/34 du RGPD (violation de données), l'art. 35 du RGPD (analyse d'impact relative à la protection des données) et l'art. 36 du RGPD (consultation préalable).

§ 9 Obligation de notification en cas de violation de données

Le sous-traitant notifie au client toute violation de données dont il a connaissance, au sens de l'art. 4 nº 12 du RGPD, qui concerne des données personnelles du client, sans délai, au plus tard dans les 48 heures suivant la prise de connaissance, par e-mail. La notification contient les informations mentionnées à l'art. 33 al. 3 du RGPD, dans la mesure où le sous-traitant en a connaissance.

§ 10 Droits de contrôle et d'information

Le client a le droit de contrôler le respect de ce DPA et des dispositions applicables en matière de protection des données par le sous-traitant. Le contrôle peut s'effectuer, au choix, par (a) une information écrite sur des questions précises, (b) la présentation de certificats / rapports d'audit récents (s'ils existent), ou (c) — en cas de motif fondé — un contrôle sur place après un préavis raisonnable (en règle générale au moins 14 jours, en dehors des heures ouvrées, aux frais du client).

§ 11 Confidentialité

Le sous-traitant s'engage à traiter de manière confidentielle toutes les données personnelles dont il a eu connaissance dans le cadre de ce DPA. Les personnes employées au traitement sont soumises à une obligation de confidentialité selon l'art. 28 al. 3 lit. b du RGPD, l'art. 203 du Code pénal allemand (StGB) (lorsque applicable) et une obligation contractuelle correspondante.

§ 12 Suppression / restitution à la fin du contrat

À la fin du contrat principal, toutes les données personnelles sont, sur instruction du client, soit restituées soit supprimées. L' option par défaut est la suppression après 30 jours depuis la base de données de production et au plus tard 30 jours supplémentaires depuis toutes les sauvegardes (rotation des instantanés de VM IONOS), dans la mesure où aucune obligation légale de conservation (notamment art. 257 HGB, art. 147 AO pour les factures) ne s'y oppose.

§ 13 Transferts vers des pays tiers

Un transfert de données personnelles vers des pays tiers n'a lieu que dans la mesure où cela est inévitable pour l'exécution du contrat — concrètement notamment vers X Corp. (USA) ainsi que vers les sociétés mères américaines des sous-traitants ultérieurs établis dans l'UE (Google, Meta, Microsoft, Apple, TikTok), dans la mesure où ceux-ci transmettent des données au sein du groupe. La protection est assurée sur la base des clauses contractuelles types de l'UE conformément à la décision d'exécution (UE) 2021/914 de la Commission ainsi que — lorsque pertinent — de mesures techniques et organisationnelles complémentaires.

§ 14 Responsabilité

La responsabilité est régie par les dispositions du contrat principal (CGU § 10). L'art. 82 du RGPD reste inchangé.

§ 15 Dispositions finales

Les modifications et compléments de ce DPA requièrent la forme écrite. Si certaines dispositions sont ou deviennent invalides, la validité des autres dispositions reste inchangée. Le droit allemand s'applique ; le for est — dans la mesure où la loi l'autorise — le siège du sous-traitant (Karlsruhe).

Mise à jour : 28 mai 2026 · Version 1.1 (Threads + Facebook ajoutés à l'étendue de la prestation)

User-Task (revue par un avocat) : ce modèle de DPA a été généré à partir d'un modèle et nécessite, avant la première signature avec un client, une revue par un avocat spécialisé en droit informatique / protection des données. Doivent notamment être vérifiés : (a) la liste concrète des sous-traitants ultérieurs, (b) le caractère approprié des obligations de notification et d'assistance, (c) la disposition relative aux contrôles sur place au regard de la capacité d'un entrepreneur individuel, (d) l'interaction avec les règles de responsabilité des CGU.