# Data Processing Agreement (DPA) — Goscript

**Version** : 1.0
**Date d'entrée en vigueur** : à compléter à la signature
**Entre** : [Le Client], désigné « Responsable du traitement »
**Et** : Goscript (Kévin Delporte, personne physique — SRL Goscript en cours de constitution), désigné « Sous-traitant »

---

## 1. Préambule et définitions

Le présent Data Processing Agreement (« DPA ») complète les Conditions Générales de Vente (CGV) et les Conditions Générales d'Utilisation (CGU) du Service Goscript en ce qui concerne le traitement de Données à Caractère Personnel pour le compte du Client.

Les termes utilisés dans le présent DPA et non définis ci-après ont le sens qui leur est donné par le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »). En particulier :

- **« Données à Caractère Personnel »** : toute information se rapportant à une personne physique identifiée ou identifiable (art. 4.1 RGPD)
- **« Traitement »** : toute opération effectuée sur des Données à Caractère Personnel (art. 4.2 RGPD)
- **« Responsable du traitement »** : la personne qui détermine les finalités et les moyens du traitement (art. 4.7 RGPD) — ici, le Client
- **« Sous-traitant »** : la personne qui traite des Données pour le compte du Responsable (art. 4.8 RGPD) — ici, Goscript

## 2. Objet du DPA

Le présent DPA encadre le traitement par Goscript, en qualité de Sous-traitant, des Données à Caractère Personnel transmises par le Client (Responsable du traitement) dans le cadre de l'utilisation du Service Goscript. Le détail du traitement (nature, finalités, données, personnes concernées, durée) figure à l'**Annexe 1**.

## 3. Instructions documentées du Responsable

Goscript ne traite les Données qu'**uniquement sur instructions documentées** du Client, y compris en cas de transfert hors UE (art. 28.3.a RGPD).

Les présentes CGV/CGU et le présent DPA constituent les instructions documentées initiales. Toute instruction supplémentaire du Client doit être formulée par écrit (email à geometre1470@gmail.com) et acceptée par Goscript avant exécution.

Si une instruction du Client semble constituer une violation du RGPD, Goscript en informe immédiatement le Client (art. 28.3 dernier alinéa RGPD).

## 4. Durée

Le présent DPA prend effet à la souscription du Service par le Client et reste applicable pendant toute la durée du contrat principal (CGV) et jusqu'à la restitution ou destruction effective des Données conformément à l'article 12 ci-dessous.

## 5. Nature et finalités du traitement

Voir Annexe 1 pour le détail. En synthèse : Goscript traite les Données aux seules fins de fournir au Client le Service de transcription audio assistée par intelligence artificielle, conformément aux CGV.

## 6. Types de données et catégories de personnes

Voir Annexe 1.

> ⚠️ **Traitement de données sensibles (art. 9 RGPD)** : si le Client souhaite utiliser le Service pour transcrire des audios contenant des Données sensibles (notamment données de santé, opinions politiques, orientation sexuelle, données biométriques aux fins d'identification, etc.), il doit en informer Goscript au préalable et obtenir un accord écrit. Sans cet accord, l'upload de telles Données constitue une violation des CGU et l'AUP de Goscript.

## 7. Obligations de Goscript (art. 28.3 RGPD)

### 7.1 Confidentialité du personnel

Goscript veille à ce que les personnes autorisées à traiter les Données s'engagent à respecter la confidentialité (engagement contractuel via NDA interne, ou obligation légale appropriée).

### 7.2 Sécurité (art. 32 RGPD)

Voir **Annexe 2** pour le détail des mesures techniques et organisationnelles.

### 7.3 Sous-traitants ultérieurs

> « Goscript fait appel aux sous-traitants ultérieurs listés à l'Annexe 3. Toute modification (ajout, remplacement, retrait) d'un sous-traitant ultérieur est notifiée au Client par email **au moins trente (30) jours avant entrée en vigueur**, afin de lui permettre de s'y opposer pour des motifs raisonnables. À défaut d'opposition motivée dans ce délai, le sous-traitant ultérieur est réputé accepté. »

Goscript impose à ses sous-traitants ultérieurs les mêmes obligations de protection des données que celles imposées par le présent DPA, conformément à l'art. 28.4 RGPD.

### 7.4 Coopération aux droits des personnes

Goscript assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation — art. 12 à 22 RGPD).

### 7.5 Notification de violation

> « En cas de violation de Données à Caractère Personnel affectant le traitement réalisé pour le compte du Client, Goscript notifie le Client **sans délai injustifié et au plus tard dans les soixante-douze (72) heures** après en avoir pris connaissance, par email au point de contact désigné par le Client. La notification inclut : la nature de la violation, les catégories et le nombre approximatif de personnes et de Données concernées, les conséquences probables, et les mesures prises ou proposées. »

### 7.6 Assistance aux analyses d'impact (DPIA)

Goscript fournit au Client, sur demande raisonnable, les informations nécessaires pour réaliser une analyse d'impact relative à la protection des Données (DPIA) au sens de l'art. 35 RGPD.

### 7.7 Restitution ou suppression à la fin

À la fin du contrat principal, au choix du Client :
- soit Goscript **restitue** au Client l'intégralité des Données traitées pour son compte, dans un format structuré et couramment utilisé (JSON ou CSV) ;
- soit Goscript **supprime** définitivement ces Données, sauf obligation légale de conservation (notamment conservation comptable belge — 7 ans).

Le choix doit être notifié par écrit dans les 30 jours suivant la fin du contrat. À défaut, Goscript procède à la suppression.

### 7.8 Audit

> « Goscript met à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues par l'art. 28 RGPD, et autorise la réalisation d'audits par le Client ou un auditeur mandaté par lui, dans la limite d'**un (1) audit par an** et sous réserve d'un préavis de trente (30) jours. Les frais d'audit sont à la charge du Client. Les conclusions sont confidentielles. »

## 8. Loi applicable et juridiction

Le présent DPA est régi par le droit belge. Tout litige est de la compétence des tribunaux de Bruxelles, sauf disposition contraire des CGV en cas de litige avec un Consommateur.

---

## Annexe 1 — Description du traitement

| Élément | Détail |
|---------|--------|
| Nature du traitement | Transcription automatique de fichiers audio uploadés par les utilisateurs du Client |
| Finalité | Fourniture du Service Goscript au Client (conversion audio → texte) |
| Catégories de personnes concernées | Utilisateurs finaux du Client + toute personne dont la voix figure dans les audios uploadés (responsabilité du Client) |
| Catégories de Données | Audio (purgé immédiatement après transcription), texte transcrit, métadonnées techniques (timestamps, format) |
| Durée du traitement | Tant que le contrat principal est en vigueur |
| Lieu du traitement | UE (Vercel + Supabase Francfort) ; potentiellement US si OpenAI/Anthropic actifs (encadré par SCC + DPF) |

## Annexe 2 — Mesures de sécurité techniques et organisationnelles

**Mesures techniques** :
- Chiffrement en transit : TLS 1.3
- Chiffrement au repos : AES-256 (Supabase Postgres)
- Hashage des mots de passe : bcrypt
- Row-Level Security (RLS) Postgres : isolation stricte par user_id
- Logs d'audit conservés 90 jours
- Sauvegardes quotidiennes chiffrées (Supabase managed backups)

**Mesures organisationnelles** :
- Authentification multi-facteurs (MFA) pour les accès administrateur
- Principe du moindre privilège
- Procédure documentée de notification de violation (72h)
- Revue annuelle des sous-traitants ultérieurs
- Engagement de confidentialité du personnel (NDA)
- Sensibilisation RGPD du personnel ayant accès aux Données

## Annexe 3 — Liste des sous-traitants ultérieurs

| Sous-traitant | Rôle | Lieu | Transfert hors UE |
|---------------|------|------|-------------------|
| Vercel Inc. | Hébergement | EU (Francfort) | Société US, traitement EU — DPF |
| Supabase Inc. | Base de données + auth | EU (Francfort) | Société US, traitement EU — DPF |
| OpenAI L.L.C. (selon configuration) | Transcription IA | États-Unis | OUI — SCC + DPF |
| Anthropic PBC (selon configuration) | Structuration | États-Unis | OUI — SCC |
| Whisper auto-hébergé (selon configuration) | Transcription IA | UE | Non |
| Stripe Payments Europe Ltd. | Paiements | Irlande | Non |
| Resend | Emails transactionnels | À confirmer | Conditionnel |

La liste à jour figure également dans la [Politique de confidentialité](https://goscript.fr/confidentialite).

## Annexe 4 — Clauses Contractuelles Types (SCC)

Pour les transferts hors UE vers des sous-traitants situés aux États-Unis ou dans tout pays sans décision d'adéquation, Goscript applique les **Clauses Contractuelles Types pour le transfert de Données à Caractère Personnel vers les pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil**, telles qu'adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.

Le **module applicable** au présent DPA est le **Module 3 : Transfert sous-traitant à sous-traitant**, le Client agissant en qualité de Responsable du traitement et Goscript transférant les Données à ses sous-traitants ultérieurs.

Le texte complet des SCC est disponible à l'adresse : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0914

---

**Signatures**

**Le Client** (Responsable du traitement)
Nom : __________________________
Fonction : __________________________
Date : __________________________
Signature :

**Goscript** (Sous-traitant)
Nom : Kévin Delporte
Fonction : Éditeur de Goscript
Date : __________________________
Signature :