Hugging Face's logo

Spaces:
Ma-Ri-Ba-Ku
/
Picarones
Sleeping

App Files Community
Picarones
File size: 8,594 Bytes
d0a3fab
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
# Modèle d'Accord de Sous-Traitance (DPA)

> **Audience** : Délégué à la Protection des Données (DPO) de
> l'institution déployant Picarones, équipe juridique de cette même
> institution, mainteneur du projet.
>
> **Statut** : modèle de référence — à adapter et à signer entre
> l'institution (responsable de traitement) et chaque sous-traitant
> activé via les adapters cloud.  Ce document **n'est pas un contrat
> en lui-même** ; il définit les clauses minimales à inclure.
>
> **Référence légale** : Article 28 du Règlement (UE) 2016/679 (RGPD),
> [version consolidée](https://eur-lex.europa.eu/eli/reg/2016/679/oj).

## Pourquoi un DPA ?

Lorsqu'une institution patrimoniale (BnF, LoC, BL) déploie Picarones
en activant des adapters cloud (Mistral OCR, OpenAI, Anthropic,
Google Vision, Azure Document Intelligence), elle envoie des
documents qui peuvent contenir des **données à caractère personnel**
(PII) — typiquement :

- Registres d'état civil (naissances, mariages, décès).
- Recensements (noms, adresses, professions).
- Correspondance personnelle (lettres privées, journaux).
- Notes manuscrites avec mentions nominatives.

L'envoi de ces données à un tiers (le fournisseur cloud) constitue
une **sous-traitance** au sens RGPD §28 ; un accord écrit (DPA) est
**obligatoire** entre l'institution (responsable de traitement) et
chaque sous-traitant.

## Périmètre

Ce modèle couvre la sous-traitance des opérations de transcription
OCR/HTR effectuées par des services cloud activés par l'institution
via Picarones.  **Il ne couvre pas** :

- Le déploiement Picarones lui-même (l'institution est seule
  responsable de l'instance).
- Les adapters locaux (Tesseract, Pero OCR, Ollama) qui n'envoient
  rien à l'extérieur.

## Clauses minimales (RGPD §28.3)

### 1. Objet et durée du traitement

Transcription automatique de documents numérisés via OCR, HTR ou VLM
cloud, pour la durée du marché entre l'institution et le fournisseur.

### 2. Nature et finalité du traitement

- **Nature** : envoi d'images de documents et/ou de fragments de
  texte ; réception de transcriptions textuelles ou de descriptions
  structurées (ALTO, JSON canonique).
- **Finalité** : fournir à l'institution un benchmark comparatif de
  pipelines OCR/HTR sur son corpus, dans le cadre d'une évaluation
  technique préalable à un déploiement de production.

### 3. Type de données à caractère personnel

Selon le corpus envoyé.  L'institution **doit identifier en amont**
si le corpus contient :

- Données nominatives (noms, prénoms, dates de naissance/décès…).
- Données sensibles au sens RGPD §9 (origine raciale ou ethnique,
  opinions politiques, convictions religieuses, données de santé,
  orientation sexuelle…).

Pour les corpus sensibles, l'institution **doit privilégier les
adapters locaux** (Tesseract, Pero OCR, Ollama) ou anonymiser le
corpus avant envoi.

### 4. Catégories de personnes concernées

- Personnes citées dans les documents historiques (typiquement
  défuntes, sauf mention contraire).
- Auteurs ou correspondants des documents.

### 5. Obligations du sous-traitant

Le sous-traitant cloud s'engage à :

a) ne traiter les données que sur **instruction documentée** du
   responsable (l'institution).  Pas de réutilisation pour
   entraînement de modèles, sauf consentement explicite (cf. §10).

b) garantir que les **personnes autorisées** à traiter les données
   sont soumises à une obligation de confidentialité.

c) mettre en œuvre les **mesures de sécurité** énumérées au RGPD
   §32 (chiffrement en transit, contrôle d'accès, journalisation,
   tests réguliers).

d) ne pas recourir à un **autre sous-traitant** sans autorisation
   écrite préalable et spécifique du responsable.

e) **assister** le responsable dans la réponse aux demandes
   d'exercice de droits (accès, rectification, effacement…) et dans
   les obligations de notification de violations.

f) **supprimer ou retourner** les données à la fin de la prestation,
   sauf obligation légale de conservation.

g) mettre à disposition du responsable toutes les **informations
   nécessaires** pour démontrer la conformité au §28.

### 6. Localisation des traitements

L'institution **doit privilégier** les fournisseurs offrant un
hébergement et un traitement strictement dans l'Espace économique
européen (EEE).

| Adapter | Localisation par défaut | Disponibilité EEE |
|---------|------------------------|-------------------|
| Mistral OCR / chat | France (cf. [Mistral Trust](https://mistral.ai/security/)) | Oui |
| OpenAI | États-Unis | EU residency dispo via Enterprise |
| Anthropic Claude | États-Unis | EU residency limitée |
| Google Vision | Multi-régions | EEE configurable |
| Azure Document Intelligence | Multi-régions | EEE configurable |

Pour un transfert hors EEE, **clauses contractuelles types** (CCT)
2021/914/UE applicables OBLIGATOIRES.

### 7. Sécurité

Mesures minimales :

- Chiffrement TLS 1.2+ en transit.
- Pas d'enregistrement des prompts/réponses pour entraînement
  (option à activer côté fournisseur, cf. §10).
- Logs d'accès conservés < 30 jours sauf incident de sécurité.
- Tests de pénétration au moins annuels (à charge du sous-traitant).

### 8. Sous-sous-traitance

Liste des sous-sous-traitants autorisés à fournir au démarrage et à
chaque modification.  L'institution dispose d'un droit d'objection
à toute nouvelle sous-sous-traitance.

### 9. Audit

L'institution se réserve le droit, à ses frais et avec préavis
raisonnable (30 jours), de conduire un audit du sous-traitant ou de
mandater un tiers indépendant pour vérifier la conformité des
mesures techniques et organisationnelles.

### 10. Réutilisation pour entraînement de modèles

**Disposition critique** pour le patrimoine numérique : les
documents envoyés sont la propriété intellectuelle de l'institution
(et parfois du domaine public) ; les fournisseurs ne doivent **PAS**
les utiliser pour entraîner leurs modèles sans accord écrit.

Configuration recommandée par fournisseur :

| Fournisseur | Comment opt-out |
|-------------|------------------|
| OpenAI | Compte Enterprise ou via API avec `data_retention=zero` |
| Anthropic | Compte Enterprise ; pas d'option opt-out sur API standard |
| Mistral | API Enterprise tier ; opt-out par défaut sur certains plans |
| Google Vision | Activer Workspace Data Loss Prevention |
| Azure | Activer "Customer-Managed Keys" + opt-out training |

### 11. Notification de violation

Le sous-traitant s'engage à notifier l'institution **dans les 24
heures** de la connaissance d'une violation de données à caractère
personnel les concernant, par e-mail ET courrier signé.

### 12. Effacement à fin de prestation

À la fin du marché ou à la résiliation, le sous-traitant restitue
ou supprime toutes les données dans un délai de 30 jours, et
fournit une **attestation de destruction**.

## Annexes

### Annexe 1 — Description du traitement

À compléter par l'institution :

- [ ] Nom du corpus traité
- [ ] Volume estimé (nombre de documents, taille en GB)
- [ ] Période de traitement (du / au)
- [ ] Liste des adapters cloud activés
- [ ] Volume de PII estimé dans le corpus

### Annexe 2 — Mesures de sécurité

À compléter par le sous-traitant — référence :
[ANSSI Référentiel Général de Sécurité](https://www.ssi.gouv.fr/).

### Annexe 3 — Liste des sous-sous-traitants autorisés

À compléter par le sous-traitant.

## Procédure de signature

1. L'institution remplit les annexes en fonction du corpus prévu.
2. Le DPO de l'institution valide la liste des adapters cloud
   activés (`AdapterRegistry`).
3. Le contrat est signé par les deux parties (institution +
   fournisseur cloud) AVANT activation de l'adapter en production.
4. Une copie est conservée dans le dossier de conformité du
   traitement (durée minimale : 5 ans après la fin du traitement).

## Référence légale

- [Règlement (UE) 2016/679 — RGPD](https://eur-lex.europa.eu/eli/reg/2016/679/oj)
- [Lignes directrices CEPD sur les sous-traitants](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_fr)
- [Décision d'adéquation EU-US Data Privacy Framework (2023)](https://commission.europa.eu/document/fa09cbad-dd7d-4684-ace5-c1e932f3eda7_en)

## Révisions

| Version | Date | Changements |
|---------|------|-------------|
| 1.0 | 2026-05 | Création initiale (S60), modèle aligné RGPD §28 |