Spaces:
Running
Running
| # Modèle d'Accord de Sous-Traitance (DPA) | |
| > **Audience** : Délégué à la Protection des Données (DPO) de | |
| > l'institution déployant Picarones, équipe juridique de cette même | |
| > institution, mainteneur du projet. | |
| > | |
| > **Statut** : modèle de référence — à adapter et à signer entre | |
| > l'institution (responsable de traitement) et chaque sous-traitant | |
| > activé via les adapters cloud. Ce document **n'est pas un contrat | |
| > en lui-même** ; il définit les clauses minimales à inclure. | |
| > | |
| > **Référence légale** : Article 28 du Règlement (UE) 2016/679 (RGPD), | |
| > [version consolidée](https://eur-lex.europa.eu/eli/reg/2016/679/oj). | |
| ## Pourquoi un DPA ? | |
| Lorsqu'une institution patrimoniale (BnF, LoC, BL) déploie Picarones | |
| en activant des adapters cloud (Mistral OCR, OpenAI, Anthropic, | |
| Google Vision, Azure Document Intelligence), elle envoie des | |
| documents qui peuvent contenir des **données à caractère personnel** | |
| (PII) — typiquement : | |
| - Registres d'état civil (naissances, mariages, décès). | |
| - Recensements (noms, adresses, professions). | |
| - Correspondance personnelle (lettres privées, journaux). | |
| - Notes manuscrites avec mentions nominatives. | |
| L'envoi de ces données à un tiers (le fournisseur cloud) constitue | |
| une **sous-traitance** au sens RGPD §28 ; un accord écrit (DPA) est | |
| **obligatoire** entre l'institution (responsable de traitement) et | |
| chaque sous-traitant. | |
| ## Périmètre | |
| Ce modèle couvre la sous-traitance des opérations de transcription | |
| OCR/HTR effectuées par des services cloud activés par l'institution | |
| via Picarones. **Il ne couvre pas** : | |
| - Le déploiement Picarones lui-même (l'institution est seule | |
| responsable de l'instance). | |
| - Les adapters locaux (Tesseract, Pero OCR, Ollama) qui n'envoient | |
| rien à l'extérieur. | |
| ## Clauses minimales (RGPD §28.3) | |
| ### 1. Objet et durée du traitement | |
| Transcription automatique de documents numérisés via OCR, HTR ou VLM | |
| cloud, pour la durée du marché entre l'institution et le fournisseur. | |
| ### 2. Nature et finalité du traitement | |
| - **Nature** : envoi d'images de documents et/ou de fragments de | |
| texte ; réception de transcriptions textuelles ou de descriptions | |
| structurées (ALTO, JSON canonique). | |
| - **Finalité** : fournir à l'institution un benchmark comparatif de | |
| pipelines OCR/HTR sur son corpus, dans le cadre d'une évaluation | |
| technique préalable à un déploiement de production. | |
| ### 3. Type de données à caractère personnel | |
| Selon le corpus envoyé. L'institution **doit identifier en amont** | |
| si le corpus contient : | |
| - Données nominatives (noms, prénoms, dates de naissance/décès…). | |
| - Données sensibles au sens RGPD §9 (origine raciale ou ethnique, | |
| opinions politiques, convictions religieuses, données de santé, | |
| orientation sexuelle…). | |
| Pour les corpus sensibles, l'institution **doit privilégier les | |
| adapters locaux** (Tesseract, Pero OCR, Ollama) ou anonymiser le | |
| corpus avant envoi. | |
| ### 4. Catégories de personnes concernées | |
| - Personnes citées dans les documents historiques (typiquement | |
| défuntes, sauf mention contraire). | |
| - Auteurs ou correspondants des documents. | |
| ### 5. Obligations du sous-traitant | |
| Le sous-traitant cloud s'engage à : | |
| a) ne traiter les données que sur **instruction documentée** du | |
| responsable (l'institution). Pas de réutilisation pour | |
| entraînement de modèles, sauf consentement explicite (cf. §10). | |
| b) garantir que les **personnes autorisées** à traiter les données | |
| sont soumises à une obligation de confidentialité. | |
| c) mettre en œuvre les **mesures de sécurité** énumérées au RGPD | |
| §32 (chiffrement en transit, contrôle d'accès, journalisation, | |
| tests réguliers). | |
| d) ne pas recourir à un **autre sous-traitant** sans autorisation | |
| écrite préalable et spécifique du responsable. | |
| e) **assister** le responsable dans la réponse aux demandes | |
| d'exercice de droits (accès, rectification, effacement…) et dans | |
| les obligations de notification de violations. | |
| f) **supprimer ou retourner** les données à la fin de la prestation, | |
| sauf obligation légale de conservation. | |
| g) mettre à disposition du responsable toutes les **informations | |
| nécessaires** pour démontrer la conformité au §28. | |
| ### 6. Localisation des traitements | |
| L'institution **doit privilégier** les fournisseurs offrant un | |
| hébergement et un traitement strictement dans l'Espace économique | |
| européen (EEE). | |
| | Adapter | Localisation par défaut | Disponibilité EEE | | |
| |---------|------------------------|-------------------| | |
| | Mistral OCR / chat | France (cf. [Mistral Trust](https://mistral.ai/security/)) | Oui | | |
| | OpenAI | États-Unis | EU residency dispo via Enterprise | | |
| | Anthropic Claude | États-Unis | EU residency limitée | | |
| | Google Vision | Multi-régions | EEE configurable | | |
| | Azure Document Intelligence | Multi-régions | EEE configurable | | |
| Pour un transfert hors EEE, **clauses contractuelles types** (CCT) | |
| 2021/914/UE applicables OBLIGATOIRES. | |
| ### 7. Sécurité | |
| Mesures minimales : | |
| - Chiffrement TLS 1.2+ en transit. | |
| - Pas d'enregistrement des prompts/réponses pour entraînement | |
| (option à activer côté fournisseur, cf. §10). | |
| - Logs d'accès conservés < 30 jours sauf incident de sécurité. | |
| - Tests de pénétration au moins annuels (à charge du sous-traitant). | |
| ### 8. Sous-sous-traitance | |
| Liste des sous-sous-traitants autorisés à fournir au démarrage et à | |
| chaque modification. L'institution dispose d'un droit d'objection | |
| à toute nouvelle sous-sous-traitance. | |
| ### 9. Audit | |
| L'institution se réserve le droit, à ses frais et avec préavis | |
| raisonnable (30 jours), de conduire un audit du sous-traitant ou de | |
| mandater un tiers indépendant pour vérifier la conformité des | |
| mesures techniques et organisationnelles. | |
| ### 10. Réutilisation pour entraînement de modèles | |
| **Disposition critique** pour le patrimoine numérique : les | |
| documents envoyés sont la propriété intellectuelle de l'institution | |
| (et parfois du domaine public) ; les fournisseurs ne doivent **PAS** | |
| les utiliser pour entraîner leurs modèles sans accord écrit. | |
| Configuration recommandée par fournisseur : | |
| | Fournisseur | Comment opt-out | | |
| |-------------|------------------| | |
| | OpenAI | Compte Enterprise ou via API avec `data_retention=zero` | | |
| | Anthropic | Compte Enterprise ; pas d'option opt-out sur API standard | | |
| | Mistral | API Enterprise tier ; opt-out par défaut sur certains plans | | |
| | Google Vision | Activer Workspace Data Loss Prevention | | |
| | Azure | Activer "Customer-Managed Keys" + opt-out training | | |
| ### 11. Notification de violation | |
| Le sous-traitant s'engage à notifier l'institution **dans les 24 | |
| heures** de la connaissance d'une violation de données à caractère | |
| personnel les concernant, par e-mail ET courrier signé. | |
| ### 12. Effacement à fin de prestation | |
| À la fin du marché ou à la résiliation, le sous-traitant restitue | |
| ou supprime toutes les données dans un délai de 30 jours, et | |
| fournit une **attestation de destruction**. | |
| ## Annexes | |
| ### Annexe 1 — Description du traitement | |
| À compléter par l'institution : | |
| - [ ] Nom du corpus traité | |
| - [ ] Volume estimé (nombre de documents, taille en GB) | |
| - [ ] Période de traitement (du / au) | |
| - [ ] Liste des adapters cloud activés | |
| - [ ] Volume de PII estimé dans le corpus | |
| ### Annexe 2 — Mesures de sécurité | |
| À compléter par le sous-traitant — référence : | |
| [ANSSI Référentiel Général de Sécurité](https://www.ssi.gouv.fr/). | |
| ### Annexe 3 — Liste des sous-sous-traitants autorisés | |
| À compléter par le sous-traitant. | |
| ## Procédure de signature | |
| 1. L'institution remplit les annexes en fonction du corpus prévu. | |
| 2. Le DPO de l'institution valide la liste des adapters cloud | |
| activés (`AdapterRegistry`). | |
| 3. Le contrat est signé par les deux parties (institution + | |
| fournisseur cloud) AVANT activation de l'adapter en production. | |
| 4. Une copie est conservée dans le dossier de conformité du | |
| traitement (durée minimale : 5 ans après la fin du traitement). | |
| ## Référence légale | |
| - [Règlement (UE) 2016/679 — RGPD](https://eur-lex.europa.eu/eli/reg/2016/679/oj) | |
| - [Lignes directrices CEPD sur les sous-traitants](https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_fr) | |
| - [Décision d'adéquation EU-US Data Privacy Framework (2023)](https://commission.europa.eu/document/fa09cbad-dd7d-4684-ace5-c1e932f3eda7_en) | |
| ## Révisions | |
| | Version | Date | Changements | | |
| |---------|------|-------------| | |
| | 1.0 | 2026-05 | Création initiale (S60), modèle aligné RGPD §28 | | |