Legal
EnglishDeutschFrançaisItalianoEspañolNederlandsPortuguês

Cette traduction est fournie à titre indicatif uniquement. En cas de divergence ou d'incohérence entre cette traduction et la version en langue anglaise, la version en langue anglaise prévaudra.

Oriora — Avenant relatif au Traitement des Données

Dernière mise à jour : 2026-05-26 Date d'entrée en vigueur : 2026-05-26

1. Introduction

Le présent Avenant relatif au Traitement des Données ("DPA") fait partie des Conditions Générales de Service Oriora entre Orioralabs OÜ ("Oriora", "Sous-traitant") et le client ("Client", "Responsable du traitement") (ensemble, les "Parties"). Il régit le traitement des données à caractère personnel par Oriora pour le compte du Client dans le cadre de la fourniture des services d'Oriora.

Le présent DPA est incorporé par référence dans les Conditions Générales de Service Oriora et prend effet dès l'acceptation des Conditions Générales de Service par le Client lors de l'inscription. Aucune signature séparée n'est requise.

En cas de conflit entre le présent DPA et les Conditions Générales de Service, le présent DPA prévaut en ce qui concerne le traitement des données à caractère personnel.

2. Définitions

Les termes non définis dans le présent DPA ont les significations qui leur sont attribuées dans les Conditions Générales de Service Oriora ou le Règlement Général sur la Protection des Données (GDPR) de l'UE.

  • Responsable du traitement, Sous-traitant, Sous-traitant ultérieur, Données à caractère personnel, Traitement, Personne concernée — tels que définis dans le GDPR.
  • Loi sur la protection des données — le GDPR et toute loi nationale d'application applicable, y compris les lois d'Estonie.

3. Objet, durée, nature et finalité du traitement

ObjetLe traitement par Oriora des données à caractère personnel soumises par le Client dans le cadre de l'utilisation des services d'Oriora par le Client.
DuréeLa durée de l'utilisation des services d'Oriora par le Client, plus toute période de conservation définie dans le présent DPA ou la Politique de Confidentialité.
Nature et finalitéLa fourniture des services d'Oriora tels que définis dans les Conditions Générales de Service Oriora, y compris la gestion de compte, le traitement des paiements, l'acheminement des requêtes vers les fournisseurs d'IA, le retour des réponses, la surveillance de la sécurité et le support opérationnel.
Catégories de données à caractère personnelDonnées de compte (nom, e-mail, mot de passe haché), données de paiement et de facturation (pays de facturation, enregistrements de transactions, solde ecosystem dollar), et métadonnées d'utilisation (services utilisés, horodatages des requêtes, décisions de routage, journaux d'erreurs). Oriora ne conserve pas le texte des prompts, des outputs ou de l'historique des conversations multi-tours.
Catégories de personnes concernéesLe Client (lorsque le Client est une personne physique), les employés, agents et utilisateurs autorisés du Client ; lorsque le Client utilise les services d'Oriora pour alimenter son propre produit, les utilisateurs finaux du Client.

4. Rôles des Parties

Pour le traitement relevant du présent DPA, le Client est le Responsable du traitement et Oriora est le Sous-traitant en ce qui concerne les Données à caractère personnel du Client (étant les données à caractère personnel des utilisateurs finaux du Client ou d'autres personnes concernées pour le compte desquelles le Client utilise les services d'Oriora).

Le présent DPA n'établit pas d'arrangement de responsabilité conjointe du traitement en vertu de l'Article 26 du GDPR. Le Client contrôle l'ensemble éligible des fournisseurs d'IA via la configuration de son compte — y compris le bouton Auto routing, la préférence de priorité de routage, les préférences d'exclusion de fournisseur, la configuration de la clé BYOK, la sélection d'application et (lorsque Auto routing est désactivé) la liste des fournisseurs sélectionnés. Les décisions de routage d'Oriora opèrent uniquement dans les limites établies par la configuration du Client.

Oriora traite les Service Data, Log Data, données agrégées et données désidentifiées en tant que responsable du traitement indépendant, uniquement aux fins d'exploitation, de sécurisation, de facturation, de support et d'amélioration des services d'Oriora. Le traitement de ces données par Oriora est régi par la Politique de Confidentialité Oriora.

5. Obligations d'Oriora en tant que Sous-traitant

Oriora s'engage à :

  • (a) traiter les données à caractère personnel uniquement sur les instructions documentées du Client, à moins d'y être contraint par le droit de l'UE ou d'un État membre (auquel cas Oriora informera le Client de cette exigence légale avant le traitement, à moins que cette loi n'interdise une telle information pour des motifs importants d'intérêt public). Les instructions documentées du Client incluent les choix de configuration au niveau du compte du Client mis à disposition par Oriora, tels que le bouton Auto routing, la préférence de priorité de routage, les préférences d'exclusion de fournisseur, la configuration de la clé BYOK, la sélection d'application, les contrôles budgétaires et (lorsque Auto routing est désactivé) la liste des fournisseurs sélectionnés. Le routage d'Oriora opère au sein de l'ensemble de fournisseurs éligibles défini par la configuration du Client ;
  • (b) veiller à ce que les personnes autorisées à traiter les données à caractère personnel soient soumises à une obligation de confidentialité ;
  • (c) mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris (le cas échéant) le chiffrement, les contrôles d'accès et des fournisseurs d'infrastructure sécurisés ;
  • (d) n'engager des sous-traitants ultérieurs que dans les conditions prévues à l'Article 6 ;
  • (e) aider le Client, compte tenu de la nature du traitement, par des mesures techniques et organisationnelles appropriées, à s'acquitter des obligations du Client de répondre aux demandes des personnes concernées telles que définies à l'Article 7 ;
  • (f) aider le Client à assurer le respect des obligations relatives à la sécurité du traitement, à la notification des violations, aux analyses d'impact relatives à la protection des données et à la consultation préalable des autorités de contrôle, compte tenu de la nature du traitement et des informations dont dispose Oriora ;
  • (g) à la fin de la prestation de services, supprimer ou restituer les données à caractère personnel comme indiqué à l'Article 11 ;
  • (h) mettre à la disposition du Client les informations nécessaires pour démontrer la conformité avec le présent DPA et permettre et contribuer aux audits tels que définis à l'Article 9.

Lorsque le Client demande une assistance en vertu du présent DPA qui va au-delà de ce qui peut raisonnablement être pris en charge dans le cadre de la prestation normale du service — par exemple, une coopération étendue sur une analyse d'impact relative à la protection des données, une enquête réglementaire ou un audit au-delà de l'Article 9 — le Client remboursera à Oriora les coûts raisonnables de cette assistance aux tarifs convenus entre les Parties à l'avance.

6. Sous-traitants ultérieurs

Le Client autorise Oriora à engager les sous-traitants ultérieurs listés dans le document Oriora Sub-processors, qui est incorporé au présent DPA par référence.

Oriora fournira au Client un préavis de tout ajout ou remplacement de sous-traitants ultérieurs par le mécanisme défini dans le document Sub-processors. Le Client peut s'opposer à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données en notifiant Oriora par écrit dans les sept (7) jours suivant cette notification. Si le Client s'y oppose et qu'Oriora n'est pas en mesure de proposer une alternative raisonnable dans un délai commercialement raisonnable, le Client peut résilier la partie affectée du service.

La période de préavis et d'opposition de sept jours est plus courte que la période de 30 jours couramment utilisée par les sous-traitants plus importants car Oriora ne peut pas contraindre ses fournisseurs d'infrastructure en amont à des délais plus longs.

Oriora reste responsable des actes et omissions de ses sous-traitants ultérieurs dans la même mesure qu'Oriora serait responsable si elle exécutait directement les services de chaque sous-traitant ultérieur en vertu du présent DPA. Cette responsabilité est soumise à la limitation de responsabilité énoncée à l'Article 12.

7. Droits des personnes concernées

Oriora, compte tenu de la nature du traitement, aidera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de l'obligation du Client de répondre aux demandes des personnes concernées exerçant leurs droits en vertu de la Loi sur la protection des données (y compris les droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition).

Lorsque Oriora reçoit une demande directement d'une personne concernée en relation avec le traitement du Client, Oriora, sauf interdiction légale, transmettra la demande au Client sans délai excessif et ne répondra pas à la demande elle-même, sauf sur instructions documentées du Client.

Lorsque Oriora est tenue de divulguer des données à caractère personnel à une agence gouvernementale, un tribunal ou une autorité répressive en vertu de la loi applicable ou d'une procédure légale, Oriora, lorsque légalement autorisé, en informera le Client à l'avance et limitera la divulgation à ce qui est requis.

8. Notification de violation de données à caractère personnel

Oriora notifiera le Client sans délai excessif après avoir pris connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel du Client, en fournissant les informations raisonnablement disponibles à Oriora au moment de la notification.

Oriora aidera également le Client, compte tenu de la nature du traitement et des informations dont dispose Oriora, à s'acquitter des propres obligations de notification de violation du Client aux autorités de contrôle et aux personnes concernées en vertu de la Loi sur la protection des données.

9. Droits d'audit

Oriora exploite un service sans état, uniquement basé sur le cloud, sans installation physique de traitement de données. Oriora ne conserve pas le contenu des prompts ou des outputs du Client.

Sur demande écrite raisonnable, Oriora fournira :

  • (a) la documentation d'architecture prouvant le traitement sans état, y compris le schéma de base de données démontrant l'absence de tables de stockage de contenu ;
  • (b) les politiques de sécurité ;
  • (c) la liste actuelle des Sous-traitants ultérieurs et les Clauses Contractuelles Types applicables avec les sous-traitants ultérieurs ;
  • (d) les données spécifiques au compte qu'Oriora détient pour le Client ;
  • (e) les procédures de réponse aux incidents.

Lorsque le Client considère raisonnablement ces informations insuffisantes, le Client peut, moyennant un préavis écrit d'au moins trente (30) jours, effectuer une inspection à distance (par examen de la documentation et démonstration technique en lecture seule) pas plus d'une fois par période de douze mois, par un auditeur indépendant mutuellement agréé par les Parties (non concurrent d'Oriora) et soumis à des obligations de confidentialité. Aucun droit d'inspection physique sur site n'est accordé compte tenu de l'absence de toute installation physique de traitement de données.

Le Client supporte tous les coûts raisonnables de tout audit, y compris les coûts de son auditeur indépendant et les coûts raisonnables d'Oriora pour fournir l'accès. Les coûts d'Oriora seront aux tarifs convenus entre les Parties à l'avance. Lorsqu'un audit est mené à la demande d'une autorité de contrôle compétente, les Parties coopèrent comme l'exige la loi.

Les périodes de préavis et les limites de fréquence dans le présent Article 9 sont levées lorsque cela est requis par une autorité de contrôle compétente.

10. Transferts internationaux

Dans la mesure où les données à caractère personnel traitées en vertu du présent DPA sont transférées en dehors de l'Espace Économique Européen, les Parties s'appuieront sur des garanties appropriées en vertu du Chapitre V du GDPR.

Lorsque le transfert nécessite des Clauses Contractuelles Types, les Parties incorporent par référence les Clauses Contractuelles Types de la Commission Européenne (Décision d'exécution (UE) 2021/914 de la Commission) :

  • Lorsque le Client agit en tant que responsable du traitement des données à caractère personnel transférées à Oriora en tant que sous-traitant : Module 2 (Responsable du traitement vers Sous-traitant), avec le Client en tant qu'exportateur de données et Oriora en tant qu'importateur de données.
  • Lorsque le Client agit en tant que sous-traitant des données à caractère personnel transférées à Oriora en tant que sous-traitant ultérieur (par exemple, lorsque le Client utilise Managed API BYOK pour alimenter son propre produit traitant les données à caractère personnel des utilisateurs finaux du Client) : Module 3 (Sous-traitant vers Sous-traitant ultérieur), avec le Client en tant qu'exportateur de données et Oriora en tant qu'importateur de données.

Dans chaque cas : la clause d'ancrage facultative est incorporée ; la clause facultative de résolution indépendante des litiges est exclue ; la loi applicable est la loi d'Estonie ; l'autorité de contrôle compétente est l'Inspection estonienne de la protection des données.

Lorsque des données à caractère personnel sont ensuite transférées d'Oriora à un sous-traitant ultérieur situé en dehors de l'EEE, ce transfert est protégé par des Clauses Contractuelles Types ou une autre garantie appropriée conclue entre Oriora et le sous-traitant ultérieur.

11. Restitution et suppression des données à caractère personnel

À la fin de la prestation des services relatifs au traitement, Oriora, au choix du Client, supprimera ou restituera les données à caractère personnel du Client, à moins que le droit de l'UE ou d'un État membre n'exige une conservation ultérieure.

Les données de compte et les enregistrements de facturation conservés à des fins d'obligation légale (telles que la loi fiscale estonienne) ne peuvent être supprimés avant l'expiration de la période de conservation légale.

Le contenu des prompts, le contenu des outputs et l'historique des conversations multi-tours ne sont pas conservés par Oriora à aucun moment en vertu du présent DPA, conformément à l'architecture sans état d'Oriora.

12. Responsabilité

La responsabilité de chaque Partie en vertu du présent DPA est soumise aux dispositions de limitation de responsabilité des Conditions Générales de Service Oriora. Rien dans le présent Article ne limite la responsabilité d'une Partie lorsque cette limitation n'est pas autorisée en vertu de la Loi sur la protection des données applicable.

13. Durée et résiliation

Le présent DPA prend effet à la Date d'entrée en vigueur indiquée ci-dessus et reste en vigueur pendant toute la durée de l'utilisation des services d'Oriora par le Client. Les Articles 9, 10, 11 et toute autre disposition qui, par leur nature, devraient survivre à la résiliation, survivront.

14. Droit applicable

Le présent DPA est régi par les lois de la République d'Estonie. Les litiges découlant du présent DPA seront résolus comme indiqué à l'Article 19 des Conditions Générales de Service Oriora.

15. Contact

Pour toute question concernant le présent DPA ou pour exercer les droits qui en découlent, contactez [email protected].