LoanIntelligence.aiLoanIntelligence.ai
Retour à l'aperçu légal

Accord de traitement des données (DPA)

Conditions de traitement des données conformes au RGPD

Mis à jour le : November 14, 2025

Vue d'ensemble du DPA

  1. 1Vous (le client) êtes le responsable du traitement des données - vous déterminez les finalités et les moyens de traitement
  2. 2Nous sommes le sous‑traitant - nous traitons les données uniquement sur vos instructions
  3. 3Aucune conservation de documents - les documents sont supprimés immédiatement après traitement
  4. 4Le chiffrement spécifique au client protège VOS données avec VOS clés uniques
  5. 5Services d'IA tiers certifiés SOC 2 sous obligations contractuelles de protection des données
  6. 6Nous assistons avec tous les droits des personnes concernées RGPD (accès, suppression, portabilité, etc.)
  7. 7Clauses contractuelles standard (SCC) pour les transferts de données UE‑États‑Unis

Objectif de l'accord

Cet accord de traitement des données (DPA) fait partie des Conditions d'utilisation et régit le traitement des données personnelles conformément au RGPD et aux autres lois de protection des données applicables.

Rôles et responsabilités

Vous (le Client) = Responsable du traitement

Vous déterminez les finalités et les moyens de traitement

Déterminez quels documents de prêt à traiter et à quelles fins
Prenez des décisions de prêt basées sur les données extraites
Assurez une base légale pour le traitement conformément à l'article 6 du RGPD
Obtenez les consentements nécessaires des personnes concernées (emprunteurs)
Fournissez des notices de confidentialité aux emprunteurs
Assurez la conformité avec la FCRA, l'ECOA et les lois sur l'accès équitable au crédit
Gérez les demandes de droits des personnes concernées (accès, suppression, etc.)

Nous (LoanIntelligence.ai) = Sous-traitant

Nous traitons les données uniquement sur vos instructions

Traitez les données personnelles SEULEMENT sur vos instructions (via des appels API)
NE prenez PAS de décisions de prêt ni ne déterminez les résultats de prêts
Agissez uniquement en tant que prestataire de services techniques pour le traitement des données
Mettez en œuvre des mesures de sécurité appropriées pour protéger vos données
Engagez des sous-traitants conformément à ce DPA
Aidez à la gestion des demandes de droits des personnes concernées et aux notifications de violations
Supprimez ou restituez les données personnelles à la fin de la relation

Portée du traitement

1

Objectif du traitement

Extraire des données structurées des documents de prêt pour la précision des données et l'analyse de qualité, effectuer des calculs financiers (DSCR, LTV, P&I, NOI), garantir la qualité des données grâce à des algorithmes propriétaires et des systèmes de signalisation, et synchroniser les résultats avec votre Google Sheets (si autorisé).

2

Types de données personnelles

Noms des emprunteurs, adresses, SSN, TIN, données financières (revenus, actifs, passifs), informations d'emploi, données immobilières et détails des transactions de prêt. IMPORTANT : Nous NE CONSERVONS PAS de données personnelles au-delà du traitement éphémère (pendant chaque exécution de traitement). Toutes les données persistantes sont chiffrées et stockées dans votre Google Drive AppData.

3

Personnes concernées

Demandeurs de prêt, co-emprunteurs, co-signataires, propriétaires immobiliers, garants et propriétaires d'entreprise (pour les prêts commerciaux).

Instructions de traitement

Activités autorisées

Extraire le texte des documents de prêt (OCR)
Classer les documents par type (bulletins de salaire, relevés bancaires, déclarations fiscales, etc.)
Extraire les champs de données structurées (noms, montants, dates, adresses)
Effectuer des calculs financiers et des validations
Assurer la précision et la qualité des données grâce à des algorithmes propriétaires et des systèmes de signalisation
Exporter les résultats vers votre Google Sheets (si autorisé)
Mettre temporairement en cache les résultats du traitement (chiffrés, isolés par client) pour l'optimisation des coûts

Activités interdites

Utiliser les données personnelles à nos propres fins
Partager les données personnelles avec des tiers (sauf sous-traitants autorisés)
Utiliser les données personnelles pour l'entraînement de l'IA ou l'analyse
Conserver les données personnelles au-delà de l'achèvement du traitement (zéro rétention)
Traiter les données personnelles en dehors du cadre de vos instructions

Sous-traitants

Tiers que nous utilisons pour fournir le service

1

Services d'IA tiers

Objet : Traitement de documents (OCR, classification, extraction)

Lieu : USA

Mesures de protection : SOC 2 certifié Type I et Type II, accords de traitement des données en place, données chiffrées en transit, interdit contractuellement d'utiliser vos données pour l'entraînement

2

Google LLC

Objet : OAuth authentification, Drive API, Sheets API

Lieu : États-Unis (votre choix)

Mesures de protection : SOC 2 Type II, ISO 27001, Clauses contractuelles standard (SCCs)

3

Stripe Inc.

Objet : Traitement des paiements (email, identifiant client uniquement - pas de cartes de crédit)

Lieu : USA

Mesures de protection : PCI-DSS Niveau 1 certifié, conforme au GDPR

4

Fournisseur d'infrastructure cloud

Objet : Hébergement et informatique

Lieu : USA

Mesures de protection : Centres de données certifiés SOC 2 Type II

Nous utilisons des algorithmes propriétaires et des systèmes de signalisation combinés à des services d'IA tiers certifiés SOC 2. Tous les sous-traitants opèrent sous des obligations contractuelles de protection des données.

Modifications des sous-traitants

Nous vous notifierons 30 jours à l'avance de toute modification des sous-traitants. Vous pouvez vous opposer sur des motifs raisonnables de protection des données dans un délai de 14 jours.

Assistance aux droits des personnes concernées

Comment nous vous aidons à remplir vos obligations GDPR

1

Droit d'accès (Article 15)

Nous fournissons l'exportation de données au format JSON dans un délai de 30 jours à partir de votre demande.

2

Droit de rectification (Article 16)

Nous mettons à jour les données inexactes à votre demande.

3

Droit à l'effacement / Droit à l'oubli (Article 17)

Nous supprimons toutes les données personnelles dans un délai de 24 heures à partir de votre demande.

4

Droit de restriction du traitement (Article 18)

Nous suspendons le traitement sur votre demande.

5

Droit à la portabilité des données (Article 20)

Nous fournissons les données au format JSON structuré et lisible par machine.

6

Droit d'opposition (Article 21)

Nous autorisons la désinscription des traitements non essentiels.

7

Droits liés à la prise de décision automatisée (Article 22)

Nous fournissons une transparence sur la logique de traitement par l'IA et assurons la qualité des données.

Processus de demande

Si nous recevons une demande de personne concernée, nous la transmettons à vous dans un délai de 2 jours ouvrables. Vous êtes responsable de répondre à la personne concernée (dans 30 jours conformément au RGPD). Nous aidons en fournissant les exportations de données nécessaires, les suppressions ou les corrections dans un délai de 7 jours ouvrables à compter de votre demande.

Avantages de la non-conservation

En raison de notre architecture de non-conservation : (1) Les données personnelles dans les documents de prêt ne sont pas conservées (traitement éphémère), (2) Les données extraites sont stockées UNIQUEMENT dans votre Google Drive AppData (cryptées), (3) Les demandes de la personne concernée peuvent être satisfaites en supprimant votre compte (efface tous nos systèmes dans les 24 heures) ou en supprimant manuellement les données depuis votre propre Google Drive.

Mesures de sécurité

Comment nous protégeons vos données

Cryptage

Cryptage HTTPS/TLS 1.3 pour toutes les requêtes API et les connexions tierces
Cryptage spécifique au client : chaque client possède des clés de cryptage uniques AES-256-GCM
Rotation automatique des clés : les clés de stockage sont rotées après chaque exécution de traitement
Cache AI crypté : toutes les entrées de cache sont cryptées avec des clés isolées client
OAuth tokens cryptés au repos (AES-256-GCM)
Cryptage des bases de données au repos pour les données de compte

Contrôles d'accès

Principe du moindre privilège : les employés ont un accès minimal requis pour leur rôle
Contrôle d'accès basé sur les rôles (RBAC) avec des rôles d'administrateur, de développeur et de support
Authentification multifacteur (2FA) requise pour tout accès administratif
Journaux d'audit : tout accès administratif est consigné et surveillé

Architecture de non-conservation

Les documents sont traités en mémoire pendant chaque exécution de traitement, puis immédiatement supprimés
Les documents de prêt ne sont PAS conservés sur notre infrastructure
Les résultats de traitement sont stockés UNIQUEMENT dans votre Google Drive (cryptés avec vos clés)

View Full Security Policy

Notification de violation de données

1

Réponse immédiate (dans 1 heure)

Contenir la violation, évaluer l'étendue et l'impact, commencer l'investigation.

2

Notification du responsable (dans 72 heures)

Vous notifier par courriel avec des détails préliminaires (nature de la violation, données affectées, impact estimé).

3

Rapport complet (dans 7 jours)

Rapport détaillé de l'incident incluant la description, les sujets/records de données affectés, les conséquences, les mesures de remédiation et les recommandations.

Nous vous assistons avec

Notifier les autorités de contrôle dans 72 heures (Article RGPD 33)
Communiquer la violation aux sujets de données affectés (Article RGPD 34)
Mener une enquête médico-légale
Mettre en œuvre des mesures de remédiation

Statut de la violation

À partir du November 14, 2025 : zéro violations de données personnelles, zéro incidents d'accès non autorisé, zéro compromissions de clés de chiffrement. Notre architecture sans conservation minimise l'exposition (les documents n'existent que pendant l'exécution du traitement), le chiffrement spécifique aux clients isole les clients (une violation d'un client ne concerne pas les autres), et la rotation automatique des clés limite l'impact (la clé compromise est valide pour une seule exécution de traitement).

Transferts internationaux de données (UE vers les États-Unis)

Clauses contractuelles standard (SCTs)

Nous nous appuyons sur des Clauses contractuelles standard approuvées par la Commission européenne (Décision (UE) 2021/914, Module Deux : transferts du responsable au prestataire).

Mesures techniques complémentaires

Chiffrement spécifique aux clients : données chiffrées avec des clés client uniques (inconnues pour nous)
Rotation automatique des clés : les clés de stockage sont rotées après chaque exécution de traitement
Zéro conservation de documents : les documents NE SONT PAS stockés sur notre infrastructure
Cache d'IA chiffré : entrées de cache chiffrées avec des clés isolées par client
Interdictions contractuelles : les sous-traitants sont interdits de divulguer des données aux gouvernements (sauf si la loi l'exige)

Demandes d'accès du gouvernement américain

Nous sommes soumis aux lois américaines de surveillance (FISA, CLOUD Act). Cependant, notre architecture zéro-connaissance garantit que même si nous sommes contraints de divulguer des données, nous ne pouvons pas décrypter vos données sans les clés (stockées dans YOUR Google Drive). La conservation zéro de documents signifie qu'un minimum de données est disponible à divulguer. Nous vous notifierons des demandes gouvernementales (à moins qu'elles ne soient interdites par la loi) et contesterons les demandes trop larges ou illégales. À ce jour : zéro demandes gouvernementales de données reçues (au 14 novembre 2025).

Suppression des données à la résiliation

Dans 24 heures

Supprimez toutes les données personnelles de nos systèmes
Supprimez les entrées de cache IA chiffrées
Révoquez OAuth tokens (Google Drive accès)
Purge des informations de compte de la base de données de production
1

Dans 30 jours

Supprimez toutes les données personnelles des sauvegardes chiffrées et écrasez les données supprimées (suppression sécurisée).

2

Certificat de suppression

Sur demande, nous fournissons un Certificat de suppression confirmant la date de suppression, les catégories de données supprimées et les méthodes de suppression sécurisée utilisées.

Droits d'audit

1

Vos droits d'audit

Vous pouvez auditer notre conformité avec cette DPA une fois par an (préavis de 30 jours requis). Les audits doivent être non perturbateurs, pendant les heures de travail, et soumis à un accord de confidentialité. Vous supportez tous les coûts d'audit.

2

Rapports d'audit tiers

Au lieu d'un audit direct, vous pouvez consulter notre rapport SOC 2 Type II (lorsqu'il est disponible), les rapports d'audit de sécurité tiers, ou demander des réponses écrites aux questionnaires normalisés.

Limitation de responsabilité

En vertu de l'article 82 du RGPD, nous sommes responsables des dommages causés par un traitement qui viole les obligations du RGPD pour les processeurs ou lorsque nous agissons en dehors ou contre vos instructions légales. Notre responsabilité totale est limitée aux montants spécifiés dans les Conditions de service, sauf en cas de négligence grave, de mauvaise conduite volontaire ou de responsabilité qui ne peut pas être limitée par la loi.

Besoin d'aide?

Besoin d'aide avec cette DPA?

Pour les questions relatives au RGPD, au SCC ou à la DPA, envoyez un e‑mail à notre équipe juridique à [email protected].

[email protected]

Nous répondons dans un jour ouvrable.