LoanIntelligence.aiLoanIntelligence.ai
Retour à l'aperçu légal

Accord de traitement des données (DPA)

Conditions de traitement des données conformes au RGPD

Mis Ă  jour le : November 14, 2025

Vue d'ensemble du DPA

  1. 1Vous (le client) ĂȘtes le responsable du traitement des donnĂ©es - vous dĂ©terminez les finalitĂ©s et les moyens de traitement
  2. 2Nous sommes le sous‑traitant - nous traitons les donnĂ©es uniquement sur vos instructions
  3. 3Aucune conservation de documents - les documents sont supprimés immédiatement aprÚs traitement
  4. 4Le chiffrement spécifique au client protÚge VOS données avec VOS clés uniques
  5. 5Services d'IA tiers certifiés SOC 2 sous obligations contractuelles de protection des données
  6. 6Nous assistons avec tous les droits des personnes concernées RGPD (accÚs, suppression, portabilité, etc.)
  7. 7Clauses contractuelles standard (SCC) pour les transferts de donnĂ©es UE‑États‑Unis

Objectif de l'accord

Cet accord de traitement des données (DPA) fait partie des Conditions d'utilisation et régit le traitement des données personnelles conformément au RGPD et aux autres lois de protection des données applicables.

RÎles et responsabilités

Vous (le Client) = Responsable du traitement

Vous déterminez les finalités et les moyens de traitement

DĂ©terminez quels documents de prĂȘt Ă  traiter et Ă  quelles fins
Prenez des dĂ©cisions de prĂȘt basĂ©es sur les donnĂ©es extraites
Assurez une base légale pour le traitement conformément à l'article 6 du RGPD
Obtenez les consentements nécessaires des personnes concernées (emprunteurs)
Fournissez des notices de confidentialité aux emprunteurs
Assurez la conformité avec la FCRA, l'ECOA et les lois sur l'accÚs équitable au crédit
Gérez les demandes de droits des personnes concernées (accÚs, suppression, etc.)

Nous (LoanIntelligence.ai) = Sous-traitant

Nous traitons les données uniquement sur vos instructions

Traitez les données personnelles SEULEMENT sur vos instructions (via des appels API)
NE prenez PAS de dĂ©cisions de prĂȘt ni ne dĂ©terminez les rĂ©sultats de prĂȘts
Agissez uniquement en tant que prestataire de services techniques pour le traitement des données
Mettez en Ɠuvre des mesures de sĂ©curitĂ© appropriĂ©es pour protĂ©ger vos donnĂ©es
Engagez des sous-traitants conformément à ce DPA
Aidez à la gestion des demandes de droits des personnes concernées et aux notifications de violations
Supprimez ou restituez les données personnelles à la fin de la relation

Portée du traitement

1

Objectif du traitement

Extraire des donnĂ©es structurĂ©es des documents de prĂȘt pour la prĂ©cision des donnĂ©es et l'analyse de qualitĂ©, effectuer des calculs financiers (DSCR, LTV, P&I, NOI), garantir la qualitĂ© des donnĂ©es grĂące Ă  des algorithmes propriĂ©taires et des systĂšmes de signalisation, et synchroniser les rĂ©sultats avec votre Google Sheets (si autorisĂ©).

2

Types de données personnelles

Noms des emprunteurs, adresses, SSN, TIN, donnĂ©es financiĂšres (revenus, actifs, passifs), informations d'emploi, donnĂ©es immobiliĂšres et dĂ©tails des transactions de prĂȘt. IMPORTANT : Nous NE CONSERVONS PAS de donnĂ©es personnelles au-delĂ  du traitement Ă©phĂ©mĂšre (pendant chaque exĂ©cution de traitement). Toutes les donnĂ©es persistantes sont chiffrĂ©es et stockĂ©es dans votre Google Drive AppData.

3

Personnes concernées

Demandeurs de prĂȘt, co-emprunteurs, co-signataires, propriĂ©taires immobiliers, garants et propriĂ©taires d'entreprise (pour les prĂȘts commerciaux).

Instructions de traitement

Activités autorisées

Extraire le texte des documents de prĂȘt (OCR)
Classer les documents par type (bulletins de salaire, relevés bancaires, déclarations fiscales, etc.)
Extraire les champs de données structurées (noms, montants, dates, adresses)
Effectuer des calculs financiers et des validations
Assurer la précision et la qualité des données grùce à des algorithmes propriétaires et des systÚmes de signalisation
Exporter les résultats vers votre Google Sheets (si autorisé)
Mettre temporairement en cache les résultats du traitement (chiffrés, isolés par client) pour l'optimisation des coûts

Activités interdites

Utiliser les données personnelles à nos propres fins
Partager les données personnelles avec des tiers (sauf sous-traitants autorisés)
Utiliser les données personnelles pour l'entraßnement de l'IA ou l'analyse
Conserver les données personnelles au-delà de l'achÚvement du traitement (zéro rétention)
Traiter les données personnelles en dehors du cadre de vos instructions

Sous-traitants

Tiers que nous utilisons pour fournir le service

1

Services d'IA tiers

Objet : Traitement de documents (OCR, classification, extraction)

Lieu : USA

Mesures de protection : SOC 2 certifié Type I et Type II, accords de traitement des données en place, données chiffrées en transit, interdit contractuellement d'utiliser vos données pour l'entraßnement

2

Google LLC

Objet : OAuth authentification, Drive API, Sheets API

Lieu : États-Unis (votre choix)

Mesures de protection : SOC 2 Type II, ISO 27001, Clauses contractuelles standard (SCCs)

3

Stripe Inc.

Objet : Traitement des paiements (email, identifiant client uniquement - pas de cartes de crédit)

Lieu : USA

Mesures de protection : PCI-DSS Niveau 1 certifié, conforme au GDPR

4

Fournisseur d'infrastructure cloud

Objet : HĂ©bergement et informatique

Lieu : USA

Mesures de protection : Centres de données certifiés SOC 2 Type II

Nous utilisons des algorithmes propriétaires et des systÚmes de signalisation combinés à des services d'IA tiers certifiés SOC 2. Tous les sous-traitants opÚrent sous des obligations contractuelles de protection des données.

Modifications des sous-traitants

Nous vous notifierons 30 jours à l'avance de toute modification des sous-traitants. Vous pouvez vous opposer sur des motifs raisonnables de protection des données dans un délai de 14 jours.

Assistance aux droits des personnes concernées

Comment nous vous aidons Ă  remplir vos obligations GDPR

1

Droit d'accĂšs (Article 15)

Nous fournissons l'exportation de données au format JSON dans un délai de 30 jours à partir de votre demande.

2

Droit de rectification (Article 16)

Nous mettons à jour les données inexactes à votre demande.

3

Droit Ă  l'effacement / Droit Ă  l'oubli (Article 17)

Nous supprimons toutes les données personnelles dans un délai de 24 heures à partir de votre demande.

4

Droit de restriction du traitement (Article 18)

Nous suspendons le traitement sur votre demande.

5

Droit à la portabilité des données (Article 20)

Nous fournissons les données au format JSON structuré et lisible par machine.

6

Droit d'opposition (Article 21)

Nous autorisons la désinscription des traitements non essentiels.

7

Droits liés à la prise de décision automatisée (Article 22)

Nous fournissons une transparence sur la logique de traitement par l'IA et assurons la qualité des données.

Processus de demande

Si nous recevons une demande de personne concernĂ©e, nous la transmettons Ă  vous dans un dĂ©lai de 2 jours ouvrables. Vous ĂȘtes responsable de rĂ©pondre Ă  la personne concernĂ©e (dans 30 jours conformĂ©ment au RGPD). Nous aidons en fournissant les exportations de donnĂ©es nĂ©cessaires, les suppressions ou les corrections dans un dĂ©lai de 7 jours ouvrables Ă  compter de votre demande.

Avantages de la non-conservation

En raison de notre architecture de non-conservation : (1) Les donnĂ©es personnelles dans les documents de prĂȘt ne sont pas conservĂ©es (traitement Ă©phĂ©mĂšre), (2) Les donnĂ©es extraites sont stockĂ©es UNIQUEMENT dans votre Google Drive AppData (cryptĂ©es), (3) Les demandes de la personne concernĂ©e peuvent ĂȘtre satisfaites en supprimant votre compte (efface tous nos systĂšmes dans les 24 heures) ou en supprimant manuellement les donnĂ©es depuis votre propre Google Drive.

Mesures de sécurité

Comment nous protégeons vos données

Cryptage

Cryptage HTTPS/TLS 1.3 pour toutes les requĂȘtes API et les connexions tierces
Cryptage spécifique au client : chaque client possÚde des clés de cryptage uniques AES-256-GCM
Rotation automatique des clés : les clés de stockage sont rotées aprÚs chaque exécution de traitement
Cache AI crypté : toutes les entrées de cache sont cryptées avec des clés isolées client
OAuth tokens cryptés au repos (AES-256-GCM)
Cryptage des bases de données au repos pour les données de compte

ContrĂŽles d'accĂšs

Principe du moindre privilÚge : les employés ont un accÚs minimal requis pour leur rÎle
ContrÎle d'accÚs basé sur les rÎles (RBAC) avec des rÎles d'administrateur, de développeur et de support
Authentification multifacteur (2FA) requise pour tout accĂšs administratif
Journaux d'audit : tout accÚs administratif est consigné et surveillé

Architecture de non-conservation

Les documents sont traités en mémoire pendant chaque exécution de traitement, puis immédiatement supprimés
Les documents de prĂȘt ne sont PAS conservĂ©s sur notre infrastructure
Les résultats de traitement sont stockés UNIQUEMENT dans votre Google Drive (cryptés avec vos clés)

View Full Security Policy

Notification de violation de données

1

Réponse immédiate (dans 1 heure)

Contenir la violation, Ă©valuer l'Ă©tendue et l'impact, commencer l'investigation.

2

Notification du responsable (dans 72 heures)

Vous notifier par courriel avec des détails préliminaires (nature de la violation, données affectées, impact estimé).

3

Rapport complet (dans 7 jours)

Rapport détaillé de l'incident incluant la description, les sujets/records de données affectés, les conséquences, les mesures de remédiation et les recommandations.

Nous vous assistons avec

Notifier les autorités de contrÎle dans 72 heures (Article RGPD 33)
Communiquer la violation aux sujets de données affectés (Article RGPD 34)
Mener une enquĂȘte mĂ©dico-lĂ©gale
Mettre en Ɠuvre des mesures de remĂ©diation

Statut de la violation

À partir du November 14, 2025 : zĂ©ro violations de donnĂ©es personnelles, zĂ©ro incidents d'accĂšs non autorisĂ©, zĂ©ro compromissions de clĂ©s de chiffrement. Notre architecture sans conservation minimise l'exposition (les documents n'existent que pendant l'exĂ©cution du traitement), le chiffrement spĂ©cifique aux clients isole les clients (une violation d'un client ne concerne pas les autres), et la rotation automatique des clĂ©s limite l'impact (la clĂ© compromise est valide pour une seule exĂ©cution de traitement).

Transferts internationaux de donnĂ©es (UE vers les États-Unis)

Clauses contractuelles standard (SCTs)

Nous nous appuyons sur des Clauses contractuelles standard approuvées par la Commission européenne (Décision (UE) 2021/914, Module Deux : transferts du responsable au prestataire).

Mesures techniques complémentaires

Chiffrement spécifique aux clients : données chiffrées avec des clés client uniques (inconnues pour nous)
Rotation automatique des clés : les clés de stockage sont rotées aprÚs chaque exécution de traitement
Zéro conservation de documents : les documents NE SONT PAS stockés sur notre infrastructure
Cache d'IA chiffré : entrées de cache chiffrées avec des clés isolées par client
Interdictions contractuelles : les sous-traitants sont interdits de divulguer des données aux gouvernements (sauf si la loi l'exige)

Demandes d'accÚs du gouvernement américain

Nous sommes soumis aux lois amĂ©ricaines de surveillance (FISA, CLOUD Act). Cependant, notre architecture zĂ©ro-connaissance garantit que mĂȘme si nous sommes contraints de divulguer des donnĂ©es, nous ne pouvons pas dĂ©crypter vos donnĂ©es sans les clĂ©s (stockĂ©es dans YOUR Google Drive). La conservation zĂ©ro de documents signifie qu'un minimum de donnĂ©es est disponible Ă  divulguer. Nous vous notifierons des demandes gouvernementales (Ă  moins qu'elles ne soient interdites par la loi) et contesterons les demandes trop larges ou illĂ©gales. À ce jour : zĂ©ro demandes gouvernementales de donnĂ©es reçues (au 14 novembre 2025).

Suppression des données à la résiliation

Dans 24 heures

Supprimez toutes les données personnelles de nos systÚmes
Supprimez les entrées de cache IA chiffrées
RĂ©voquez OAuth tokens (Google Drive accĂšs)
Purge des informations de compte de la base de données de production
1

Dans 30 jours

Supprimez toutes les données personnelles des sauvegardes chiffrées et écrasez les données supprimées (suppression sécurisée).

2

Certificat de suppression

Sur demande, nous fournissons un Certificat de suppression confirmant la date de suppression, les catégories de données supprimées et les méthodes de suppression sécurisée utilisées.

Droits d'audit

1

Vos droits d'audit

Vous pouvez auditer notre conformitĂ© avec cette DPA une fois par an (prĂ©avis de 30 jours requis). Les audits doivent ĂȘtre non perturbateurs, pendant les heures de travail, et soumis Ă  un accord de confidentialitĂ©. Vous supportez tous les coĂ»ts d'audit.

2

Rapports d'audit tiers

Au lieu d'un audit direct, vous pouvez consulter notre rapport SOC 2 Type II (lorsqu'il est disponible), les rapports d'audit de sécurité tiers, ou demander des réponses écrites aux questionnaires normalisés.

Limitation de responsabilité

En vertu de l'article 82 du RGPD, nous sommes responsables des dommages causĂ©s par un traitement qui viole les obligations du RGPD pour les processeurs ou lorsque nous agissons en dehors ou contre vos instructions lĂ©gales. Notre responsabilitĂ© totale est limitĂ©e aux montants spĂ©cifiĂ©s dans les Conditions de service, sauf en cas de nĂ©gligence grave, de mauvaise conduite volontaire ou de responsabilitĂ© qui ne peut pas ĂȘtre limitĂ©e par la loi.

Besoin d'aide?

Besoin d'aide avec cette DPA?

Pour les questions relatives au RGPD, au SCC ou Ă  la DPA, envoyez un e‑mail Ă  notre Ă©quipe juridique Ă  [email protected].

[email protected]

Nous répondons dans un jour ouvrable.