Convention de traitement des données.

La présente Convention de Traitement des Données à Caractère Personnel (la « DPA » pour Data Processing Addendum) fait partie intégrante des Conditions Générales de Service Athéna Pilote(les « CGS ») auxquelles elle est annexée. Elle constitue l'accord des Parties relatif au traitement par Athéna Pilote des Données à Caractère Personnel pour le compte du Cabinet, conformément à l'article 28 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (le « RGPD »).

En cas de contradiction entre les stipulations des CGS et les stipulations de la présente DPA, les stipulations de la présente DPA prévaudront pour les sujets relatifs à la protection des données à caractère personnel. En cas de contradiction entre les stipulations des Appendices à la DPA et le corps de la DPA, les stipulations du corps de la DPA prévaudront.

Les termes définis utilisés dans la présente DPA ont la signification qui leur est attribuée dans les CGS, dans les CGU Athéna Pilote ou dans le RGPD, selon le contexte.

1.1 Cabinet en qualité de responsable de traitement

Le Cabinet est responsable de traitement, au sens de l'article 4.7 du RGPD, des Données à Caractère Personnel des Clients Finaux et de leurs employés, dirigeants et représentants, qu'il transmet à la Plateforme dans le cadre de l'exécution de sa mission d'expertise comptable.

Le cas échéant, lorsque le Cabinet agit lui-même en qualité de sous-traitant d'un Client Final qui demeure responsable de traitement, le Cabinet garantit à Athéna Pilote qu'il dispose des autorisations nécessaires pour transmettre les Données à Caractère Personnel à la Plateforme et qu'il a satisfait à ses propres obligations de notification au responsable de traitement initial. Athéna Pilote est en droit, à tout moment, de demander la production de la preuve de ces autorisations.

1.2 Athéna Pilote en qualité de sous-traitant

Athéna Pilote intervient en qualité de sous-traitant, au sens de l'article 4.8 du RGPD, des Données à Caractère Personnel décrites à l'Appendice 1 de la présente DPA. Athéna Pilote ne traite ces Données à Caractère Personnel que pour le compte et selon les instructions documentées du Cabinet, telles que résultant des CGS, des CGU et de la présente DPA.

1.3 Athéna Pilote en qualité de responsable de traitement autonome

Pour certaines opérations de traitement déterminées, et notamment la gestion du compte du Cabinet, la facturation, la gestion des incidents de sécurité, la prévention de la fraude et le respect de ses obligations légales, Athéna Pilote intervient en qualité de responsable de traitement autonome. Ces traitements relèvent de la Politique de confidentialitéaccessible à l'adresse athena-pilote.com/confidentialite et ne sont pas régis par la présente DPA.

2.1 Identification des bases légales par le Cabinet

Le Cabinet, en sa qualité de responsable de traitement, identifie et documente, pour chaque finalité de traitement mise en œuvre via la Plateforme, la base légale applicable au sens de l'article 6 du RGPD.

Athéna Pilote ne se substitue pas au Cabinet dans le choix des bases légales et ne saurait être tenue responsable d'une qualification erronée ou incomplète opérée par le Cabinet.

2.2 Bases légales typiquement applicables

À titre indicatif, les bases légales typiquement applicables aux traitements mis en œuvre via la Plateforme dans le cadre de l'activité du Cabinet sont les suivantes :

• l'exécution du contrat conclu entre le Cabinet et son Client Final, ou l'exécution de mesures précontractuelles prises à la demande de ce dernier, au sens de l'article 6.1.b du RGPD ;
• le respect d'une obligation légale à laquelle le Cabinet ou son Client Final est soumis, et notamment les obligations de tenue comptable, de déclarations fiscales et sociales, au sens de l'article 6.1.c du RGPD ;
• la poursuite des intérêts légitimes du Cabinet ou de son Client Final, au sens de l'article 6.1.f du RGPD, notamment dans le cadre des missions de conseil délivrées au Client Final ;
• le consentement de la personne concernée, au sens de l'article 6.1.a du RGPD, lorsque celui-ci constitue la base légale appropriée.

Le Cabinet demeure seul juge de la base légale applicable à chaque traitement. La présente énumération est indicative et n'a pas vocation à imposer ni à exclure une base légale particulière.

2.3 Catégories particulières de Données à Caractère Personnel

La Plateforme n'est pas conçue pour traiter des Données à Caractère Personnel relevant des catégories particulières au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données concernant la santé, les données biométriques aux fins d'identifier une personne physique de manière unique, etc.).

Le Cabinet s'interdit de transmettre à la Plateforme de telles Données à Caractère Personnel et garantit Athéna Pilote contre toute conséquence d'un manquement à cette interdiction. En cas de transmission accidentelle, le Cabinet s'engage à en informer Athéna Pilote sans délai et à supprimer les données concernées.

En concluant les CGS et la présente DPA, le Cabinet donne instruction à Athéna Pilote de traiter les Données à Caractère Personnel exclusivement pour les finalités suivantes :

• la fourniture de la Plateforme et de l'ensemble de ses fonctionnalités au Cabinet, et notamment l'exécution des moteurs Athéna Connect, Adviser un point un et Athéna IA ;
• la fourniture de l'application Compthello aux Clients Finaux du Cabinet ;
• l'hébergement et le stockage chiffré des Données à Caractère Personnel sur les infrastructures cloud sous-traitées ;
• la production de signaux et de Fiches Mission à partir des données comptables et clients du Cabinet ;
• toute autre opération expressément autorisée par le Cabinet par écrit, et reconnue comme telle par Athéna Pilote.

Athéna Pilote s'interdit de traiter, transférer, modifier, dévoiler ou utiliser les Données à Caractère Personnel pour toute autre finalité, sauf si une obligation légale l'y contraint, auquel cas elle en informera le Cabinet préalablement, sauf interdiction légale de notification pour motif d'intérêt public important.

Si Athéna Pilote estime qu'une instruction du Cabinet enfreint le RGPD ou toute autre disposition applicable en matière de protection des données, elle en informera immédiatement le Cabinet et pourra suspendre l'exécution de l'instruction concernée jusqu'à clarification.

4.1 Secret professionnel de l'expert-comptable

Athéna Pilote reconnaît expressément que le Cabinet et ses Experts-Comptables sont soumis au secret professionnel au titre de l'article 21 de l'ordonnance numéro 45-2138 du 19 septembre 1945 portant création de l'Ordre des experts-comptables, ainsi qu'aux dispositions du Code de déontologie des professionnels de l'expertise comptable.

Athéna Pilote s'engage à mettre en œuvre les mesures techniques et organisationnelles appropriées pour permettre au Cabinet de respecter ses obligations au titre du secret professionnel, et notamment le cloisonnement humain renforcé prévu à l'Appendice 2 de la présente DPA, dans la limite de la nature même du service fourni qui requiert le traitement automatisé des Données par les moteurs de la Plateforme.

4.2 Secret des affaires

Les Données du Cabinet et les Données à Caractère Personnel des Clients Finaux peuvent comporter des informations relevant du secret des affaires au sens des articles L. 151-1 et suivants du Code de commerce, et notamment des informations économiques, financières, stratégiques, commerciales ou techniques présentant une valeur économique pour le Cabinet ou ses Clients Finaux.

Athéna Pilote s'engage à protéger ces informations contre toute appropriation ou divulgation non autorisée, dans les conditions prévues par les articles L. 152-1 et suivants du Code de commerce. Cet engagement s'applique tant aux collaborateurs d'Athéna Pilote qu'à ses sous-traitants ultérieurs, qui sont contractuellement tenus à un niveau de protection au moins équivalent.

4.3 Articulation des régimes

Les engagements de protection au titre du secret professionnel et du secret des affaires se cumulent avec les obligations de confidentialité et de protection des Données à Caractère Personnel résultant de la présente DPA, sans que l'une de ces obligations ne puisse être interprétée comme limitant la portée des autres.

Athéna Pilote met en œuvre les mesures organisationnelles raisonnables pour que toute personne autorisée à traiter les Données à Caractère Personnel pour son compte (collaborateurs salariés ou indépendants, prestataires) soit :

• soumise à une obligation contractuelle de confidentialité au moins équivalente à celle prévue dans la présente DPA ;
• formée aux exigences du RGPD applicables à son périmètre d'intervention ;
• informée du caractère confidentiel des Données à Caractère Personnel et des sanctions applicables en cas de manquement.

Athéna Pilote tient à jour la liste de son personnel autorisé à accéder aux Données à Caractère Personnel et procède régulièrement à la révocation des accès en cas de départ ou de changement d'affectation.

Athéna Pilote met en place et maintient en vigueur les mesures techniques et organisationnelles appropriées prévues par l'article 32 du RGPD pour assurer un niveau de sécurité adapté au risque, conformément à l'état de l'art à la date de leur mise en œuvre.

Le détail des mesures techniques et organisationnelles mises en œuvre par Athéna Pilote figure à l'Appendice 2 de la présente DPA. Athéna Pilote pourra mettre à jour ou modifier périodiquement les mesures décrites à l'Appendice 2, sous réserve que ces mises à jour et modifications n'entraînent pas une dégradation du niveau global de sécurité.

Au titre des présentes, Athéna Pilote souscrit à une obligation de moyens renforcée. Sa responsabilité en matière de sécurité ne peut être engagée qu'en cas de manquement caractérisé aux mesures décrites à l'Appendice 2 ou à l'état de l'art en vigueur à la date de l'incident considéré.

En cas de violation de Données à Caractère Personnel au sens de l'article 4.12 du RGPD, Athéna Pilote :

• notifiera l'incident au Cabinet sans délai injustifié et au plus tard dans les soixante-douze (72) heures à compter de sa prise de connaissance ;
• prendra dans les meilleurs délais les mesures raisonnables pour limiter l'impact de l'incident et protéger les Données à Caractère Personnel ;
• transmettra au Cabinet l'ensemble des informations utiles pour lui permettre de respecter ses propres obligations au titre des articles 33 et 34 du RGPD, et notamment la nature de l'incident, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou envisagées pour atténuer les éventuelles conséquences négatives.

Le Cabinet demeure seul responsable de la notification de l'incident à l'autorité de contrôle compétente, de l'information des personnes concernées le cas échéant, et de toute communication publique relative à l'incident.

Athéna Pilote n'évalue pas le contenu des Données à Caractère Personnel pour identifier les informations soumises à des exigences juridiques spécifiques. Le Cabinet est entièrement responsable du respect de ses obligations propres en cas d'incident.

8.1 Assistance pour répondre aux demandes des personnes concernées

Athéna Pilote met à la disposition du Cabinet, à travers la Plateforme et conformément aux fonctionnalités existantes, les moyens techniques permettant de répondre aux demandes d'exercice des droits des personnes concernées au titre des articles 15 à 22 du RGPD (droit d'accès, de rectification, d'effacement, de limitation, de portabilité, d'opposition, de retrait du consentement).

Si Athéna Pilote reçoit directement une demande émanant d'une personne concernée par les traitements opérés pour le compte du Cabinet, elle redirigera cette personne vers le Cabinet dans les meilleurs délais et en informera ce dernier.

8.2 Assistance pour les analyses d'impact et consultations préalables

Sur demande motivée du Cabinet, Athéna Pilote apportera une assistance raisonnable à la réalisation des analyses d'impact relatives à la protection des données prévues à l'article 35 du RGPD et aux consultations préalables prévues à l'article 36 du RGPD, dans la mesure où Athéna Pilote dispose des informations nécessaires.

Cette assistance peut donner lieu, le cas échéant, à une facturation spécifique selon le temps consacré à la demande, en sus de l'abonnement de base. Les modalités de facturation sont précisées au cas par cas.

9.1 Autorisation générale du Cabinet

Le Cabinet autorise expressément Athéna Pilote, par la signature des CGS et de la présente DPA, à recourir à des sous-traitants ultérieurs pour l'exécution des traitements, sous réserve du respect des conditions énoncées au présent article.

9.2 Liste des sous-traitants ultérieurs autorisés à la date de signature

À la date de signature de la présente DPA, les sous-traitants ultérieurs autorisés sont les suivants. Pour chacun, la nature du traitement, la localisation des données et les garanties juridiques applicables sont précisées.

La liste à jour des sous-traitants ultérieurs est publiée et tenue à jour à l'adresse athena-pilote.com/sous-traitants. Le Cabinet peut s'abonner gratuitement aux notifications de modification de cette liste depuis cette adresse.

9.3 Notification de tout nouveau sous-traitant ultérieur

Toute désignation d'un nouveau sous-traitant ultérieur ou tout remplacement d'un sous-traitant existant fera l'objet d'une notification préalable au Cabinet par voie électronique, avec un préavis minimum de trente (30) jours avant la prise d'effet effective du nouveau sous-traitant.

Si le Cabinet a des motifs légitimes et raisonnables de s'opposer à un nouveau sous-traitant ultérieur, il devra notifier son opposition motivée à Athéna Pilote, par écrit à l'adresse support@athena-pilote.com, dans les trente (30) jours suivant la notification de la désignation. À défaut d'opposition exprimée dans ce délai, l'autorisation du Cabinet sera réputée acquise.

En cas d'opposition motivée et après tentative de discussion entre les Parties, si aucun accord n'est trouvé dans un délai raisonnable, le Cabinet pourra résilier l'Abonnement Athéna Pilote sans frais ni pénalité, par notification écrite. Cette résiliation constitue le seul recours du Cabinet en cas d'opposition à un nouveau sous-traitant ultérieur.

9.4 Garanties contractuelles imposées aux sous-traitants ultérieurs

Athéna Pilote conclut avec chaque sous-traitant ultérieur un contrat écrit imposant à ce dernier des obligations en matière de protection des données à caractère personnel équivalentes à celles prévues par la présente DPA, et conformes aux exigences de l'article 28 du RGPD.

Athéna Pilote demeure pleinement responsable, vis-à-vis du Cabinet, du respect par les sous-traitants ultérieurs de leurs obligations en matière de protection des données. En cas de manquement d'un sous-traitant ultérieur, Athéna Pilote répondra de ses actes ou omissions au même titre que des siens.

À la date de signature de la présente DPA, l'ensemble des Données à Caractère Personnel traitées par Athéna Pilote et ses sous-traitants ultérieurs autorisés est hébergé et traité exclusivement au sein de l'Union européenne. Aucun transfert vers un pays tiers hors Union européenne n'est effectué dans le cadre du fonctionnement standard de la Plateforme.

Si, à l'avenir, un transfert de Données à Caractère Personnel vers un pays tiers devait s'avérer nécessaire, Athéna Pilote en informera préalablement le Cabinet et veillera à ce que ce transfert s'opère conformément aux exigences du chapitre V du RGPD, et notamment :

• sur la base d'une décision d'adéquation de la Commission européenne au sens de l'article 45 du RGPD ;
• ou sur la base de garanties appropriées au sens de l'article 46 du RGPD, et notamment des clauses contractuelles types adoptées par la Commission européenne par la décision d'exécution 2021/914 du 4 juin 2021 ;
• ou sur la base d'une dérogation prévue à l'article 49 du RGPD, dans les conditions strictes prévues par cet article.

11.1 Principe et fréquence

Pour permettre au Cabinet de vérifier qu'Athéna Pilote respecte ses obligations au titre de la présente DPA, le Cabinet bénéficie d'un droit d'audit de conformité, dans les conditions énoncées au présent article.

Le Cabinet peut faire réaliser, à ses frais exclusifs, un (1) audit tous les deux (2) ans, d'une durée maximale de trois (3) jours ouvrés, par un auditeur indépendant qu'il désigne, soumis à un engagement de confidentialité au moins équivalent à celui prévu par les CGS.

11.2 Préavis et modalités

Toute demande d'audit doit être adressée à Athéna Pilote par écrit, à l'adresse support@athena-pilote.com, avec un préavis minimum de soixante (60) jours avant la date envisagée. Athéna Pilote et le Cabinet conviennent ensemble du calendrier précis et des modalités logistiques de l'audit.

L'audit s'effectue, sauf accord contraire des Parties, à distance via les outils dédiés mis à disposition par Athéna Pilote, sans extraction ni copie des informations consultées.

11.3 Périmètre de l'audit

L'audit se limite strictement à la vérification du respect par Athéna Pilote de ses obligations au titre de la présente DPA pour les traitements concernant le Cabinet ayant initié l'audit.

11.4 Éléments expressément exclus du périmètre de l'audit

Athéna Pilote se réserve le droit de refuser l'accès, dans le cadre d'un audit, aux éléments suivants, dont la divulgation porterait atteinte à la sécurité, à la confidentialité ou aux droits de tiers :

• les Données à Caractère Personnel et données techniques relatives à d'autres Cabinets clients d'Athéna Pilote ;
• le code source, l'architecture technique, les paramètres de configuration et les modèles d'apprentissage propres aux moteurs Adviser un point un et Athéna IA, qui constituent un savoir-faire stratégique d'Athéna Pilote protégé au titre du secret des affaires (article L. 151-1 du Code de commerce) ;
• les données financières internes, comptables, fiscales et sociales d'Athéna Pilote ;
• les données à caractère personnel relatives aux salariés, prestataires et collaborateurs d'Athéna Pilote ;
• toute information dont la divulgation serait susceptible de compromettre la sécurité de la Plateforme ou de ses Cabinets utilisateurs.

11.5 Conditions techniques de l'audit

Les activités d'audit ne doivent en aucun cas :

• entraver, modifier ou affecter le fonctionnement de la Plateforme, des systèmes, des réseaux, des logiciels ou des matériels d'Athéna Pilote ou de ses sous-traitants ultérieurs ;
• endommager les infrastructures hébergeant la Plateforme ;
• endommager, supprimer ou modifier des données ;
• permettre un accès non autorisé aux données ou aux systèmes.

Toute manipulation susceptible d'entrer dans l'une de ces hypothèses doit faire l'objet d'une autorisation expresse et préalable d'Athéna Pilote.

11.6 Rapport d'audit

À l'issue de l'audit, le Cabinet remet gratuitement à Athéna Pilote une copie du rapport d'audit. Athéna Pilote dispose d'un délai raisonnable pour communiquer ses observations et, le cas échéant, le plan d'action qu'elle entend mettre en œuvre pour remédier aux non-conformités identifiées.

Les informations obtenues dans le cadre de l'audit constituent des informations strictement confidentielles. Le Cabinet et l'auditeur indépendant qu'il désigne s'engagent à ne pas les divulguer publiquement, à ne pas les communiquer en interne au-delà des personnes ayant un intérêt direct, majeur et justifié, et à les détruire ou les restituer à Athéna Pilote dans un délai de soixante (60) jours suivant la finalisation du rapport.

12.1 Pendant la durée de l'Abonnement

Pendant toute la durée de l'Abonnement, le Cabinet peut, par l'intermédiaire des fonctionnalités de la Plateforme, accéder aux Données à Caractère Personnel le concernant, les rectifier, les compléter, en limiter le traitement ou les supprimer, dans la mesure où la Plateforme offre cette fonctionnalité.

Toute suppression effectuée par le Cabinet via la Plateforme constitue une instruction adressée à Athéna Pilote de procéder à la suppression effective de ces Données à Caractère Personnel. Athéna Pilote se conforme à cette instruction dans un délai maximal d'un (1) mois, sauf obligation légale de conservation impérative.

12.2 À l'issue de l'Abonnement

À l'issue de l'Abonnement, qu'elle qu'en soit la cause, et conformément à l'article 9 des CGS, le Cabinet dispose d'un délai de soixante (60) jours pour exporter ses données depuis la Plateforme. À l'expiration de ce délai, l'ensemble des Données à Caractère Personnel est supprimé de manière définitive et irréversible des systèmes d'Athéna Pilote, sous réserve du service d'archivage prolongé optionnel prévu à l'article 9.4 des CGS et des durées de conservation impératives prévues par la loi.

Athéna Pilote pourra fournir au Cabinet, sur demande, une attestation de suppression des Données à Caractère Personnel.

Athéna Pilote tient à jour un registre des activités de traitement effectuées pour le compte du Cabinet, conformément à l'article 30.2 du RGPD. Ce registre comprend notamment :

• le nom et les coordonnées du responsable de traitement (le Cabinet) et du sous-traitant (Athéna Pilote) ;
• les catégories de traitements effectués ;
• le cas échéant, les transferts vers des pays tiers ;
• une description générale des mesures de sécurité techniques et organisationnelles.

Sur demande motivée du Cabinet ou de l'autorité de contrôle compétente, Athéna Pilote met à disposition les informations pertinentes du registre.

La présente DPA prend effet à la date d'acceptation des CGS par le Cabinet et demeure en vigueur pendant toute la durée de l'Abonnement, ainsi que pendant la durée nécessaire à la suppression effective des Données à Caractère Personnel à l'issue de l'Abonnement.

Les obligations de confidentialité, les obligations relatives à la suppression des Données à Caractère Personnel et les obligations relatives aux audits demeurent en vigueur après la cessation de l'Abonnement, dans les conditions prévues par la présente DPA.

Pour toute question relative au traitement des Données à Caractère Personnel, à l'exercice des droits des personnes concernées, ou aux obligations résultant de la présente DPA, le Cabinet peut adresser sa demande au délégué à la protection des données d'Athéna Pilote :

Adresse électronique : dpo@athena-pilote.com

Adresse postale : Aven Conseil et Stratégie, à l'attention du DPO, 253 boulevard de Leeds, 59777 Lille, France

Le Cabinet dispose en outre du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris, ou auprès de l'autorité de contrôle compétente de son lieu d'établissement.

A1.1 Objet du traitement

Fourniture par Athéna Pilote au Cabinet de la Plateforme Athéna Pilote (incluant les modules Athéna Connect, Adviser un point un, Athéna IA, Marché Athéna et Compthello) et des services associés, conformément aux CGS et aux CGU.

A1.2 Catégories de personnes concernées

• les Utilisateurs du Cabinet (Experts-Comptables, Managers, Collaborateurs) ;
• les Clients Finaux du Cabinet (entreprises) et leurs représentants légaux, dirigeants, salariés, prestataires et fournisseurs identifiables ;
• toute personne physique dont les Données à Caractère Personnel apparaissent dans les documents comptables, factures, échanges et autres pièces traités via la Plateforme.

A1.3 Catégories de Données à Caractère Personnel

• identité et coordonnées : civilité, nom, prénom, adresse postale, adresse électronique, numéro de téléphone ;
• données professionnelles : fonction, employeur, coordonnées professionnelles, données comptables et financières associées aux personnes concernées (rémunérations, charges, transactions) ;
• données administratives et légales : numéro SIREN, numéro SIRET, code NAF, identifiants fiscaux et sociaux ;
• données d'usage et de connexion : journaux de connexion, données d'horodatage, données de consommation des fonctionnalités, métadonnées comportementales.

Les Parties confirment que la Plateforme n'est pas conçue pour traiter des Données à Caractère Personnel relevant des catégories particulières au sens de l'article 9 du RGPD.

A1.4 Localisation des traitements

L'ensemble des Données à Caractère Personnel est traité et hébergé exclusivement au sein de l'Union européenne, sur les infrastructures de Google Cloud EMEA Limited (région multi-régionale européenne « eur3 ») et, le cas échéant, des autres sous-traitants ultérieurs visés à l'article 9 de la présente DPA.

A1.5 Finalités des traitements

• fourniture de la Plateforme et de ses fonctionnalités au Cabinet ;
• hébergement et stockage chiffré des données ;
• exécution des moteurs Athéna Connect, Adviser un point un et Athéna IA ;
• fourniture de Compthello aux Clients Finaux du Cabinet ;
• fourniture des services de paiement Stripe Connect et de signature électronique Yousign ;
• support technique du Cabinet et résolution des incidents.

A1.6 Durées de conservation des Données à Caractère Personnel

Les Données à Caractère Personnel sont conservées pendant toute la durée de l'Abonnement, augmentée du délai de soixante (60) jours d'export gratuit prévu à l'article 9.3 des CGS, sous réserve du service d'archivage prolongé optionnel prévu à l'article 9.4 des CGS.

Au-delà, les Données à Caractère Personnel sont supprimées définitivement, sous réserve des durées de conservation impératives prévues par la loi (notamment en matière comptable, fiscale et de prescription).

Athéna Pilote met en œuvre les mesures techniques et organisationnelles suivantes, conformes à l'état de l'art à la date de leur mise en œuvre, pour assurer la protection des Données à Caractère Personnel. Ces mesures sont susceptibles d'évolution dans le respect du niveau de sécurité global décrit, sans que ces évolutions ne puissent entraîner une dégradation du niveau de sécurité.

A2.1 Mesures de chiffrement

• chiffrement des données au repos sur les infrastructures de stockage (BigQuery, Firestore), conformément à l'état de l'art ;
• chiffrement en transit par TLS 1.2 ou supérieur pour toutes les communications entre les Utilisateurs et la Plateforme ;
• gestion sécurisée des clés de chiffrement, avec rotation périodique.

A2.2 Mesures de contrôle d'accès

• authentification systématique des Utilisateurs par identifiant et mot de passe ;
• recommandation et possibilité d'activation de l'authentification à deux facteurs ;
• politique de gestion des accès reposant sur le principe du moindre privilège côté collaborateurs Athéna Pilote ;
• révocation systématique des accès en cas de départ ou de changement d'affectation ;
• journalisation des accès humains exceptionnels aux Données à Caractère Personnel, conservée pendant au moins douze (12) mois.

A2.3 Mesures de cloisonnement

• cloisonnement humain renforcé : dans le cadre du fonctionnement standard de la Plateforme, les collaborateurs d'Athéna Pilote n'accèdent pas en clair aux balances comptables, tables clients, écritures détaillées et échanges Compthello entre le Cabinet et ses Clients Finaux. Des accès humains exceptionnels demeurent possibles dans les cas strictement encadrés énoncés à l'article 8 des CGU et à l'article 6 de la présente DPA, et font l'objet d'une journalisation systématique ;
• confidentialité renforcée du contenu des conversations entre les Utilisateurs et Athéna IA : aucun accès humain à ce contenu dans le cadre du fonctionnement standard, et engagement contractuel de non-utilisation de ce contenu pour l'entraînement ou le perfectionnement des modèles d'intelligence artificielle de la Plateforme ;
• isolation logique des données entre Cabinets utilisateurs.

A2.4 Mesures de protection contre les attaques

• dispositifs de protection contre les attaques par déni de service distribué (DDoS) au niveau de l'infrastructure cloud ;
• filtrage applicatif (WAF) ;
• test d'intrusion réalisé au moins une fois par an par un tiers indépendant ;
• revue de code et de configuration de sécurité régulière.

A2.5 Mesures de continuité

• sauvegardes automatiques régulières des Données à Caractère Personnel ;
• réplication géographique au sein de l'Union européenne ;
• plan de continuité d'activité et de reprise après sinistre tenu à jour.

A2.6 Mesures organisationnelles

• formation du personnel d'Athéna Pilote aux exigences du RGPD et aux bonnes pratiques de sécurité ;
• engagement contractuel de confidentialité de l'ensemble des collaborateurs ;
• désignation d'un délégué à la protection des données (DPO) joignable à l'adresse dpo@athena-pilote.com ;
• politique de gestion des incidents de sécurité, avec procédure de notification au Cabinet dans les soixante-douze (72) heures ;
• registre des activités de traitement tenu à jour conformément à l'article 30.2 du RGPD.

La présente liste n'est pas exhaustive. Elle décrit les principales mesures mises en œuvre à la date de signature de la présente DPA. Athéna Pilote s'engage à maintenir un niveau de sécurité au moins équivalent et à adapter les mesures à l'évolution de l'état de l'art, des risques identifiés et de la réglementation applicable.