Accord de Traitement des Données
Dernière mise à jour 11 mai 2026
Le présent Accord de Traitement des Données ("ATD") est conclu entre l'entité identifiée comme Responsable du traitement dans le bon de commande ou le contrat de service applicable ("Responsable") et PZX (CNPJ: 62.054.402/0001-26), dont le siège est situé dans l'État de São Paulo, Brésil ("Sous-traitant"), et fait partie intégrante du contrat régissant l'utilisation de Konn ("Contrat").
1. Définitions
"Données Personnelles" désigne toute information relative à une personne physique identifiée ou identifiable, telle que définie par la Loi Générale brésilienne sur la Protection des Données (LGPD, Loi n° 13.709/2018).
"Traitement" désigne toute opération effectuée sur des Données Personnelles, y compris la collecte, le stockage, l'utilisation, l'accès, la transmission et la suppression.
"Responsable" désigne la personne physique ou morale qui détient le pouvoir de décision sur le Traitement des Données Personnelles.
"Sous-traitant" désigne la personne physique ou morale qui traite les Données Personnelles pour le compte du Responsable, conformément aux instructions de ce dernier.
"Personne Concernée" désigne la personne physique à laquelle se rapportent les Données Personnelles.
"Sous-traitant Ultérieur" désigne tout tiers engagé par le Sous-traitant pour traiter des Données Personnelles pour le compte du Responsable.
"Services" désigne la plateforme Konn et toutes les fonctionnalités associées mises à disposition par PZX en vertu du Contrat.
2. Champ d'application et relation entre les parties
Le présent ATD régit le traitement des Données Personnelles par PZX en sa qualité de Sous-traitant, pour le compte du Responsable, dans le cadre de la fourniture des Services.
Le Responsable détermine les finalités et les moyens du traitement. PZX traite les Données Personnelles uniquement pour fournir et exploiter les Services, conformément aux instructions du Responsable figurant dans le présent ATD et dans le Contrat.
3. Nature, finalité et durée du traitement
Nature : stockage, organisation, indexation, traitement sémantique, récupération et affichage du contenu soumis par le Responsable et ses utilisateurs autorisés.
Finalité : fourniture de la plateforme Konn, incluant la gestion documentaire, le graphe de connaissances, la recherche sémantique et les fonctionnalités contextuelles assistées par IA.
Durée : pour la durée du Contrat. Lors de la résiliation, les dispositions de la Section 12 s'appliquent.
4. Catégories de Données Personnelles et de Personnes Concernées
Les catégories de Données Personnelles traitées en vertu du présent ATD dépendent du contenu soumis par le Responsable. Elles peuvent inclure, sans s'y limiter :
Données d'identification et de contact : noms, adresses e-mail et informations professionnelles des utilisateurs du Responsable et de toute personne mentionnée dans le contenu téléversé ;
Données organisationnelles : structures d'équipes, rôles et communications internes ;
Données de contenu : documents, notes et entrées de connaissances pouvant contenir des Données Personnelles concernant les employés, les clients ou les tiers du Responsable.
Le Responsable reconnaît que PZX ne peut ni contrôler ni anticiper les catégories de Données Personnelles contenues dans le contenu téléversé sur les Services. Le Responsable est tenu de garantir que toutes les Données Personnelles soumises aux Services disposent d'une base juridique valide pour le traitement en vertu de la législation applicable.
Les Personnes Concernées sont principalement les employés et utilisateurs autorisés du Responsable, et potentiellement des tiers dont les données figurent dans le contenu téléversé par le Responsable.
5. Obligations du Sous-traitant
PZX, en sa qualité de Sous-traitant, s'engage à :
5.1 Suivre les instructions : traiter les Données Personnelles uniquement sur instructions documentées du Responsable, sauf si la législation applicable l'exige. PZX informera le Responsable s'il estime qu'une instruction enfreint la législation applicable, avant de procéder.
5.2 Confidentialité : veiller à ce que le personnel autorisé à traiter les Données Personnelles soit soumis à des obligations de confidentialité.
5.3 Sécurité : mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles, comme décrit à la Section 8.
5.4 Sous-traitants Ultérieurs : engager des Sous-traitants Ultérieurs uniquement conformément à la Section 7.
5.5 Droits des Personnes Concernées : assister le Responsable dans la réponse aux demandes d'exercice des droits des Personnes Concernées, comme décrit à la Section 9.
5.6 Suppression : supprimer ou restituer les Données Personnelles à la résiliation, comme décrit à la Section 12.
5.7 Audit : mettre à disposition les informations nécessaires pour démontrer la conformité au présent ATD, comme décrit à la Section 11.
5.8 Notification d'incident : notifier le Responsable sans retard injustifié, et au plus tard 72 heures après en avoir pris connaissance, de tout incident de sécurité confirmé concernant des Données Personnelles traitées en vertu du présent ATD. La notification précisera la nature de l'incident, les catégories et le nombre approximatif de Personnes Concernées, les conséquences probables et les mesures prises ou proposées.
6. Obligations du Responsable
Le Responsable s'engage à :
6.1 Base juridique : garantir que toutes les Données Personnelles soumises aux Services disposent d'une base juridique valide pour le traitement en vertu de la législation applicable, y compris les données relatives à des tiers téléversées dans le cadre de documents ou de contenus de connaissances.
6.2 Exactitude : fournir des instructions précises et à jour et veiller à ce que les Données Personnelles soumises soient adéquates et pertinentes pour la finalité prévue.
6.3 Droits des Personnes Concernées : traiter les demandes des Personnes Concernées adressées au Responsable et se coordonner avec PZX lorsque l'assistance du Sous-traitant est requise.
6.4 Conformité : se conformer à toutes les lois applicables en matière de protection des données en sa qualité de Responsable, y compris l'obtention des consentements requis auprès des Personnes Concernées.
7. Sous-traitants Ultérieurs
7.1 Sous-traitants Ultérieurs actuels
Le Responsable autorise PZX à engager les Sous-traitants Ultérieurs suivants dans le cadre des Services :
Sous-traitant Ultérieur | Localisation | Finalité |
|---|---|---|
Amazon Web Services (AWS) | États-Unis | Infrastructure cloud et hébergement |
Cloudflare | États-Unis | Sécurité réseau, CDN et protection DDoS |
OpenAI | États-Unis | Traitement par modèles de langage IA et embeddings textuels |
Anthropic | États-Unis | Traitement par modèles de langage IA |
Stripe | États-Unis | Traitement des paiements et de la facturation |
Resend | États-Unis | Envoi d'e-mails transactionnels |
7.2 Sous-traitants Ultérieurs futurs
PZX pourra engager d'autres fournisseurs de modèles d'IA (y compris, sans s'y limiter, des fournisseurs de services de reranking, d'embeddings ou de traitement audio) à mesure que les Services évoluent. PZX informera le Responsable de tout ajout ou remplacement prévu de Sous-traitants Ultérieurs au moins 30 jours à l'avance.
Le Responsable pourra s'opposer à un nouveau Sous-traitant Ultérieur pour des motifs raisonnables liés à la protection des données en notifiant PZX par écrit dans un délai de 15 jours à compter de la réception de la notification. Si les parties ne parviennent pas à résoudre l'objection, le Responsable pourra résilier le Contrat sans pénalité, moyennant un préavis écrit de 30 jours.
7.3 Obligations des Sous-traitants Ultérieurs
PZX imposera à tous les Sous-traitants Ultérieurs des obligations en matière de protection des données équivalentes à celles énoncées dans le présent ATD. PZX reste responsable envers le Responsable de l'exécution des obligations des Sous-traitants Ultérieurs.
8. Mesures de sécurité
PZX met en œuvre les mesures techniques et organisationnelles suivantes pour protéger les Données Personnelles :
Chiffrement des données en transit (TLS) et au repos ;
Isolation des locataires : les données de chaque Responsable sont logiquement séparées de celles des autres locataires ;
Contrôle d'accès basé sur les rôles limitant l'accès au personnel autorisé ;
Surveillance et journalisation de sécurité ;
Revues d'accès périodiques.
PZX pourra mettre à jour ces mesures au fil du temps, à condition que les mises à jour ne réduisent pas substantiellement le niveau global de protection.
9. Droits des Personnes Concernées
PZX assistera le Responsable dans l'exécution de ses obligations de réponse aux demandes d'exercice des droits des Personnes Concernées en vertu de la législation applicable, y compris les demandes d'accès, de rectification, de suppression, de portabilité et d'opposition.
Le Responsable est chargé de recevoir et d'évaluer initialement les demandes des Personnes Concernées. Lorsque l'exécution d'une demande nécessite une action de la part de PZX, le Responsable soumettra la demande à PZX via le canal de contact indiqué à la Section 13. PZX répondra dans un délai de 15 jours ouvrés.
10. Transferts internationaux de données
Les Données Personnelles traitées en vertu du présent ATD peuvent être transférées et traitées dans des pays situés en dehors du Brésil, y compris aux États-Unis, où opèrent les Sous-traitants Ultérieurs de PZX. Ces transferts s'effectuent sur la base de garanties contractuelles adéquates, conformément à l'article 33 de la LGPD.
Pour les Responsables soumis au RGPD, les transferts vers des Sous-traitants Ultérieurs situés en dehors de l'Espace Économique Européen sont régis par les mécanismes de transfert applicables, y compris les Clauses Contractuelles Types lorsque cela est requis.
11. Droits d'audit
Sur demande écrite du Responsable, PZX mettra à disposition les informations raisonnablement nécessaires pour démontrer la conformité au présent ATD. PZX pourra remplir cette obligation en fournissant des certifications à jour, une documentation de sécurité ou des résumés de rapports d'audit.
Le Responsable pourra demander un audit sur site au maximum une fois par année civile, moyennant un préavis écrit d'au moins 30 jours et à ses propres frais. Tout audit doit être mené de manière à ne pas perturber les opérations de PZX ni à compromettre la sécurité ou la confidentialité des données d'autres clients.
12. Durée, résiliation et suppression des données
Le présent ATD reste en vigueur pendant la durée du Contrat.
À la résiliation ou à l'expiration du Contrat :
Le Responsable dispose de 30 jours pour exporter ses données depuis les Services ;
Passé ce délai, PZX supprimera toutes les Données Personnelles traitées en vertu du présent ATD dans un délai de 30 jours, y compris les copies détenues par les Sous-traitants Ultérieurs lorsque cela est techniquement faisable ;
PZX fournira une confirmation écrite de la suppression sur demande du Responsable ;
PZX pourra conserver les Données Personnelles au-delà de ce délai uniquement dans la mesure requise par la législation applicable, auquel cas les données resteront soumises aux obligations de confidentialité du présent ATD.
13. Responsabilité
La responsabilité de chaque partie en vertu du présent ATD est soumise aux limitations énoncées dans le Contrat. Rien dans le présent ATD ne limite la responsabilité de l'une ou l'autre partie pour les obligations qui ne peuvent être exclues ou limitées en vertu de la législation applicable en matière de protection des données.
14. Droit applicable
Le présent ATD est régi par les lois de la République Fédérative du Brésil, en particulier la LGPD (Loi n° 13.709/2018). Tout litige découlant du présent ATD qui ne peut être résolu à l'amiable sera soumis aux tribunaux du District de São Paulo, État de São Paulo.
15. Contact
Pour toute question relative au présent ATD, aux demandes d'exercice des droits des Personnes Concernées ou aux incidents de sécurité :
E-mail : [email protected]
Site web : pzx.app
Délégué à la Protection des Données :
Nom : Filipe Albuquerque Brauns Cazelgrandi
E-mail : [email protected]
Annexe A, Détails du traitement
La présente annexe complète la Section 3 et peut être mise à jour par accord écrit mutuel pour refléter les évolutions des Services.
Champ | Détails |
|---|---|
Objet | Gestion des connaissances organisationnelles via la plateforme Konn |
Nature du traitement | Stockage, indexation, recherche sémantique, récupération et génération assistées par IA |
Finalité | Fourniture des Services tels que décrits dans le Contrat |
Durée de conservation | Durée du Contrat, plus le délai de suppression prévu à la Section 12 |
Catégories de Personnes Concernées | Employés du Responsable, utilisateurs autorisés et tout tiers mentionné dans le contenu téléversé |
Catégories de Données Personnelles | Telles que décrites à la Section 4 ; les catégories réelles dépendent du contenu soumis par le Responsable |