Version 1.0, en vigueur au 4 juillet 2026. Le présent accord (le « DPA ») fait partie intégrante des Conditions Générales de Vente (CGV) de Critéa. Il est accepté en même temps qu'elles, lors de la création du compte ou de la souscription. En cas de contradiction entre les CGV et le DPA sur la protection des données, le DPA prévaut. Il est conclu entre la société MarketFrame (SAS), 199 Impasse de Beaurende, 43110 Aurec-sur-Loire (« MarketFrame »), et le Client. Le « Client » désigne tout professionnel souscrivant au service Critéa, qu'il s'agisse d'un évaluateur exerçant à titre indépendant (personne physique agissant à titre professionnel) ou d'un organisme évaluateur (personne morale). Lorsque le Client est un organisme, il est seul responsable de traitement, y compris pour les opérations réalisées dans Critéa par ses évaluateurs salariés ou sous-traitants, qui agissent sous son autorité. La personne physique qui accepte les CGV garantit avoir le pouvoir d'engager le Client. Si le Client utilise le service pour le compte d'un tiers responsable de traitement, il garantit être autorisé par ce tiers à confier les données concernées à MarketFrame dans les conditions du présent DPA, et demeure l'interlocuteur unique de MarketFrame.
1. Rôles des parties
Pour les contenus d'évaluation saisis ou déposés dans le service (documents institutionnels, notes, cotations, commentaires), le Client est responsable de traitement et MarketFrame agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le présent DPA régit ces traitements. Pour les données de compte, de contact, de facturation et de prospection de ses utilisateurs et clients, MarketFrame agit en qualité de responsable de traitement ; ces traitements sont décrits dans la Politique de confidentialité, accessible à l'adresse critéa.fr/confidentialite.
2. Objet, durée, nature et finalité du traitement
MarketFrame traite les données pour la seule finalité de fournir le service Critéa : préparation de la visite d'évaluation, cotation, aide à la rédaction assistée par IA, export au format Synaé. Le traitement dure pendant toute la durée du contrat d'abonnement ; à son terme, les données sont restituées puis supprimées dans les conditions de l'article 10. Description du traitement (annexe factuelle) : • Catégories de personnes concernées : agents des établissements cités dans les documents institutionnels déposés. • Catégories de données : documents institutionnels des établissements évalués, constats d'évaluation (notes, cotations, commentaires), données identifiantes résiduelles pseudonymisées. • Données sensibles : la saisie de données de santé ou de toute donnée permettant d'identifier une personne accompagnée est interdite au Client (CGV, article 10). En cas de dépôt non conforme, les mesures de purge prévues au présent DPA s'appliquent. • Nature des opérations : stockage, extraction de texte (OCR), pseudonymisation, mise en forme assistée par IA, export. • Durée : celle du contrat.
3. Instructions documentées
MarketFrame ne traite les données que sur instruction documentée du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale (article 12 du présent DPA) : l'utilisation du service et le paramétrage effectué par le Client valent instruction. Toute autre finalité est exclue, sauf obligation issue du droit de l'Union européenne ou du droit d'un État membre auquel MarketFrame est soumise ; dans ce cas, MarketFrame informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public. Si MarketFrame estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition relative à la protection des données, elle en informe immédiatement le Client (devoir d'alerte).
4. Interdiction de finalité propre et d'entraînement des modèles d'IA
MarketFrame n'utilise les données traitées pour le compte du Client à aucune finalité propre. En particulier, elle ne les utilise jamais pour entraîner, ré-entraîner, affiner (fine-tuning), évaluer ou améliorer un quelconque modèle d'intelligence artificielle, ni pour améliorer le produit Critéa. Les données du Client ne servent qu'à exécuter le service commandé. Toute réutilisation à une autre fin supposerait une autorisation écrite distincte du Client, un test de compatibilité des finalités et l'information des personnes concernées par le Client ; à défaut, elle est interdite. Cette interdiction est répercutée contractuellement sur les sous-traitants ultérieurs (article 7) : les fournisseurs de modèles d'IA (Anthropic, OpenAI, Mistral AI) sont tenus de ne pas entraîner leurs modèles sur les données transmises.
5. Confidentialité
MarketFrame veille à ce que les personnes autorisées à traiter les données du Client s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. L'accès aux données est limité aux personnes qui en ont besoin pour l'exécution du service.
6. Sécurité (article 32 du RGPD)
MarketFrame met en œuvre les mesures techniques et organisationnelles appropriées, notamment : • pseudonymisation automatique en trois couches, appliquée en mode bloquant (fail-closed) avant tout traitement IA réalisé hors de l'Union européenne ; • chiffrement des données en transit (HTTPS) et au repos ; • purge des documents source après extraction de leur contenu, avec preuve horodatée de la purge conservée dans un journal en ajout seul ; • journaux d'audit en ajout seul (non modifiables par les utilisateurs ni par les administrateurs applicatifs) ; • contrôle d'accès par rôle, double authentification (MFA), cloisonnement des données par organisation.
7. Sous-traitance ultérieure
Le Client autorise de manière générale le recours par MarketFrame à des sous-traitants ultérieurs pour l'exécution du service. La liste des sous-traitants ultérieurs, à jour au 4 juillet 2026, est la suivante : • Supabase, Inc. : base de données, authentification et stockage ; serveurs situés dans l'Union européenne (Irlande), société de droit américain ; clauses contractuelles types (UE) 2021/914. • Mistral AI : extraction de texte (OCR) et pseudonymisation complémentaire ; France / Union européenne. • Anthropic : mise en forme assistée par IA ; États-Unis ; clauses contractuelles types (UE) 2021/914 ; pas d'entraînement des modèles sur les données transmises. • OpenAI : recherche documentaire (embeddings) ; États-Unis ; clauses contractuelles types (UE) 2021/914 ; pas d'entraînement des modèles sur les données transmises. • Netlify : hébergement applicatif ; États-Unis ; clauses contractuelles types (UE) 2021/914. • Stripe : traitement des paiements (données de facturation, au titre du service dans son ensemble ; ne traite pas les contenus d'évaluation) ; États-Unis / Union européenne ; clauses contractuelles types (UE) 2021/914. • Resend, Inc. : envoi des emails transactionnels ; serveurs situés dans l'Union européenne (région eu-west-1), société de droit américain ; clauses contractuelles types (UE) 2021/914. • Google : authentification optionnelle et prise de rendez-vous (données de compte et de contact, au titre du service dans son ensemble ; ne traite pas les contenus d'évaluation) ; Union européenne / États-Unis ; clauses contractuelles types (UE) 2021/914. • Upstash : limitation de débit (adresses IP) ; clauses contractuelles types (UE) 2021/914. MarketFrame informe le Client au moins 30 jours avant tout ajout ou remplacement d'un sous-traitant ultérieur, par email ou par notification dans le service. Le Client peut formuler une objection motivée dans un délai de 30 jours à compter de cette information, à l'adresse contact@marketframe.fr ; le silence du Client vaut acceptation. À défaut d'accord sur une solution alternative raisonnable, le Client peut résilier la partie du service affectée par le changement, ce qui constitue son recours. MarketFrame impose contractuellement à chaque sous-traitant ultérieur des obligations équivalentes à celles du présent DPA et demeure pleinement responsable envers le Client de l'exécution de leurs obligations.
8. Assistance au Client
Compte tenu de la nature du traitement, MarketFrame assiste le Client, par des mesures techniques et organisationnelles appropriées, pour : • répondre aux demandes d'exercice des droits des personnes concernées : accès, rectification, effacement, limitation, opposition, portabilité ; • assurer le respect de ses obligations en matière de sécurité (article 32 du RGPD) ; • notifier les violations de données : en cas de violation de données à caractère personnel affectant les contenus du Client, MarketFrame notifie le Client sans délai injustifié et au plus tard 48 heures après en avoir pris connaissance, afin de préserver le délai de 72 heures dont dispose le Client à l'égard de la CNIL ; • réaliser les analyses d'impact relatives à la protection des données (article 35 du RGPD) et, le cas échéant, la consultation préalable de l'autorité de contrôle (article 36 du RGPD). L'information des personnes concernées dont les données ne sont pas collectées directement auprès d'elles (article 14 du RGPD), notamment les agents des établissements cités dans les documents déposés, incombe au Client, responsable de traitement. MarketFrame lui fournit les éléments nécessaires (finalités, catégories de données, sous-traitants ultérieurs, durées, transferts) pour remplir cette obligation.
9. Engagements du Client
Le Client s'engage à appliquer le principe de minimisation (article 5-1-c du RGPD) : ne déposer que les éléments nécessaires à l'évaluation, privilégier les documents institutionnels et pseudonymiser ce qu'il retranscrit. Conformément à l'article 10 des CGV, la saisie ou le dépôt dans le service de toute donnée de santé ou de toute donnée permettant d'identifier une personne accompagnée est strictement interdit, sans exception : les observations recueillies au cours de la visite, y compris dans le cadre de la méthode de l'accompagné traceur, se traitent en dehors de l'outil. Le Client garantit MarketFrame contre les conséquences d'un manquement à ces engagements (recours indemnitaire). MarketFrame conserve néanmoins ses obligations propres de sous-traitant (articles 28 et 32 du RGPD) et met en œuvre les mesures techniques prévues au présent DPA (pseudonymisation automatique partielle, avertissements au dépôt et à la saisie, purge des documents source), qui matérialisent son devoir d'alerte.
10. Sort des données en fin de contrat
Au terme du contrat, et selon le choix du Client, MarketFrame restitue les données (export) puis supprime l'ensemble des données à caractère personnel traitées pour le compte du Client, ainsi que toute copie existante, y compris auprès des sous-traitants ultérieurs, sauf obligation légale imposant leur conservation. Une certification de suppression est fournie sur demande. MarketFrame peut conserver les journaux de conformité et de supervision, qui ne contiennent aucun contenu de dossier, à des fins de preuve légale, pendant 5 ans.
11. Audit
Conformément à l'article 28-3-h du RGPD, MarketFrame met à la disposition du Client toutes les informations nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits. Le Client peut réaliser, à ses frais, au maximum une fois par an et moyennant un préavis écrit de 30 jours, un audit, y compris une inspection, directement ou par l'intermédiaire d'un auditeur qu'il mandate, non concurrent de MarketFrame et tenu à la confidentialité. L'audit ne doit pas compromettre la sécurité des données des autres clients de MarketFrame. MarketFrame contribue à ces audits.
12. Transferts hors de l'Union européenne
Les transferts de données vers des prestataires situés hors de l'Union européenne (article 7) sont encadrés par les clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914) conclues avec chacun des sous-traitants ultérieurs concernés. Une analyse d'impact de transfert est maintenue à jour. Une copie de ces garanties peut être obtenue sur demande à contact@marketframe.fr.
13. Dispositions finales
Le présent DPA prend effet à l'acceptation des CGV et demeure en vigueur pendant toute la durée du contrat. Il est régi par le droit français ; tout litige relatif à son interprétation ou à son exécution relève des tribunaux du ressort du siège social de MarketFrame, dans la mesure permise par la loi. En matière de protection des données, le présent DPA prévaut sur les CGV. Une version signée du présent DPA peut être fournie sur demande à contact@marketframe.fr.