Accord de sous-traitance.

Data Processing Agreement (DPA) — Article 28 du RGPD

Dernière mise à jour : 11 mars 2026

Objet de cet accord

Le présent accord de sous-traitance (« DPA ») complète les Conditions Générales d'Utilisation et les Conditions Générales de Vente de Moon AI. Il définit les obligations de STELLARR STUDIO en tant que sous-traitant au sens de l'article 28 du RGPD, lorsqu'elle traite des données personnelles pour le compte de ses clients agissant en qualité de responsables de traitement.

1. Définitions

« Responsable de traitement » désigne le client (personne physique ou morale) qui détermine les finalités et les moyens du traitement de données personnelles via la plateforme Moon AI.

« Sous-traitant » désigne STELLARR STUDIO, qui traite des données personnelles pour le compte du responsable de traitement dans le cadre de la fourniture des services Moon AI.

« Sous-traitant ultérieur » désigne tout tiers auquel STELLARR STUDIO fait appel pour réaliser des opérations de traitement pour le compte du responsable de traitement.

« Données personnelles », « Traitement », « Violation de données » ont le sens qui leur est donné par le Règlement (UE) 2016/679 (RGPD).

2. Objet et durée

Le présent DPA a pour objet de définir les conditions dans lesquelles STELLARR STUDIO s'engage à effectuer, pour le compte du responsable de traitement, les opérations de traitement de données personnelles nécessaires à la fourniture des services Moon AI.

Le présent accord prend effet à la date d'acceptation des CGU par le client et reste en vigueur pendant toute la durée de la relation contractuelle. Les obligations relatives à la confidentialité et à la sécurité des données survivent à la fin du contrat.

3. Nature et finalité du traitement

STELLARR STUDIO traite des données personnelles dans le cadre de :

•La fourniture des services de chat IA multi-modèles
•La protection des données via Moon Guard (anonymisation automatique)
•La génération de documents et contenus
•L'exécution des workflows automatisés
•La gestion des comptes utilisateurs et des organisations
•Le support technique et la maintenance de la plateforme

4. Types de données et catégories de personnes concernées

Types de données traitées

• Données d'identification (nom, email)
• Données de connexion (adresse IP, logs)
• Contenus des conversations IA
• Documents générés et importés
• Données d'usage de la plateforme
• Données de facturation

Catégories de personnes concernées

• Utilisateurs de la plateforme Moon AI
• Membres d'organisations clientes
• Administrateurs de comptes
• Personnes dont les données sont contenues dans les contenus soumis par les utilisateurs

5. Obligations de STELLARR STUDIO en tant que sous-traitant

Conformément à l'article 28 du RGPD, STELLARR STUDIO s'engage à :

Instructions documentées — Traiter les données personnelles uniquement sur instruction documentée du responsable de traitement, y compris en ce qui concerne les transferts hors UE (art. 28(3)(a))

Confidentialité — Veiller à ce que les personnes autorisées à traiter les données personnelles s'engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité (art. 28(3)(b))

Sécurité — Prendre toutes les mesures requises en vertu de l'article 32 du RGPD pour assurer la sécurité des données (chiffrement, pseudonymisation, résilience, tests réguliers)

Sous-traitance ultérieure — Ne pas recruter un autre sous-traitant sans l'autorisation écrite préalable, générale ou spécifique, du responsable de traitement (art. 28(2)). La liste des sous-traitants ultérieurs est consultable à l'article 8 du présent accord

Assistance aux droits — Aider le responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation) (art. 28(3)(e))

Assistance conformité — Aider le responsable de traitement à garantir le respect de ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification de violations, analyses d'impact) (art. 28(3)(f))

Suppression ou restitution — Au choix du responsable de traitement, supprimer ou restituer toutes les données personnelles à la fin de la prestation, et détruire les copies existantes sauf obligation légale de conservation (art. 28(3)(g))

Audit — Mettre à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits (art. 28(3)(h))

6. Mesures de sécurité (Article 32 RGPD)

STELLARR STUDIO met en œuvre les mesures techniques et organisationnelles suivantes pour garantir un niveau de sécurité adapté au risque :

Chiffrement

TLS 1.3 en transit, AES-256 au repos

Anonymisation

Moon Guard : 5 couches avant envoi IA

Contrôle d'accès

RBAC, MFA, principe du moindre privilège

Hébergement

OVHcloud, serveurs en France / UE

Journalisation

Audit trail sur tous les accès

PRA / PCA

Plans de Reprise et de Continuité d'Activité opérationnels, supervisés par des experts (+30 ans d'expérience)

Les mesures de sécurité sont régulièrement testées, analysées et évaluées conformément à l'article 32(1)(d) du RGPD. Le détail des conformités est consultable sur notre centre légal.

7. Notification de violation de données

En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, STELLARR STUDIO s'engage à :

•Notifier le responsable de traitement dans les meilleurs délais et, en tout état de cause, dans un délai maximum de 48 heures après en avoir pris connaissance
•Documenter la nature de la violation, les catégories et le nombre de personnes concernées, les conséquences probables et les mesures prises ou proposées
•Coopérer avec le responsable de traitement pour l'aider à respecter ses obligations de notification auprès de la CNIL (art. 33) et, le cas échéant, des personnes concernées (art. 34)
•Remédier à la violation et prendre toutes les mesures nécessaires pour en atténuer les effets et prévenir sa récurrence

8. Sous-traitants ultérieurs

Le responsable de traitement autorise STELLARR STUDIO à faire appel aux sous-traitants ultérieurs listés ci-dessous pour les opérations de traitement nécessaires à la fourniture des services Moon AI. STELLARR STUDIO informera le responsable de traitement de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, lui donnant ainsi la possibilité d'émettre des objections (art. 28(2) RGPD).

Sous-traitant	Finalité	Localisation
OVHcloud	Hébergement infrastructure, serveurs GPU, DNS	France / UE
OpenAI	Fournisseur de modèles IA (API)	États-Unis *
Anthropic	Fournisseur de modèles IA (API)	États-Unis *
Google (Vertex AI)	Fournisseur de modèles IA (API)	UE / États-Unis *
OpenRouter	Routage et agrégation d'API de modèles IA	États-Unis *
Fireworks AI	Fournisseur de modèles IA (API)	États-Unis *
Stripe	Traitement des paiements	UE (Irlande)

* Pour les sous-traitants situés hors UE, des garanties appropriées sont mises en place (clauses contractuelles types de la Commission européenne, politique Zero Data Retention contractuellement imposée, anonymisation préalable via Moon Guard). Le détail des transferts est consultable dans notre politique de confidentialité.

9. Transferts hors UE

Lorsque le traitement implique un transfert de données personnelles vers un pays tiers (hors Espace Économique Européen), STELLARR STUDIO s'assure que des garanties appropriées sont en place conformément au chapitre V du RGPD :

•Clauses contractuelles types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914)
•Zero Data Retention : politique contractuellement imposée à tous les fournisseurs d'API — aucune donnée n'est conservée par les sous-traitants ultérieurs au-delà du temps strictement nécessaire au traitement de la requête
•Moon Guard : anonymisation automatique des données personnelles avant tout transfert vers les modèles d'IA
•Évaluation d'impact du transfert (TIA) : réalisée conformément aux recommandations du CEPD (EDPB) pour chaque sous-traitant ultérieur situé hors UE

10. Droit d'audit

Conformément à l'article 28(3)(h) du RGPD, STELLARR STUDIO met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect de ses obligations et permet la réalisation d'audits, y compris des inspections, par le responsable de traitement ou un auditeur qu'il a mandaté.

Les audits sont soumis aux conditions suivantes :

•Notification écrite au moins 30 jours à l'avance
•Réalisation pendant les heures ouvrables, sans perturbation des services
•Signature d'un accord de confidentialité par l'auditeur mandaté
•Limitation à un audit par an, sauf en cas de violation de données ou d'injonction d'une autorité de contrôle

STELLARR STUDIO informe immédiatement le responsable de traitement si, à son avis, une instruction viole le RGPD ou toute autre disposition applicable en matière de protection des données (art. 28(3) dernier alinéa).

11. Sort des données en fin de contrat

À l'expiration ou à la résiliation du contrat, et au choix du responsable de traitement exprimé par écrit, STELLARR STUDIO s'engage à :

Option A — Restitution

Restituer l'intégralité des données personnelles dans un format structuré, couramment utilisé et lisible par machine (art. 20 RGPD), dans un délai de 30 jours suivant la demande.

Option B — Suppression

Supprimer de manière sécurisée et irréversible toutes les données personnelles et toutes les copies existantes, dans un délai de 30 jours, sauf obligation légale de conservation.

À défaut de choix exprimé par le responsable de traitement dans les 60 jours suivant la fin du contrat, STELLARR STUDIO procèdera à la suppression sécurisée de l'ensemble des données personnelles. Un certificat de destruction sera fourni sur demande.

12. Registre des activités de traitement

Conformément à l'article 30(2) du RGPD, STELLARR STUDIO tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du responsable de traitement, comprenant :

•Le nom et les coordonnées du sous-traitant et du responsable de traitement
•Les catégories de traitements effectués
•Les transferts de données hors UE et les garanties appropriées
•Une description générale des mesures de sécurité techniques et organisationnelles

13. Responsabilité

Chaque partie est responsable de ses propres manquements au RGPD conformément aux articles 82 et 83 du Règlement. STELLARR STUDIO n'est responsable du dommage causé par le traitement que lorsqu'elle n'a pas respecté les obligations prévues par le RGPD qui incombent spécifiquement aux sous-traitants, ou lorsqu'elle a agi en dehors des instructions licites du responsable de traitement ou contrairement à celles-ci.

14. Droit applicable et juridiction

Le présent accord est régi par le droit français. En cas de litige relatif à l'interprétation ou l'exécution du présent accord, et à défaut de résolution amiable, les tribunaux du ressort du siège social de STELLARR STUDIO seront compétents, sans préjudice du droit de toute personne concernée de saisir l'autorité de contrôle compétente (CNIL) ou les juridictions de son lieu de résidence habituelle (art. 79 RGPD).

15. Contact

Pour toute question relative au présent accord de sous-traitance :

STELLARR STUDIO — Responsable de la protection des données

163 Rue du Canal, 27500 Pont-Audemer, France

Téléphone : +33 2 32 20 54 84

Email : contact@stellarrstudio.com

Sécurité : security@stellarrstudio.com

Cookie	Fournisseur	Finalité	Durée
moon-cookie-consent	moon-ai.fr	Stocke vos choix de consentement cookies (catégories, version, date, identifiant)	13 mois
moon-theme	moon-ai.fr	Mémorise votre préférence de thème (clair/sombre)	Permanent
PHPSESSID	moon-ai.fr	Identifiant de session serveur pour maintenir votre connexion	Session

Cookie	Fournisseur	Finalité	Durée
moon-banner-dismissed-*	moon-ai.fr	Mémorise la fermeture des bannières d'annonce pour ne pas les réafficher	Permanent
moon-sidebar-state	moon-ai.fr	Retient l'état d'ouverture/fermeture de la barre latérale (interface)	Session