Data Processing Agreement

Le présent accord est conclu entre :

• Le Responsable du traitement : l'utilisateur ou l'entité qui utilise le service corelayer0 pour exposer son API via un serveur MCP (ci-après « le Client »).
• Le Sous-traitant : iojik SAS, RCS Paris 994 122 018, éditeur du service corelayer0 (ci-après « iojik »).

Le présent DPA fait partie intégrante des Conditions Générales d'Utilisation de corelayer0 et s'applique dès lors que le Client traite des données à caractère personnel au sens du RGPD via le service.

iojik traite des données à caractère personnel pour le compte du Client dans le cadre strict de la fourniture du service corelayer0, à savoir :

• Le routage des requêtes MCP émises par les clients LLM du Client vers l'API cible du Client, et le renvoi des réponses.
• Le stockage chiffré des credentials d'authentification fournis par le Client pour accéder à son API cible (tokens porteurs statiques).
• La mise en cache temporaire des spécifications OpenAPI du Client pour la génération des outils MCP.

iojik n'accède pas au contenu des données personnelles transitant via le service, ne les analyse pas et ne les utilise à aucune autre fin que l'exécution du service.

À titre accessoire, iojik réalise des mesures d'audience anonymisées sur les pages publiques du service (tableau de bord et pages de consentement OAuth) via une instance Matomo auto-hébergée sans cookies. Aucun contenu de requête MCP ni payload API n'est jamais transmis à cet outil.

Le présent accord prend effet à la date d'acceptation des CGU par le Client et reste en vigueur jusqu'à la résiliation du compte ou la suppression des projets concernés. À l'issue, iojik supprime ou retourne les données conformément à l'article 9.

iojik s'engage à :

• Ne traiter les données personnelles que sur instruction documentée du Client, telle qu'exprimée par la configuration du service (endpoints activés, credentials fournis).
• Garantir la confidentialité des données traitées ; les personnes autorisées à les traiter sont soumises à une obligation de confidentialité.
• Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 7.
• Ne pas recruter de nouveau sous-traitant ultérieur sans en informer le Client (article 5).
• Assister le Client, dans la mesure du possible, pour satisfaire aux demandes d'exercice des droits des personnes concernées (article 8).
• Notifier le Client de toute violation de données dans les meilleurs délais et au plus tard dans les 72 heures suivant la prise de connaissance (article 6).
• Mettre à disposition les informations nécessaires pour démontrer le respect des obligations et permettre les audits (article 10).

Le Client autorise iojik à faire appel aux sous-traitants ultérieurs suivants :

En cas de modification de cette liste, iojik informera le Client par e-mail avec un préavis de 14 jours. Le Client dispose d'un droit d'opposition motivé.

En cas de violation de données à caractère personnel au sens de l'article 4.12 du RGPD, iojik notifiera le Client sans délai injustifié, et en tout état de cause dans les 72 heures suivant la prise de connaissance de l'incident, par e-mail à l'adresse associée au compte.

La notification comprendra, dans la mesure du possible : la nature de la violation, les catégories et nombre approximatif de personnes concernées, les mesures prises ou envisagées.

iojik met en œuvre les mesures suivantes :

• Chiffrement en transit : TLS sur l'ensemble des communications.
• Chiffrement au repos : secrets API chiffrés sous clés gérées par OVH KMS, une clé par projet.
• Tokens d'authentification stockés sous forme de hash, jamais en clair.
• Isolation logique par utilisateur et par projet.
• Infrastructure hébergée exclusivement dans des datacenters français (OVH Cloud).
• Accès aux systèmes de production restreint au personnel autorisé.

Si iojik reçoit directement une demande d'exercice de droits (accès, rectification, effacement, portabilité, opposition) émanant d'une personne concernée dont les données transitent via le service du Client, iojik en informera le Client dans les meilleurs délais afin qu'il puisse y répondre.

iojik n'est pas en mesure de répondre directement à ces demandes pour les données traitées pour compte du Client, sauf instruction expresse de ce dernier.

À l'issue de la relation contractuelle ou à la demande du Client :

• Les spécifications OpenAPI, configurations d'endpoints et credentials chiffrés sont supprimés dans les 30 jours.
• Les sauvegardes résiduelles sont purgées dans les 60 jours.
• Sur demande explicite, iojik peut fournir une confirmation écrite de suppression.

Le Client peut demander, une fois par an et avec un préavis de 30 jours, des informations permettant de vérifier le respect du présent accord. iojik répondra par écrit aux questionnaires de sécurité raisonnables.

Pour les besoins d'audit sur site, les parties conviennent des modalités d'un commun accord.

Le présent accord est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive des tribunaux de Paris.

Pour toute question relative au présent DPA : dpa@corelayer0.com