Annexe DPA / Sous-traitance RGPD – Xaiahub

Version en vigueur au 14 mars 2026

La présente Annexe relative au traitement des données à caractère personnel, ci-après l’« Annexe DPA », fait partie intégrante :

  • des Conditions Générales de Vente de Xaiahub ;
  • des Conditions Générales d’Utilisation de Xaiahub ;
  • de toute commande, souscription, devis, bon de commande ou contrat conclu entre les parties.

Elle s’applique à tout traitement de données à caractère personnel effectué par Xaiahub pour le compte du Client dans le cadre des Services fournis via la plateforme Xaiahub.

Entre :

WWW.XAIAHUB.COM, exploitant la plateforme Xaiahub,
SASU,

dont le siège social est situé [adresse complète],
email : administration@xaiahub.com,
ci-après désignée « Xaiahub » ou le « Sous-traitant »,

Et :

tout client personne morale ou physique ayant souscrit un ou plusieurs Services Xaiahub et déterminant les finalités et moyens des traitements réalisés pour ses propres besoins,
ci-après désigné le « Client » ou le « Responsable de traitement ».

En cas de contradiction entre la présente Annexe DPA et un autre document contractuel, la présente Annexe DPA prévaut pour tout ce qui concerne la protection des données à caractère personnel traitées par Xaiahub pour le compte du Client.

Article 1 – Objet

La présente Annexe DPA a pour objet de définir les conditions dans lesquelles Xaiahub s’engage à traiter des données à caractère personnel pour le compte du Client, en qualité de sous-traitant, dans le respect de la réglementation applicable en matière de protection des données personnelles, et notamment du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi française applicable.

Elle encadre notamment :

  • l’objet, la durée, la nature et la finalité des traitements confiés ;
  • les catégories de données et de personnes concernées ;
  • les instructions documentées du Client ;
  • les engagements de confidentialité et de sécurité ;
  • les conditions de recours à des sous-traitants ultérieurs ;
  • l’assistance fournie par Xaiahub au Client ;
  • la gestion des violations de données ;
  • les audits ;
  • la réversibilité, la restitution et la suppression des données ;
  • les règles spécifiques applicables aux traitements impliquant des fonctionnalités d’intelligence artificielle.

Article 2 – Définitions

Au sens de la présente Annexe DPA :

Client : la personne morale ou physique qui utilise Xaiahub pour ses propres besoins et détermine les finalités et moyens des traitements.
Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
Personnes concernées : les personnes physiques dont les données sont traitées via les Services Xaiahub pour le compte du Client.
Services : les outils, modules, applications, interfaces, fonctionnalités, tableaux de bord, exports, API, services d’assistance ou modules d’IA fournis sous la marque Xaiahub.
Violation de données : toute violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé à de telles données.
Sous-traitant ultérieur : tout prestataire tiers auquel Xaiahub confie tout ou partie d’un traitement de données personnelles pour le compte du Client.

Article 3 – Qualification des rôles

3.1. Traitements réalisés en qualité de sous-traitant

Xaiahub agit en qualité de sous-traitant lorsque la plateforme traite, héberge, structure, affiche, organise, exporte, analyse ou restitue des données personnelles que le Client saisit, importe, transmet ou exploite via les Services pour ses propres finalités.

3.2. Traitements réalisés en qualité de responsable de traitement distinct

Xaiahub agit en qualité de responsable de traitement distinct pour ses propres traitements, notamment ceux liés :

  • à la gestion de la relation client ;
  • à la facturation ;
  • à l’authentification ;
  • à la sécurité de la plateforme ;
  • à la journalisation technique ;
  • à la prévention de la fraude ;
  • au support ;
  • aux obligations légales et réglementaires de Xaiahub.

Ces traitements ne relèvent pas de la présente Annexe DPA et sont régis par la Politique de confidentialité de Xaiahub.

3.3. Principe d’interprétation

Les parties reconnaissent que la qualification juridique d’un traitement dépend des finalités poursuivies et des moyens effectivement déterminés pour chaque traitement.

Article 4 – Description des traitements confiés

4.1. Services concernés

La présente Annexe DPA s’applique notamment aux modules Xaiahub suivants, selon ceux effectivement activés par le Client :

  • Générateur d’idées de dons
  • Générateur de QR code
  • Analyse des donateurs
  • Autodiagnostic Trésorerie
  • CRM Donateurs
  • Urgence Trésorerie
  • Audit & Stratégie
  • tout autre module, option, connecteur, tableau de bord, export ou fonctionnalité activé dans l’environnement du Client.

4.2. Finalités des traitements confiés

Les traitements confiés ont pour finalité exclusive :

  • l’exécution des Services souscrits par le Client ;
  • l’hébergement, l’affichage, l’organisation et l’exploitation des données dans la plateforme ;
  • la génération d’analyses, recommandations, synthèses, rapports, livrables, exports ou contenus ;
  • la production de tableaux de bord et historiques ;
  • la maintenance, la sécurité, la sauvegarde et la continuité du Service ;
  • l’assistance technique au Client.

4.3. Nature des opérations de traitement

Les opérations de traitement peuvent comprendre :

  • la collecte indirecte auprès du Client ;
  • l’enregistrement ;
  • l’organisation ;
  • la structuration ;
  • la conservation ;
  • la consultation ;
  • l’analyse ;
  • la segmentation ;
  • la génération de contenus ou recommandations ;
  • l’export ;
  • la transmission limitée à des sous-traitants ultérieurs autorisés ;
  • la suppression ;
  • l’anonymisation ;
  • la restitution.

4.4. Durée

Les données sont traitées :

  • pendant toute la durée du contrat ou de l’abonnement concerné ;
  • puis, le cas échéant, pendant la durée strictement nécessaire aux sauvegardes, à la sécurité, à la preuve, au support, aux obligations légales ou à la gestion des litiges ;
  • avant restitution, suppression ou anonymisation selon l’article 15 ci-dessous.

Article 5 – Catégories de personnes concernées et catégories de données

5.1. Personnes concernées

Selon le module utilisé, les personnes concernées peuvent être :

  • les dirigeants, salariés, bénévoles, administrateurs ou représentants du Client ;
  • les donateurs, prospects, sympathisants, adhérents, membres, contacts ou partenaires du Client ;
  • les utilisateurs autorisés du compte Xaiahub du Client ;
  • les contacts saisis dans les outils CRM ou d’analyse ;
  • les personnes figurant dans les données importées par le Client.

5.2. Catégories de données

Selon les Services activés, les données traitées peuvent comprendre :

  • données d’identification : nom, prénom, civilité, fonction ;
  • coordonnées : email, téléphone, adresse postale, structure de rattachement ;
  • données relationnelles : historique, notes, tags, segments, préférences, interactions ;
  • données de campagne : messages, prompts, contenus, scénarios, résultats de génération ;
  • données de dons et de collecte : montants, fréquences, historiques, segmentations, indicateurs ;
  • données d’organisation ou de trésorerie saisies par le Client ;
  • données de QR code et de statistiques liées aux scans, selon paramétrage ;
  • données de pilotage, de diagnostic et d’audit ;
  • métadonnées techniques, logs, identifiants applicatifs et journaux d’usage.

5.3. Données exclues par principe

Sauf accord écrit spécifique, nécessité justifiée et encadrement adapté, le Client s’interdit d’utiliser Xaiahub pour traiter :

  • des données de santé ;
  • des données biométriques ;
  • des données relatives aux opinions politiques, aux convictions religieuses ou à l’orientation sexuelle ;
  • des données relatives aux condamnations pénales et infractions ;
  • des données excessives au regard des finalités poursuivies ;
  • des données de mineurs lorsqu’un tel traitement n’est pas strictement nécessaire et juridiquement encadré.

Le Client s’engage à respecter un principe de minimisation : seules les données strictement nécessaires doivent être saisies dans Xaiahub.

Article 6 – Obligations du Client

Le Client, en qualité de responsable de traitement, s’engage à :

  • déterminer seul les finalités et moyens des traitements qu’il met en œuvre via Xaiahub ;
  • disposer d’une base légale valable pour les traitements concernés ;
  • informer les personnes concernées lorsque la réglementation l’exige ;
  • fournir à Xaiahub uniquement des instructions licites, claires et compatibles avec les Services ;
  • s’assurer de la qualité, de l’exactitude et de la pertinence des données transmises ;
  • ne transmettre que les données strictement nécessaires ;
  • ne pas demander à Xaiahub de réaliser un traitement contraire au RGPD ou à toute règle applicable ;
  • vérifier les résultats produits par les modules d’IA avant toute décision ou diffusion.

Le Client demeure seul responsable :

  • de la licéité de la collecte des données ;
  • de la licéité de leur importation dans Xaiahub ;
  • des décisions prises à partir des résultats produits ;
  • de la conformité de ses propres traitements.

Article 7 – Instructions documentées

Xaiahub ne traite les données personnelles du Client que sur instruction documentée du Client.

Constituent notamment des instructions documentées :

  • le contrat principal ;
  • les CGV et CGU de Xaiahub ;
  • la présente Annexe DPA ;
  • les réglages et activations réalisés par le Client dans l’interface ;
  • les demandes écrites adressées au support ou au service client de Xaiahub ;
  • toute documentation contractuelle complémentaire convenue entre les parties.

Si Xaiahub estime qu’une instruction enfreint la réglementation applicable en matière de protection des données, Xaiahub en informe le Client dans les meilleurs délais.

Sauf obligation légale contraire, Xaiahub ne transfère pas les données personnelles du Client vers un pays tiers ni à une organisation internationale sans instruction appropriée ou sans base juridique valide.

Article 8 – Confidentialité

Xaiahub veille à ce que les personnes autorisées à traiter les données personnelles pour l’exécution des Services :

  • soient soumises à une obligation contractuelle ou légale de confidentialité ;
  • n’accèdent qu’aux données strictement nécessaires à l’exécution de leurs missions ;
  • soient sensibilisées aux exigences de sécurité et de protection des données.

Xaiahub limite l’accès aux données du Client aux seules personnes habilitées ayant besoin d’y accéder pour l’exécution des Services, la maintenance, le support ou la sécurité.

Article 9 – Mesures de sécurité

Xaiahub met en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, au regard notamment de la nature des données traitées, de l’état de l’art, des coûts de mise en œuvre et des risques pour les droits et libertés des personnes concernées.

Ces mesures peuvent notamment inclure, selon l’architecture réellement déployée :

  • contrôle d’accès logique aux comptes et aux interfaces d’administration ;
  • gestion des habilitations ;
  • chiffrement des flux réseau via HTTPS/TLS ;
  • journalisation et supervision des événements techniques et de sécurité ;
  • cloisonnement logique des environnements ;
  • limitation des accès internes selon le principe du moindre privilège ;
  • mécanismes de sauvegarde et de restauration ;
  • déploiement de correctifs de sécurité ;
  • protection des accès administrateurs ;
  • procédures internes de gestion des incidents ;
  • sensibilisation des personnes habilitées ;
  • réévaluation périodique de la pertinence des mesures de sécurité.

Xaiahub peut faire évoluer ces mesures à tout moment pour maintenir un niveau de sécurité approprié.

Article 10 – Sous-traitants ultérieurs

10.1. Autorisation générale

Le Client autorise Xaiahub à recourir à des sous-traitants ultérieurs pour l’exécution des Services, notamment pour :

  • l’hébergement ;
  • l’envoi d’emails transactionnels ;
  • la supervision et les logs ;
  • les sauvegardes ;
  • les services d’infrastructure ;
  • les fournisseurs de modèles IA ;
  • les services de paiement ;
  • les outils de support ou d’assistance.

Xaiahub veille à imposer à chaque sous-traitant ultérieur des obligations de protection des données au moins équivalentes à celles prévues par la présente Annexe DPA.

10.2. Information en cas de changement

En cas d’ajout ou de remplacement d’un sous-traitant ultérieur impliqué dans le traitement des données du Client, Xaiahub informera le Client par tout moyen utile, notamment via email, espace client ou page dédiée, avant l’entrée en vigueur du changement, sauf urgence de sécurité ou nécessité opérationnelle impérieuse.

10.3. Objection motivée

Le Client peut formuler une objection raisonnable, spécifique et motivée liée à la protection des données. En l’absence de solution alternative raisonnable, chaque partie pourra mettre fin au Service concerné selon les modalités contractuelles applicables.

Article 11 – Transferts hors de l’Espace économique européen

Xaiahub privilégie, dans la mesure du possible, un traitement et un hébergement des données au sein de l’Espace économique européen.

Lorsqu’un transfert hors EEE est nécessaire pour l’exécution des Services, Xaiahub veille à ce qu’il soit encadré par un mécanisme juridique valide au titre du chapitre V du RGPD, notamment :

  • une décision d’adéquation, lorsque celle-ci existe ;
  • ou les clauses contractuelles types pertinentes de la Commission européenne ;
  • ou tout autre mécanisme valable applicable au moment du transfert.

Les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées depuis le 27 décembre 2022.

Xaiahub tient à disposition, sur demande raisonnable, les informations utiles sur les transferts applicables aux sous-traitants ultérieurs concernés, sous réserve de confidentialité et de sécurité.

Article 12 – Assistance relative aux droits des personnes concernées

Compte tenu de la nature du traitement, Xaiahub aide le Client, dans la mesure du possible et par des mesures techniques et organisationnelles appropriées, à répondre aux demandes d’exercice des droits des personnes concernées, notamment :

  • droit d’accès ;
  • droit de rectification ;
  • droit à l’effacement ;
  • droit à la limitation du traitement ;
  • droit d’opposition ;
  • droit à la portabilité, lorsque ce droit est applicable.

Si Xaiahub reçoit directement une demande relative à des données traitées pour le compte du Client, Xaiahub la transmet au Client dans les meilleurs délais, sauf obligation légale contraire.

Sauf instruction contraire du Client ou obligation légale, Xaiahub ne répond pas directement au fond de la demande à la place du Client.

Article 13 – Assistance sur la sécurité, les analyses d’impact et les consultations préalables

Compte tenu de la nature des traitements et des informations dont Xaiahub dispose, Xaiahub aide le Client, dans la mesure du possible, à satisfaire ses obligations concernant :

  • la sécurité du traitement ;
  • la réalisation d’analyses d’impact relatives à la protection des données ;
  • les consultations préalables de l’autorité compétente ;
  • l’évaluation des risques liés aux traitements confiés.

Cette assistance est fournie dans la limite :

  • du périmètre réel des traitements confiés ;
  • des fonctionnalités du Service ;
  • des informations disponibles chez Xaiahub ;
  • des moyens raisonnablement mobilisables.

Les demandes d’assistance nécessitant un travail substantiel, un accompagnement spécifique ou une intervention hors standard peuvent faire l’objet d’une facturation complémentaire raisonnable.

Article 14 – Violations de données personnelles

En cas de violation de données personnelles affectant des données traitées pour le compte du Client, Xaiahub notifie le Client dans les meilleurs délais après en avoir pris connaissance.

Dans la mesure du possible, cette notification comprendra :

  • la nature de la violation ;
  • les catégories de personnes concernées ;
  • les catégories de données concernées ;
  • le volume approximatif des personnes ou enregistrements concernés, si disponible ;
  • les conséquences probables de la violation ;
  • les mesures déjà prises ou proposées pour remédier à la violation ;
  • le point de contact utile chez Xaiahub.

Les parties conviennent que certaines informations peuvent être transmises de façon échelonnée lorsque toutes ne sont pas immédiatement disponibles.

Le Client demeure seul responsable, en tant que responsable de traitement, de décider :

  • s’il convient de notifier l’autorité de contrôle compétente ;
  • s’il convient d’informer les personnes concernées ;
  • et du contenu final de ces notifications.

Article 15 – Sort des données en fin de contrat

À l’expiration ou à la résiliation du contrat principal, et sauf obligation légale de conservation, Xaiahub :

  • restitue les données au Client dans un format raisonnablement exploitable lorsque cela est prévu par le Service ou demandé dans les délais contractuels ;
  • ou supprime les données ;
  • ou les anonymise de manière irréversible.

Sauf stipulation particulière :

  • le Client dispose d’un délai de 30 jours à compter de la fin effective du contrat pour demander une restitution complémentaire lorsque celle-ci n’est pas déjà disponible via l’interface ;
  • passé ce délai, Xaiahub peut supprimer ou anonymiser les données, sous réserve des sauvegardes résiduelles, journaux techniques et obligations légales de conservation ;
  • les sauvegardes résiduelles sont purgées selon les cycles techniques applicables à l’infrastructure.

Xaiahub n’est pas tenu de conserver indéfiniment les données d’un compte résilié.

Article 16 – Clause IA renforcée propre à Xaiahub

16.1. Finalité de l’IA

Certains Services Xaiahub utilisent des fonctionnalités d’intelligence artificielle pour produire des idées, synthèses, analyses, recommandations, contenus, rapports ou diagnostics.

16.2. Rôle de Xaiahub

Dans ce cadre, Xaiahub intervient comme sous-traitant du Client lorsque les données soumises à ces fonctionnalités d’IA sont traitées pour fournir le Service demandé par le Client.

16.3. Interdiction de réutilisation libre des données du Client

Xaiahub ne réutilise pas, pour son propre compte, les données personnelles traitées pour le compte du Client dans les modules d’IA afin d’entraîner un modèle généraliste, améliorer librement un moteur tiers ou constituer une base de données marketing, sauf accord exprès, préalable et écrit du Client.

16.4. Limitation des données à transmettre aux modules IA

Le Client s’engage à ne soumettre aux modules IA que les données strictement nécessaires à la finalité poursuivie.

Xaiahub recommande au Client :

  • d’éviter de transmettre des données sensibles ;
  • de pseudonymiser les données lorsque cela est possible ;
  • de ne pas inclure d’informations excessives dans les prompts ou champs libres ;
  • de vérifier les résultats produits avant toute diffusion ou décision.

16.5. Limites des résultats générés

Le Client reconnaît que les résultats générés par l’IA peuvent comporter des erreurs, biais, approximations ou omissions et doivent faire l’objet d’une validation humaine adaptée avant toute utilisation opérationnelle, juridique, financière, stratégique ou réglementaire.

Article 17 – Audit

Xaiahub met à disposition du Client les informations raisonnablement nécessaires pour démontrer le respect de ses obligations de sous-traitant.

Le Client peut demander un audit dans les conditions suivantes :

  • l’audit doit être pertinent, proportionné et directement lié aux traitements confiés ;
  • il doit être précédé d’un préavis écrit d’au moins 30 jours ;
  • il est limité à un audit par période de 12 mois, sauf incident grave, injonction d’une autorité compétente ou manquement objectivement sérieux ;
  • il ne doit pas perturber de manière excessive l’activité de Xaiahub ;
  • l’auditeur doit être soumis à une obligation stricte de confidentialité et ne pas être un concurrent direct de Xaiahub.

Xaiahub peut proposer, lorsque cela est suffisant, la communication de documents, questionnaires, attestations, politiques internes ou éléments de conformité en remplacement d’un audit sur site.

Chaque partie supporte ses propres coûts, sauf si l’audit révèle un manquement grave imputable à Xaiahub.

Article 18 – Documentation et preuve de conformité

Xaiahub tient à disposition du Client les informations raisonnablement nécessaires pour démontrer sa conformité aux obligations applicables en sa qualité de sous-traitant, dans des conditions compatibles avec :

  • la sécurité de la plateforme ;
  • la protection des autres clients ;
  • le secret des affaires ;
  • la confidentialité des procédures internes.

Cette mise à disposition peut prendre la forme :

  • d’une description des mesures de sécurité ;
  • d’une liste à jour des sous-traitants ultérieurs ;
  • de réponses à des questionnaires raisonnables ;
  • de politiques ou procédures internes ;
  • d’attestations ou documents équivalents lorsqu’ils existent.

Article 19 – Responsabilité

La présente Annexe DPA s’interprète à la lumière du contrat principal et de la réglementation applicable.

Sauf disposition impérative contraire, les limitations, exclusions et plafonds de responsabilité prévus au contrat principal s’appliquent à la présente Annexe DPA.

Aucune stipulation de la présente Annexe DPA ne saurait exclure une responsabilité qui ne pourrait être légalement écartée.

Article 20 – Contact RGPD

Pour toute question relative à la présente Annexe DPA, le Client peut contacter :

Xaiahub – Contact RGPD
Patrick LEBON
patrickolivierlebon@outlook.fr
Rue de NOVARA – 71100 CHALON SUR SAONE
DPO : Patrick LEBON

Article 21 – Droit applicable

La présente Annexe DPA est soumise au droit français, sous réserve des règles impératives du droit de l’Union européenne applicables en matière de protection des données.

Tout litige relatif à la présente Annexe DPA relève de la juridiction désignée dans le contrat principal, sous réserve des règles impératives applicables.

Annexe 1 – Fiche de description des traitements Xaiahub

1. Responsable de traitement

Le Client utilisateur de Xaiahub.

2. Sous-traitant

Xaiahub / WWW.XAIAHUB.COM

3. Services concernés

Selon abonnement et activation :

  • Générateur d’idées de dons
  • Générateur de QR code
  • Analyse des donateurs
  • Autodiagnostic Trésorerie
  • CRM Donateurs
  • Urgence Trésorerie
  • Audit & Stratégie
  • autres modules activés

4. Finalités

Fourniture des outils SaaS Xaiahub, génération d’analyses et de contenus, pilotage, visualisation, export, assistance, maintenance et sécurité.

5. Personnes concernées

Selon l’usage :

  • dirigeants, salariés, bénévoles, administrateurs ;
  • donateurs, prospects, sympathisants, membres ;
  • contacts, partenaires, prestataires ;
  • utilisateurs autorisés du Client.

6. Données traitées

Selon les modules :

  • identité ;
  • coordonnées ;
  • données relationnelles et CRM ;
  • données de dons et de collecte ;
  • données de campagne ;
  • données de trésorerie et de pilotage ;
  • données de scans et statistiques QR ;
  • prompts, contenus, historiques ;
  • logs techniques et identifiants applicatifs.

7. Durée

Durée du contrat + durées techniques, légales ou de sécurité nécessaires, avant suppression, restitution ou anonymisation.

Xaiahub traite certaines données personnelles pour le compte de ses clients, en qualité de sous-traitant, afin de fournir ses outils SaaS et ses fonctionnalités d’analyse, de CRM, de QR code, de trésorerie et d’IA. Xaiahub applique des mesures techniques et organisationnelles appropriées, encadre ses sous-traitants, notifie les violations de données dans les meilleurs délais et ne réutilise pas les données personnelles confiées par ses clients pour entraîner librement des modèles généralistes sans accord écrit préalable.

Le site et ses outils (plugins, générateurs, modules de trésorerie) sont des créations originales de [Votre Nom/Entreprise]. Ils ont fait l’objet d’un processus complet de R&D : étude documentaire des besoins associatifs, conception des arborescences, architecture technique via VS Code et PowerShell, intégration d’API et phases de tests itératifs.