Légal

Avenant Traitement des Données

Dernière mise à jour : 16 avril 2026

Document contractuel — version téléchargeable

Version 2.0 · Référence DPA-CONSIA-2026-04 · Entrée en vigueur le 16 avril 2026

Version2.0
RéférenceDPA-CONSIA-2026-04
Entrée en vigueur16 avril 2026

Version publique — noms des sous-traitants anonymisés

Ce DPA est présenté dans sa version publique. Les noms de nos partenaires techniques sont remplacés par des catégories fonctionnelles (« Fournisseur IA », « Hébergeur base de données », etc.) pour des raisons de confidentialité commerciale.

Pour recevoir la version complète co-signée avec les identités exactes de tous nos sous-traitants, faites-en la demande via notre formulaire de contact :

Demander le DPA complet

Le présent Avenant relatif au Traitement des Données à Caractère Personnel (ci-après l'« Avenant » ou le « DPA ») est conclu entre les soussignés :

D'une part — le Sous-traitant

DénominationConsia, nom commercial exploité par Legal Highlight
Forme juridiqueEntreprise individuelle — micro-entreprise
Siège6 Rue Jean Cocteau, 13200 Arles, France
SIREN888 133 766
SIRET888 133 766 00020
RCSTarascon — immatriculation du 09/08/2024
TVA intra.FR72 888 133 766
Contactcontact@consia.fr

Ci-après dénommé « Consia » ou le « Sous-traitant »,

Et d'autre part :

D'autre part — le Responsable de traitement

DénominationLe Client professionnel (cabinet d'avocats, entreprise, organisation) ayant accepté les Conditions Générales d'Utilisation de Consia et utilisant le Service dans le cadre du traitement de données à caractère personnel de tiers (clients, collaborateurs, parties à un litige).
IdentificationLes informations d'identification (dénomination, SIREN, siège, représentant légal) sont celles renseignées lors de la création du compte, ou complétées dans le bloc de signature en fin du présent Avenant.

Ci-après dénommé le « Client » ou le « Responsable de traitement ».

Consia et le Client sont ci-après désignés ensemble les « Parties » et individuellement la « Partie ».

Le présent DPA est réputé conclu et opposable dès l'acceptation des Conditions Générales d'Utilisation de Consia par le Client, dans la mesure où l'utilisation du Service implique le traitement, pour son compte, de données à caractère personnel de tiers. Pour les clients grands comptes, une version co-signée peut être établie sur demande écrite à contact@consia.fr.

Il est préalablement exposé ce qui suit :

Consia édite et exploite un service d'assistance à la recherche juridique par intelligence artificielle, accessible à l'adresse consia.fr (ci-après le « Service »), conformément aux Conditions Générales d'Utilisation accessibles à l'adresse consia.fr/legal/cgu.

Dans le cadre de l'utilisation du Service, le Client est susceptible de soumettre des questions textuelles contenant des données à caractère personnel relatives à ses propres clients, à des parties à un litige, ou à des tiers. Consia effectue alors, pour le compte du Client, un traitement de ces données au sens de l'article 4 du Règlement (UE) 2016/679 (« RGPD »).

Conformément à l'article 28 du RGPD, les Parties sont tenues de formaliser par écrit les conditions de ce traitement. Le présent Avenant a pour objet de remplir cette obligation.

Il a en conséquence été convenu ce qui suit :

Article 1 — Définitions

Les termes utilisés dans le présent Avenant avec une majuscule initiale ont le sens qui leur est donné ci-après, sans préjudice des définitions prévues à l'article 4 du RGPD qui s'imposent par ailleurs :

  • « RGPD » : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  • « Données » ou « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4, 1) du RGPD, que le Client soumet au Service ou qui est générée dans le cadre de son utilisation.
  • « Traitement » : toute opération ou ensemble d'opérations appliquées à des Données au sens de l'article 4, 2) du RGPD.
  • « Responsable de traitement » : le Client, qui détermine les finalités et les moyens du Traitement au sens de l'article 4, 7) du RGPD.
  • « Sous-traitant » : Consia, qui traite les Données pour le compte du Responsable de traitement au sens de l'article 4, 8) du RGPD.
  • « Sous-traitant ultérieur » : tout tiers auquel le Sous-traitant fait appel pour réaliser tout ou partie du Traitement pour le compte du Responsable de traitement, tel que listé à l'Annexe 2.
  • « Personne concernée » : la personne physique identifiée ou identifiable à qui se rapportent les Données.
  • « Violation » ou « Violation de Données » : violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données, au sens de l'article 4, 12) du RGPD.
  • « Service » : la plateforme Consia telle qu'accessible sur consia.fr et définie dans les CGU.
  • « Instructions documentées » : les instructions du Responsable de traitement telles qu'exprimées par l'utilisation du Service, les CGU applicables, le présent DPA, et toute instruction écrite ultérieure adressée à contact@consia.fr.

Article 2 — Objet et qualification du Traitement

Le présent Avenant a pour objet de définir les conditions dans lesquelles le Sous-traitant traite, pour le compte et sur Instructions documentées du Responsable de traitement, des Données à caractère personnel dans le cadre de la fourniture du Service.

Les Parties reconnaissent que :

  • Le Client agit en qualité de Responsable de traitement au sens de l'article 4, 7) du RGPD, dès lors qu'il détermine les finalités et les moyens du traitement des Données de ses propres clients ou tiers
  • Consia agit en qualité de Sous-traitant au sens de l'article 4, 8) du RGPD, traitant les Données uniquement sur Instructions documentées du Responsable de traitement et aux seules fins d'exécution du Service

Les caractéristiques détaillées du Traitement (nature, finalités, catégories de Données, catégories de Personnes concernées, durée) sont précisées à l'Annexe 1 du présent Avenant.

Article 3 — Durée

Le présent Avenant prend effet à la date d'acceptation des CGU par le Client (création du Compte) et demeure en vigueur pendant toute la durée de la relation contractuelle entre les Parties, jusqu'à la résiliation du Compte ou la cessation de l'utilisation du Service.

Les obligations de confidentialité, de suppression ou de restitution des Données et d'assistance (articles 6, 11 et 16 notamment) survivent à la cessation du présent Avenant pendant toute durée nécessaire à leur exécution.

Article 4 — Instructions documentées du Responsable de traitement

Le Sous-traitant ne traite les Données que sur les Instructions documentées du Responsable de traitement. Au sens du présent Avenant, constituent des Instructions documentées :

  • Les CGU acceptées par le Client à la création du Compte
  • Les termes du présent DPA
  • Les requêtes et questions soumises au Service par le Client via l'interface utilisateur
  • Toute instruction écrite ultérieure adressée par le Client à contact@consia.fr et explicitement acceptée par le Sous-traitant

Si le Sous-traitant estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou d'un État membre, il en informe immédiatement le Responsable de traitement et suspend l'exécution de l'instruction concernée.

Article 5 — Obligations du Sous-traitant

5.1 Confidentialité

Le Sous-traitant garantit que les personnes autorisées à traiter les Données (salariés, prestataires, sous-traitants ultérieurs) sont soumises à une obligation de confidentialité appropriée, par contrat ou par disposition légale, et reçoivent une formation adéquate à la protection des données.

5.2 Sécurité

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Le détail de ces mesures figure à l'Annexe 3.

5.3 Sous-traitants ultérieurs

Le Sous-traitant n'a recours qu'aux Sous-traitants ultérieurs préalablement autorisés et listés à l'Annexe 2. Toute modification de cette liste est régie par l'article 6 du présent Avenant.

5.4 Assistance au Responsable de traitement

Le Sous-traitant s'engage à assister le Responsable de traitement :

  • Dans le respect de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées (articles 12 à 22 du RGPD)
  • Dans le respect de ses obligations de sécurité, de notification des violations, d'analyse d'impact et de consultation préalable (articles 32 à 36 du RGPD)
  • En fournissant, sur demande écrite, toutes les informations nécessaires pour démontrer le respect des obligations du présent Avenant

5.5 Suppression ou restitution en fin de contrat

À l'expiration du présent Avenant et selon le choix du Responsable de traitement exprimé par écrit, le Sous-traitant supprime ou restitue l'ensemble des Données traitées pour son compte, et détruit les copies existantes, sauf obligation légale de conservation. À défaut d'instruction dans les 90 jours suivant la résiliation, les Données sont supprimées d'office.

Article 6 — Recours à des Sous-traitants ultérieurs

Le Responsable de traitement autorise expressément le Sous-traitant à faire appel aux Sous-traitants ultérieurs listés à l'Annexe 2 du présent Avenant.

Toute addition, substitution ou modification substantielle d'un Sous-traitant ultérieur fera l'objet d'une information préalable du Responsable de traitement au moins trente (30) jours avant sa mise en œuvre effective, par notification à l'adresse e-mail associée au Compte ou par publication dans le tableau de bord du Service.

Le Responsable de traitement dispose, durant ce délai, du droit motivé de s'opposer à cette modification. En cas d'opposition légitime maintenue après concertation, le Responsable de traitement peut résilier l'Avenant sans pénalité, avec un préavis de quinze (15) jours.

Le Sous-traitant demeure pleinement responsable envers le Responsable de traitement de l'exécution par les Sous-traitants ultérieurs de leurs obligations au titre du présent Avenant.

Article 7 — Transferts de Données hors Union européenne

Le traitement par intelligence artificielle est effectué exclusivement sur des serveurs certifiés ISO 27001 situés à Paris (France) et ne constitue pas un transfert hors Union européenne au sens du chapitre V du RGPD.

La base de données (Frankfurt), l'authentification (instance UE dédiée) et le monitoring (Frankfurt) sont hébergés en Union européenne.

L'hébergement applicatif (Vercel) et le paiement (Stripe) peuvent impliquer des transferts vers les États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (SCCs) approuvées par la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021
  • La certification Data Privacy Framework (DPF) UE-US pour Vercel et Stripe
  • Des mesures supplémentaires (chiffrement de bout-en-bout, absence de données sensibles dans les payloads Stripe et Vercel)

Article 8 — Droits des Personnes concernées

Le Responsable de traitement demeure seul responsable de la gestion des demandes d'exercice des droits formulées par les Personnes concernées (droit d'accès, de rectification, d'effacement, de limitation, d'opposition, de portabilité, articles 15 à 22 du RGPD).

Le Sous-traitant s'engage à transmettre sans délai au Responsable de traitement toute demande reçue directement d'une Personne concernée relative au Traitement, et à fournir, dans la mesure du possible et à sa charge, les outils techniques nécessaires (extraction, suppression, portabilité) pour permettre au Responsable de traitement de donner suite à la demande dans les délais légaux.

Article 9 — Sécurité et notification d'incidents

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 3 afin de garantir la confidentialité, l'intégrité, la disponibilité et la résilience du Service et des Données traitées.

En cas de Violation de Données à caractère personnel, le Sous-traitant notifie le Responsable de traitement sans délai injustifié et au plus tard dans les soixante-douze (72) heures suivant la prise de connaissance de l'incident, conformément à l'article 33 du RGPD.

La notification comprend a minima :

  • La nature de la Violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de Personnes concernées et de Données concernées
  • Les coordonnées du point de contact pour plus d'informations
  • Les conséquences probables de la Violation
  • Les mesures prises ou envisagées par le Sous-traitant pour remédier à la Violation et atténuer ses éventuelles conséquences

Article 10 — Audits et contrôles

Le Sous-traitant met à disposition du Responsable de traitement, sur demande écrite, toutes les informations nécessaires pour démontrer le respect des obligations du présent Avenant (rapports d'audit des sous-traitants ultérieurs, certifications ISO 27001, rapports de tests, politiques internes).

Le Responsable de traitement peut, au maximum une (1) fois par an et moyennant un préavis écrit d'au moins trente (30) jours, faire procéder à un audit du Sous-traitant, directement ou par un tiers qualifié mandaté par ses soins. Les modalités (date, durée, périmètre, confidentialité) sont définies d'un commun accord. Les frais afférents à l'audit sont à la charge du Responsable de traitement, sauf si l'audit révèle un manquement substantiel imputable au Sous-traitant.

Article 11 — Responsabilité et indemnisation

Conformément à l'article 82 du RGPD, chaque Partie est responsable des dommages causés par un traitement constituant une violation du RGPD qui lui est imputable.

La responsabilité du Sous-traitant ne peut être engagée que dans la mesure où il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants, ou lorsqu'il a agi en dehors des Instructions documentées du Responsable de traitement ou contrairement à celles-ci.

La limitation de responsabilité globale prévue à l'article 10 des Conditions Générales d'Utilisation s'applique intégralement au présent Avenant, dans la limite autorisée par la loi applicable. Pour mémoire, la responsabilité contractuelle et extracontractuelle cumulée du Sous-traitant est expressément plafonnée au montant total des sommes effectivement versées par le Responsable de traitement au Sous-traitant au titre des douze (12) mois précédant le fait générateur du dommage.

Article 12 — Confidentialité

Chaque Partie s'engage à considérer comme strictement confidentielles les informations de toute nature (commerciales, techniques, juridiques, opérationnelles) auxquelles elle aurait accès dans le cadre de l'exécution du présent Avenant et à ne pas les divulguer à des tiers, sauf obligation légale ou accord écrit préalable.

Cette obligation survit pendant cinq (5) ans à compter de la cessation du présent Avenant.

Article 13 — Cession et subrogation

Aucune Partie ne pourra céder, transférer, déléguer ou sous-licencier tout ou partie de ses droits et obligations au titre du présent Avenant sans l'accord préalable écrit de l'autre Partie, à l'exception des opérations de restructuration interne (fusion, scission, apport partiel d'actif) ou de cession de fonds de commerce par le Sous-traitant, sous réserve que le cessionnaire présente des garanties équivalentes.

Article 14 — Force majeure

Aucune Partie ne saurait être tenue responsable d'un manquement à ses obligations au titre du présent Avenant résultant d'un cas de force majeure au sens de l'article 1218 du Code civil, en ce compris, sans que cette liste soit limitative : catastrophe naturelle, épidémie, guerre, acte de terrorisme, grève, mouvement social, décision d'une autorité publique, défaillance généralisée d'Internet ou des réseaux de télécommunication, cyberattaque majeure contre un Sous-traitant ultérieur, panne prolongée d'un fournisseur cloud, IA ou d'authentification tiers.

Article 15 — Dispositions diverses

15.1 Divisibilité

Si l'une des dispositions du présent Avenant était déclarée nulle, inapplicable ou inopposable par une décision de justice définitive, les autres dispositions conserveraient leur plein effet.

15.2 Convention de preuve

Les Parties reconnaissent que les données électroniques échangées entre elles (e-mails, logs du Service, notifications dans l'interface) font foi entre elles de la même manière qu'un écrit sur support papier.

15.3 Langue du contrat

Le présent Avenant est rédigé en langue française, qui fait foi entre les Parties. Une traduction de courtoisie dans une autre langue pourra être fournie à titre informatif, sans valeur contractuelle.

15.4 Intégralité

Le présent Avenant, ensemble avec ses Annexes et les CGU, constitue l'intégralité de l'accord entre les Parties concernant l'objet traité. Il prévaut sur toute communication orale ou écrite antérieure.

15.5 Notifications

Toute notification au titre du présent Avenant est valablement adressée par e-mail à contact@consia.fr (pour le Sous-traitant) ou à l'adresse e-mail associée au Compte (pour le Responsable de traitement).

Article 16 — Droit applicable et juridiction

Le présent Avenant est régi par le droit français et le droit de l'Union européenne, notamment le RGPD.

En cas de différend relatif à la formation, l'interprétation, l'exécution ou la résiliation du présent Avenant, les Parties s'efforceront de rechercher une solution amiable avant toute action contentieuse. À défaut d'accord amiable dans un délai de trente (30) jours à compter de la notification du différend, le litige sera soumis à la compétence exclusive du Tribunal judiciaire de Tarascon (siège social du Sous-traitant), y compris en cas de pluralité de défendeurs, d'appel en garantie ou de procédure d'urgence.

Signatures

Le présent Avenant est conclu à la date d'acceptation des CGU par le Responsable de traitement. Pour les clients souhaitant une version co-signée (cabinets d'avocats grands comptes, entreprises avec DPO), les Parties peuvent compléter et parapher le bloc de signature ci-dessous, en deux exemplaires originaux, un pour chaque Partie.

Pour le Sous-traitant (Consia)

NomAndy AKHATAR
QualitéDirecteur — Legal Highlight
Fait àArles
Le16 avril 2026

Signature (précédée de la mention « Lu et approuvé »)

Signature Andy AKHATAR

Pour le Responsable de traitement

Nom 
Qualité 
Fait à 
Le 

Signature (précédée de la mention « Lu et approuvé »)

Annexe 1 — Description détaillée du Traitement

Caractéristiques du Traitement

Nature du traitementRéception, analyse, synthèse et reformulation par intelligence artificielle de questions textuelles soumises par le Responsable de traitement via l'interface du Service.
FinalitésAssistance à la recherche juridique et à la rédaction professionnelle — strictement limitée à l'exécution du Service décrit dans les CGU.
Catégories de DonnéesToute Donnée éventuellement contenue dans les questions textuelles soumises par le Responsable de traitement : noms, prénoms, faits, situations personnelles, éléments financiers, informations juridiques relatives à des tiers, mentionnés volontairement par le Client.
Catégories de Personnes concernéesClients du Responsable de traitement, parties à un litige, contreparties, témoins, tiers mentionnés dans les questions soumises.
Catégories particulières (art. 9 RGPD)Le Client s'engage à ne pas soumettre de Données sensibles au sens de l'article 9 du RGPD (origine raciale, opinions politiques, santé, orientation sexuelle, données biométriques) sauf base légale propre et information préalable du Sous-traitant.
Durée de conservationLes questions soumises à l'IA sont traitées en mémoire et ne font l'objet d'aucun dépôt persistant hors de la session. L'historique de conversation, s'il est activé par le Client, est conservé dans la base de données chiffrée jusqu'à suppression du Compte ou suppression explicite de la conversation.
DestinatairesLe Responsable de traitement lui-même (via son Compte), les Sous-traitants ultérieurs listés à l'Annexe 2 dans la stricte mesure nécessaire à l'exécution du Service.

Annexe 2 — Sous-traitants ultérieurs autorisés

La liste des Sous-traitants ultérieurs actuellement autorisés est la suivante. Toute modification est régie par l'article 6 du présent Avenant.

Sous-traitantRôleLocalisationGaranties
Fournisseur IATraitement IA (modèle de langage)France — ParisDPA RGPD + traitement intra-UE · ISO 27001 · SOC 2
Hébergeur base de donnéesBase de données PostgreSQL chiffréeAllemagne — FrankfurtDPA RGPD + hébergement zone UE · ISO 27001 · SOC 2
Prestataire authentificationAuthentification et gestion des sessionsEurope — instance UE dédiéeDPA RGPD + instance européenne · ISO 27001 · SOC 2
Prestataire supervisionSupervision d'erreurs applicatives (PII scrubbing)Allemagne — FrankfurtDPA RGPD + hébergement UE · SOC 2
Hébergeur applicatifHébergement applicatif, CDN et KMSPoints de présence européensClauses Contractuelles Types UE (art. 46 RGPD) + DPF · ISO 27001 · SOC 2
StripePaiement et facturationInternational (SCCs + Data Privacy Framework)Clauses Contractuelles Types UE + DPF · PCI DSS Level 1

Annexe 3 — Mesures techniques et organisationnelles (TOMs)

Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures suivantes pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des Données traitées.

A.3.1 Chiffrement

  • Chiffrement des données en transit : TLS 1.3 (obligatoire, HSTS activé)
  • Chiffrement des données au repos : AES-256-GCM au niveau applicatif sur la base de données et les sauvegardes
  • Chiffrement des communications inter-services (API internes, webhooks) par certificats TLS
  • Les secrets applicatifs (clés API, tokens) sont stockés dans les variables d'environnement chiffrées de Vercel (KMS)

A.3.2 Contrôle d'accès et authentification

  • Authentification obligatoire par compte nominatif (adresse e-mail + mot de passe fort 12+ caractères, ou lien magique)
  • Politique de mots de passe : 12 caractères minimum, complexité imposée (majuscule, minuscule, chiffre, spécial)
  • Déconnexion automatique après 30 jours d'inactivité
  • Contrôle d'accès par rôles (RBAC) — les administrateurs accèdent à l'infrastructure via clés SSH chiffrées et 2FA obligatoire
  • Application du principe du moindre privilège : chaque sous-traitant n'a accès qu'aux données strictement nécessaires à sa prestation
  • Isolation logique stricte : les données d'un compte utilisateur sont cloisonnées par `userId` et inaccessibles aux autres comptes

A.3.3 Sécurité de l'infrastructure

  • Infrastructure certifiée ISO 27001 et SOC 2 Type II (tous sous-traitants listés en Annexe 2)
  • Journalisation (audit logs) des accès administratifs à l'infrastructure et des opérations sensibles (connexions, suppressions de compte, changements de mot de passe)
  • Surveillance applicative temps réel pour détection des erreurs et incidents (PII scrubbing avant envoi)
  • Limitation de débit (rate-limit) et protection anti-abus au niveau de l'edge (Vercel)
  • Détection des bots au niveau du signup (validation des e-mails jetables, rate-limit IP)

A.3.4 Gestion des Données

  • Les questions soumises à l'intelligence artificielle sont traitées en mémoire et n'effectuent aucun dépôt persistant hors de la session
  • L'historique des conversations est conservé dans la base de données chiffrée, accessible uniquement à l'utilisateur propriétaire du compte
  • Sauvegardes chiffrées quotidiennes de la base de données, conservées 30 jours (point-in-time recovery)
  • Suppression des données utilisateur sur demande via l'interface (RGPD art. 17) ou via contact@consia.fr sous 30 jours
  • Export complet des données au format JSON sur demande (RGPD art. 15 — portabilité)

A.3.5 Gestion des incidents

  • Procédure écrite de réponse aux incidents de sécurité avec rôles et responsabilités définis
  • Notification au Responsable de traitement sans délai injustifié et au plus tard 72h après prise de connaissance d'une violation (RGPD art. 33)
  • Post-mortem systématique après tout incident majeur, avec mesures correctives documentées

A.3.6 Gouvernance et amélioration continue

  • Veille réglementaire continue (CNIL, EDPB, AI Act)
  • Revue annuelle des sous-traitants ultérieurs et de leurs garanties RGPD
  • Mise à jour régulière des dépendances logicielles (patches de sécurité sous 7 jours pour CVEs critiques)
  • Formation continue du responsable technique aux bonnes pratiques sécurité et RGPD
  • Conservation des preuves de conformité (journaux, DPAs sous-traitants, certifications) pendant au moins 5 ans

Cette liste de mesures est revue et mise à jour au moins une fois par an, ou à chaque évolution majeure du Service ou du cadre réglementaire applicable.

DPA Consia · Version 2.0 · Référence DPA-CONSIA-2026-04 · Entrée en vigueur le 16 avril 2026