Conditions Générales de sous-traitance de données à caractère personnel

Version en vigueur à compter de leur acceptation en ligne par l'Utilisateur.

LegalOps SRL, société à responsabilité limitée de droit belge, dont le siège social est établi 53 Rue de Wansijn, 1180 Uccle, inscrite auprès de la Banque-Carrefour des Entreprises sous le numéro 1029.306.887 et dont le numéro de TVA est BE 1029.306.887, ci-après dénommée « LegalOps » ou le « Sous-traitant » publie les présentes Conditions Générales de Sous-traitance de données à caractère personnel applicables à tout Utilisateur de JEF.CHAT.

Les présentes sont acceptées en ligne par l'Utilisateur dans le cadre de la procédure de création de compte de JEF.CHAT.

IL EST PRÉALABLEMENT EXPOSÉ CE QUI SUIT :

Le Règlement Général sur la Protection des Données à caractère personnel (ci-après « RGPD ») impose de formaliser dans un contrat les relations entre un Responsable du traitement et un Sous-traitant, conformément à son article 28.

L'Utilisateur utilise la solution d'assistant juridique intelligent fondée sur l'intelligence artificielle JEF.CHAT, développée et opérée par LegalOps. Dans le cadre de l'utilisation de JEF.CHAT, l'Utilisateur est amené à y injecter des Données à caractère personnel relatives à ses clients, aux parties adverses, aux témoins, aux experts ou à tout autre tiers impliqué dans ses dossiers, ainsi que tout document en contenant (ci-après « les personnes concernées »).

L'Utilisateur détermine seul les finalités et les moyens de ce traitement et agit en conséquence en qualité de Responsable du traitement au sens de l'article 4, 7° du RGPD.

LegalOps intervient exclusivement en qualité de sous-traitant purement technique. Elle opère la plateforme JEF.CHAT, en assure l'hébergement, la maintenance, la sécurité et le support technique, sans traiter les données de l'Utilisateur pour ses propres fins ni pour celles de tiers.

L'Utilisateur est par ailleurs a priori soumis au secret professionnel, consacré notamment par l'article 458 du Code pénal et par les règles déontologiques applicables à sa profession. Les présentes tiennent compte de cette contrainte particulière et y apportent les garanties appropriées.

Les présentes ont pour but de définir les conditions dans lesquelles LegalOps s'engage à effectuer, pour le compte de l'Utilisateur, les opérations de traitement de données à caractère personnel rendues nécessaires par la fourniture des Services JEF.CHAT.

IL EST ENSUITE DÉCIDÉ CE QUI SUIT :

Article 1 — Définitions

1.1. Aux fins des présentes, les termes suivants ont la signification ci-dessous. En cas de doute ou de conflit, les définitions énoncées dans la Législation applicable à la protection des données à caractère personnel prévaudront.

1.2. Il faut entendre par :

  • « Conditions Générales d'Octroi de Licence » : les Conditions Générales d'Octroi de Licence de la plateforme JEF.CHAT conclues entre LegalOps et l'Utilisateur, auxquelles les présentes sont liées sans en constituer une annexe.
  • « Données à caractère personnel » ou « Données » : toute information relative à une personne physique identifiée ou identifiable, telle que définie à l'article 4, 1° du RGPD, qui est transmise à LegalOps ou accessible à LegalOps dans le cadre de la fourniture des Services. Les catégories pertinentes sont énumérées à l'Annexe III.
  • « Espace Jef » : l'environnement de travail personnel ou partagé mis à disposition de l'Utilisateur au sein de la plateforme JEF.CHAT, incluant tout espace collaboratif auquel l'Utilisateur invite des tiers.
  • « Finalité autorisée » : toute finalité de traitement expressément décrite à l'Annexe I des présentes, correspondant aux opérations strictement nécessaires à la fourniture des Services par LegalOps.
  • « Incident de sécurité » ou « Violation de Données à caractère personnel » : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées, ou l'accès non autorisé à de telles Données.
  • « JEF.CHAT » : la solution d'assistant juridique intelligent fondée sur l'intelligence artificielle, développée et opérée par LegalOps, mise à disposition de l'Utilisateur dans le cadre des Conditions Générales d'Octroi de Licence.
  • « Législation applicable à la protection des données à caractère personnel » : le Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, ainsi que toute autre législation nationale ou européenne applicable en matière de protection des données, telle que modifiée ou complétée.
  • « LegalOps » ou « Sous-traitant » : LegalOps SRL, qui traite les Données à caractère personnel pour le compte du Responsable du traitement, conformément à l'article 4, 8° du RGPD, en sa qualité de prestataire technique de JEF.CHAT.
  • « Personne autorisée » : tout membre du personnel, agent, collaborateur ou prestataire de LegalOps habilité à accéder aux Données dans le cadre strict de la Finalité autorisée.
  • « Personne concernée » : toute personne physique dont les Données sont traitées par LegalOps pour le compte de l'Utilisateur, notamment les clients de l'Utilisateur, les parties adverses, les témoins, les experts ou tout autre tiers dont les données figurent dans les documents ou interactions injectés dans JEF.CHAT.
  • « Responsable du traitement » : l'Utilisateur, qui détermine seul les finalités et les moyens du traitement des Données qu'il injecte dans JEF.CHAT, conformément à l'article 4, 7° du RGPD.
  • « Services » : l'ensemble des fonctionnalités, prestations et opérations techniques assurées par LegalOps dans le cadre de JEF.CHAT, telles que décrites dans les Conditions Générales d'Octroi de Licence et à l'Annexe I de la présente convention.
  • « Sous-traitant ultérieur » : tout tiers auquel LegalOps recourt pour l'exécution de tout ou partie des opérations de traitement effectuées pour le compte de l'Utilisateur.
  • « Traitement » : toute opération ou tout ensemble d'opérations appliquées à des Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, l'extraction, la consultation, l'utilisation, la communication, la limitation, l'effacement ou la destruction, au sens de l'article 4, 2° du RGPD.
  • « Utilisateur » : toute personne physique ou morale ayant accepté les présentes et les Conditions Générales d'Octroi de Licence dans le cadre de l'utilisation de JEF.CHAT. L'Utilisateur peut être :
    • un avocat exerçant à titre individuel, identifié par son nom, prénom, adresse professionnelle ;
    • un cabinet d'avocats, société ou groupement professionnel, identifié par sa dénomination sociale, son siège social, son numéro d'entreprise et les coordonnées de son représentant légal.

1.3. Tous les termes commençant par une lettre majuscule non définis dans les présentes ont la signification qui leur est donnée dans les Conditions Générales d'Octroi de Licence ou dans la Législation applicable à la protection des données à caractère personnel.

Article 2 — Nature des présentes

Les présentes constituent un contrat indépendant.

Elles sont néanmoins liées aux Conditions Générales d'Octroi de Licence en ce qu'elles régissent les obligations de protection des données applicables dans le cadre de l'exécution des Services fournis.

Article 3 — Objet et portée des présentes

Les présentes ont pour objet de définir les conditions et obligations auxquelles LegalOps est tenu lorsqu'il traite des Données à caractère personnel pour le compte de l'Utilisateur — Responsable du Traitement — dans le cadre de la fourniture des Services JEF.CHAT.

Article 4 — Qualifications au regard du RGPD

4.1. Les Parties reconnaissent et conviennent que les qualifications suivantes s'appliquent au regard de la Législation applicable à la protection des données à caractère personnel :

  • L'Utilisateur agit en qualité de Responsable du traitement pour l'ensemble des Données à caractère personnel qu'il injecte dans JEF.CHAT, notamment les données figurant dans les documents téléchargés, les conversations, les requêtes ou tout autre contenu saisi dans la plateforme ;
  • LegalOps agit en qualité de Sous-traitant de l'Utilisateur pour l'ensemble des opérations de traitement rendues nécessaires par la fourniture des Services, telles que décrites à l'Annexe I.

4.2. LegalOps ne détermine à aucun moment les finalités ni les moyens du traitement des Données de l'Utilisateur.

Il traite les Données exclusivement sur instruction documentée de l'Utilisateur, conformément aux dispositions des présentes, et uniquement dans le cadre des Finalités autorisées décrites à l'Annexe I.

Article 5 — Finalités du traitement

5.1. LegalOps s'engage à ne traiter les Données que pour les Finalités autorisées suivantes, décrites en détail à l'Annexe I :

  • l'hébergement et le stockage des données nécessaires au fonctionnement de JEF.CHAT ;
  • l'exécution des requêtes et interactions de l'Utilisateur avec la plateforme ;
  • la maintenance corrective et évolutive de la plateforme ;
  • le support technique fourni à l'Utilisateur ;
  • la sécurité et la surveillance des systèmes ;
  • la sauvegarde et la restauration des données en cas d'incident.

5.2. LegalOps ne traite en aucun cas les Données pour ses propres fins ou d'entraînement de modèles d'intelligence artificielle ou pour les besoins de tiers, sauf instruction expresse et documentée de l'Utilisateur.

5.3. LegalOps informe sans délai l'Utilisateur s'il estime qu'une instruction donnée par celui-ci constitue une violation de la Législation applicable à la protection des données à caractère personnel, en motivant sa position. LegalOps peut, dans ce cas, suspendre l'exécution de l'instruction litigieuse dans l'attente d'une clarification de l'Utilisateur.

Article 6 — Obligations de LegalOps

6.1. LegalOps s'engage à :

  • Traiter les Données exclusivement sur instructions documentées de l'Utilisateur, sauf disposition contraire du droit de l'Union européenne ou du droit belge applicable à LegalOps, auquel cas LegalOps informe l'Utilisateur de cette obligation légale avant de procéder au traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  • Ne traiter les Données qu'aux Finalités autorisées et en aucun cas à ses propres fins ou à celles de tiers ;
  • Garantir la confidentialité des Données et s'assurer que toute Personne autorisée est soumise à une obligation stricte de confidentialité, contractuelle ou légale, et ne traite les Données que dans le cadre de la Finalité autorisée ;
  • Veiller à ce que les Personnes autorisées reçoivent une formation adéquate en matière de protection des données à caractère personnel ;
  • Ne pas accéder au contenu des Données de l'Utilisateur, notamment au contenu des documents, conversations et requêtes, sauf dans la stricte mesure nécessaire à l'exécution d'une opération de maintenance, de support ou de résolution d'incident, et uniquement sur demande ou avec l'accord préalable de l'Utilisateur, sauf urgence technique justifiée dûment documentée ;
  • Tenir un registre de l'ensemble des activités de traitement effectuées pour le compte de l'Utilisateur, conformément à l'article 30, paragraphe 2 du RGPD, et le tenir à la disposition de l'Autorité de protection des données ;
  • Mettre en œuvre les principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default), conformément à l'article 25 du RGPD ;
  • Coopérer activement avec l'Utilisateur et, le cas échéant, avec l'Autorité de protection des données, pour tout ce qui concerne le respect de la Législation applicable à la protection des données à caractère personnel.

Article 7 — Obligations de l'Utilisateur (Responsable du traitement)

7.1. L'Utilisateur s'engage à :

  • Respecter la Législation applicable à la protection des données à caractère personnel dans le cadre de l'utilisation de JEF.CHAT, et notamment s'assurer de la licéité du traitement des Données qu'il injecte dans la plateforme ;
  • Avoir dûment informé les Personnes concernées, conformément aux articles 13 et 14 du RGPD, de la possibilité que leurs données soient traitées dans le cadre de JEF.CHAT par un sous-traitant technique tel que LegalOps ;
  • Respecter les obligations qui lui incombent au titre du secret professionnel de l'Utilisateur, et n'injecter dans JEF.CHAT que les données dont le traitement via la plateforme est compatible avec ses obligations déontologiques et légales ;
  • Ne pas injecter dans JEF.CHAT des données appartenant à des catégories particulières au sens de l'article 9 du RGPD (données de santé, données relatives aux condamnations pénales, etc.) sans s'être préalablement assuré de l'existence d'une base légale appropriée et de la compatibilité de ce traitement avec les mesures de sécurité mises en œuvre par LegalOps ;
  • Superviser le traitement sous-traité et, si nécessaire, procéder à des audits dans les conditions prévues à l'Article 14 ;
  • Collaborer avec LegalOps en cas de demandes d'exercice de droits de Personnes concernées, d'incidents de sécurité ou de toute autre situation nécessitant une coordination entre les Parties ;
  • Informer LegalOps de tout changement susceptible d'affecter le traitement des Données (nouvelle finalité, modification de la nature des données traitées, etc.).

7.2. Lorsque l'Utilisateur invite des tiers à accéder à son Espace Jef, que ce soit à titre de collaborateurs, associés, stagiaires, secrétaires ou toute autre personne, l'Utilisateur est seul et entièrement responsable des accès ainsi accordés, des données injectées par ces tiers dans l'Espace Jef et du respect par ces tiers de la Législation applicable à la protection des données à caractère personnel.

L'Utilisateur s'assure que toute personne invitée dans son Espace Jef a été dûment informée des présentes et en respecte les dispositions.

LegalOps ne saurait être tenu responsable des traitements réalisés par les personnes invitées par l'Utilisateur.

7.3. L'Utilisateur qui est un cabinet d'avocat ou une structure professionnelle veille à ce que l'ensemble des Utilisateurs, collaborateurs et membres de son personnel ayant accès à JEF.CHAT respectent les obligations des présentes.

Le cabinet d'avocat répond solidairement des manquements de ses membres.

Article 8 — Conservation des Données

8.1. LegalOps conserve les Données injectées par l'Utilisateur séparées de toute donnée injectée par un tiers ou par d'autres Utilisateurs de JEF.CHAT. En aucun cas, les Données injectées par l'Utilisateur ne peuvent être combinées, croisées ou mélangées avec des données appartenant à d'autres Responsables du traitement utilisant JEF.CHAT.

8.2. En cas de fin des présentes, quelle qu'en soit la cause, l'Utilisateur dispose d'un délai de trente (30) jours calendrier à compter de la date de résiliation pour exporter les Données qu'il a injectées dans JEF.CHAT via les fonctionnalités d'export mises à sa disposition.

À l'expiration de ce délai de trente (30) jours, LegalOps procède à l'effacement définitif de l'ensemble des Données injectées par l'Utilisateur.

8.3. LegalOps s'engage expressément à ne pas utiliser les Données injectées par l'Utilisateur pour entraîner, affiner, améliorer ou développer des modèles d'intelligence artificielle ou tout autre produit ou service, sans instruction documentée et préalable de l'Utilisateur.

Article 9 — Secret professionnel

9.1. LegalOps reconnaît que les Données traitées pour le compte de l'Utilisateur sont susceptibles d'être couvertes par le secret professionnel de l'Utilisateur, tel que consacré notamment par l'article 458 du Code pénal belge et les règles déontologiques applicables.

9.2. LegalOps s'engage à n'accéder aux Données, ni à les divulguer à quelque tiers que ce soit, sauf instruction expresse de l'Utilisateur ou obligation légale, dans le strict respect des exigences applicables en matière de secret professionnel.

9.3. En cas de demande émanant d'une autorité publique ou judiciaire tendant à la communication de Données couvertes par le secret professionnel, LegalOps en informe immédiatement l'Utilisateur, avant de donner suite à cette demande, sauf si la loi lui interdit expressément d'effectuer cette notification.

Article 10 — Mesures de sécurité

10.1. LegalOps s'engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté aux risques présentés par le traitement, conformément à l'article 32 du RGPD.

10.2. Ces mesures visent notamment à protéger les Données contre :

  • la destruction, la perte ou l'altération accidentelle ou illicite ;
  • la divulgation non autorisée ou l'accès non autorisé à ces Données.

10.3. Ces mesures comprennent notamment :

  • la pseudonymisation et le chiffrement des Données ;
  • les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement ;
  • les moyens permettant de rétablir la disponibilité et l'accès aux Données dans des délais appropriés en cas d'incident physique ou technique ;
  • une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures de sécurité.

10.4. Les mesures techniques et organisationnelles minimales mises en œuvre par LegalOps sont décrites à l'Annexe VI. LegalOps les adapte à l'évolution des technologies, des réglementations et des risques identifiés.

10.5. LegalOps garantit que l'ensemble de ses Personnes autorisées respectent les mesures de sécurité ainsi définies.

10.6. Sur demande écrite de l'Utilisateur, LegalOps lui fournit dans un délai raisonnable une description actualisée des mesures de sécurité mises en œuvre.

Article 11 — Sous-traitants ultérieurs

11.1. L'Utilisateur autorise LegalOps à recourir à des Sous-traitants ultérieurs pour l'exécution de tout ou partie des opérations de traitement nécessaires à la fourniture des Services, dans les conditions suivantes :

  • LegalOps impose à tout Sous-traitant ultérieur qu'il désigne des obligations en matière de protection des données au moins équivalentes à celles qui lui incombent en vertu de la présente convention ;
  • LegalOps demeure entièrement responsable envers l'Utilisateur de tout manquement du Sous-traitant ultérieur à ses obligations.

11.2. La liste des Sous-traitants ultérieurs approuvés à la date de la présente convention est fournie à l'Annexe V.

11.3. Si l'Utilisateur émet des objections, pour des motifs objectivement liés à la protection des données à caractère personnel, à la désignation d'un nouveau Sous-traitant ultérieur, les Parties s'engagent à se concerter de bonne foi dans un délai raisonnable afin d'examiner ces objections et de rechercher une solution appropriée.

11.4. À défaut d'accord dans un délai de trente (30) jours suivant la notification du refus, l'Utilisateur pourra, à son choix :

(a) accepter la désignation proposée, le cas échéant sous réserve de garanties supplémentaires ; ou

(b) résilier la présente convention et les Conditions Générales d'Octroi de Licence, sans pénalité de sa part.

Article 12 — Transferts hors Espace Économique Européen

12.1. LegalOps s'engage à ne pas transférer les Données, ni à autoriser un Sous-traitant ultérieur à transférer des Données, vers un pays ou territoire situé en dehors de l'Espace Économique Européen (« EEE »), sauf si ce pays ou territoire a fait l'objet d'une décision d'adéquation de la Commission européenne conformément à l'article 45 du RGPD.

12.2. Si un tel transfert s'avérait nécessaire, LegalOps s'assure préalablement qu'il existe des garanties appropriées au sens de l'article 46 du RGPD, notamment par la conclusion de clauses contractuelles types adoptées par la Commission européenne. LegalOps en informe l'Utilisateur sans délai et lui communique les garanties mises en place.

Article 13 — Assistance — Droits des personnes concernées

13.1. LegalOps fournit à l'Utilisateur, dans les meilleurs délais et par la mise en œuvre de mesures techniques et organisationnelles appropriées, une assistance raisonnable afin de permettre à l'Utilisateur de répondre aux demandes d'exercice de droits formulées par les Personnes concernées au titre du RGPD (droit d'accès, de rectification, d'effacement, d'opposition, de limitation, de portabilité).

13.2. LegalOps assiste également l'Utilisateur dans le respect de ses obligations relatives à la sécurité des traitements, à la notification des violations de données, à la réalisation d'analyses d'impact (AIPD) et à la consultation préalable de l'Autorité de protection des données, conformément aux articles 32 à 36 du RGPD.

13.3. Si une demande d'exercice de droits d'une Personne concernée est adressée directement à LegalOps, LegalOps en informe l'Utilisateur sans délai, sans y donner suite lui-même, et lui transmet l'intégralité des informations pertinentes.

13.4. LegalOps s'engage à répondre à toute demande d'assistance de l'Utilisateur dans un délai de cinq (5) jours ouvrables à compter de la réception de la demande écrite. Ce délai peut être prorogé de cinq (5) jours ouvrables supplémentaires sur demande motivée de LegalOps, sous réserve de l'accord de l'Utilisateur.

13.5. Toute assistance fournie par LegalOps au titre du présent article peut faire l'objet d'une facturation de frais raisonnables, tel que communiqué à l'Utilisateur préalablement à la prestation. LegalOps informe l'Utilisateur du caractère payant de l'assistance et du montant estimé avant tout engagement de sa part.

Article 14 — Incidents de sécurité

14.1. Dès qu'il a connaissance d'un Incident de sécurité, LegalOps en informe l'Utilisateur sans délai et lui fournit, dans les meilleurs délais, toutes les informations et l'assistance nécessaires pour permettre à l'Utilisateur de satisfaire à ses obligations légales de notification, notamment vis-à-vis de l'Autorité de protection des données (dans un délai de 72 heures conformément à l'article 33 du RGPD) et, le cas échéant, des Personnes concernées.

14.2. Cette notification comprend au minimum :

  • la nature de la violation et les Données concernées ;
  • les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de données affectés ;
  • les conséquences probables de la violation ;
  • les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets ;
  • les coordonnées d'une personne de contact auprès de laquelle des informations complémentaires peuvent être obtenues.

14.3. LegalOps prend toutes les mesures nécessaires pour remédier à l'Incident de sécurité, en atténuer les effets, et tient l'Utilisateur informé de toute évolution.

14.4. L'obligation de LegalOps de notifier un Incident de sécurité ou d'y répondre ne constitue pas et ne sera pas interprétée comme l'aveu de toute faute ou responsabilité dans l'Incident concerné.

Article 15 — Audit

15.1. LegalOps met à la disposition de l'Utilisateur toutes les informations nécessaires pour démontrer le respect de ses obligations au titre de la présente convention et du RGPD, et autorise la réalisation d'audits, y compris des inspections, mandatés par l'Utilisateur et conduits par un auditeur tiers indépendant.

15.2. L'Utilisateur notifie à LegalOps son intention de réaliser un audit avec un préavis d'au moins soixante (60) jours ouvrables. L'audit est effectué durant les heures normales d'ouverture, selon des modalités raisonnables convenues entre les Parties, et en prenant toutes les précautions pour éviter toute perturbation des opérations de LegalOps.

15.3. L'Utilisateur ne peut exercer ce droit d'audit qu'une (1) fois par période de douze (12) mois calendaires, sauf si une autorité compétente en matière de protection des données l'exige ou en donne l'instruction.

15.4. Les frais de l'audit sont à la charge de l'Utilisateur.

15.5. LegalOps dispose d'un délai de nonante (90) jours calendrier à compter du dépôt du rapport d'audit pour mettre en œuvre les mesures correctives identifiées. Si un second audit est nécessaire pour vérifier la mise en œuvre effective de ces mesures correctives, ses frais sont à la charge de LegalOps.

Article 16 — Responsabilités

16.1. L'Utilisateur est responsable du respect de la Législation applicable à la protection des données à caractère personnel dans le cadre de l'utilisation qu'il fait de JEF.CHAT, ainsi que de la licéité des traitements qu'il effectue en qualité de Responsable du traitement.

16.2. L'Utilisateur déclare et garantit que lorsqu'il fournit des Données à LegalOps pour traitement :

  • il a dûment informé les Personnes concernées de leurs droits et de la possibilité que leurs données soient traitées dans le cadre de JEF.CHAT ;
  • il a respecté la Législation applicable à la protection des données à caractère personnel lors de la collecte de ces Données ;
  • le traitement de ces Données conformément aux instructions de l'Utilisateur est licite.

16.3. LegalOps reconnaît que les obligations consacrées dans la présente convention sont essentielles et qu'une violation de celles-ci est susceptible de causer un préjudice sérieux à l'Utilisateur et aux Personnes concernées.

16.4. LegalOps est responsable de tout dommage causé par le traitement lorsqu'il n'a pas respecté les obligations du RGPD qui lui incombent spécifiquement en qualité de Sous-traitant, ou lorsqu'il a agi en dehors des instructions licites de l'Utilisateur ou à l'encontre de celles-ci, conformément à l'article 82 du RGPD.

Cette responsabilité sera, dans tous les cas, limitée au montant annuel payé par l'Utilisateur en application des Conditions Générales d'Octroi de Licence.

16.5. LegalOps est exonéré de responsabilité s'il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable personnellement. LegalOps ne peut toutefois invoquer un manquement d'un Sous-traitant ultérieur pour échapper à sa propre responsabilité envers l'Utilisateur.

16.6. Lorsque l'Utilisateur et LegalOps participent au même traitement et sont tous deux responsables d'un dommage, la responsabilité est répartie conformément à l'article 82, paragraphe 5, du RGPD.

Article 17 — Durée et résiliation

17.1. La présente convention entre en vigueur à la date de son acceptation en ligne par l'Utilisateur et s'applique à l'ensemble des traitements de Données y afférant, y compris lorsque ceux-ci sont déjà en cours à cette date.

17.2. Les présentes sont conclues pour toute la durée des Conditions Générales d'Octroi de Licence. Elles sont résiliées de façon concomitante à ce dernier.

17.3. L'Utilisateur se réserve le droit de mettre fin aux présentes avec effet immédiat, sans préavis ni indemnisation, dans les cas suivants :

  • traitement par LegalOps des Données en dehors des instructions de l'Utilisateur ou des Finalités autorisées ;
  • violation grave ou répétée par LegalOps de ses obligations au titre de la présente convention ;
  • survenance d'un Incident de sécurité résultant d'un manquement imputable à LegalOps.

17.4. À l'issue de la convention, LegalOps procède à l'effacement des Données conformément à ce qui est prévu précédemment.

Article 18 — Notifications

18.1. Toutes les notifications, communications et informations émises par LegalOps à destination de l'Utilisateur au titre des présentes sont effectuées au sein de la plateforme JEF.CHAT (in-app), via le système de notifications intégré. Ces notifications sont réputées reçues par l'Utilisateur à compter de leur mise à disposition sur la plateforme.

18.2. L'Utilisateur est tenu de consulter régulièrement les notifications disponibles sur la plateforme. LegalOps ne saurait être tenu responsable d'un préjudice résultant d'une notification non consultée par l'Utilisateur dans un délai raisonnable.

18.3. Pour les notifications présentant un caractère particulièrement urgent (notamment en cas d'Incident de sécurité grave), LegalOps peut compléter la notification in-app par un envoi simultané par courrier électronique à l'adresse communiquée par l'Utilisateur lors de son inscription.

18.4. Toute communication adressée par l'Utilisateur à LegalOps au titre des présentes peut être effectuée via la messagerie de support à la plateforme JEF.CHAT ou, le cas échéant, par courrier électronique à l'adresse communiquée par LegalOps.

Article 19 — Modifications des présentes

19.1. LegalOps se réserve le droit de modifier les présentes, notamment pour tenir compte de l'évolution de la réglementation applicable, des décisions des autorités de contrôle ou de l'évolution des Services.

19.2. Toute modification est notifiée à l'Utilisateur via la plateforme JEF.CHAT avec un préavis d'au moins trente (30) jours calendrier avant son entrée en vigueur. L'Utilisateur qui continue à utiliser les Services après l'expiration de ce délai est réputé avoir accepté les modifications.

19.3. En cas de désaccord, l'Utilisateur peut résilier les présentes dans les conditions prévues par celles-ci.

Article 20 — Nullité d'une disposition

L'éventuelle nullité ou inapplicabilité d'une disposition des présentes n'affecte pas la validité des autres dispositions. Le cas échéant, les Parties mettent tout en œuvre pour remplacer la disposition nulle ou inapplicable par une disposition valide produisant des effets juridiques aussi proches que possible de ceux recherchés par la disposition remplacée.

Article 21 — Droit applicable et juridiction compétente

21.1. Les présentes sont régies et interprétées conformément au droit belge.

21.2. Tout litige relatif à l'interprétation, à la validité ou à l'exécution des présentes relève de la compétence exclusive des tribunaux de l'arrondissement judiciaire de Bruxelles, sans préjudice du droit de toute Partie de solliciter des mesures provisoires ou conservatoires devant toute juridiction compétente.

Article 22 — Signature et entrée en vigueur

Les Parties conviennent que les présentes peuvent être exécutées par voie électronique. Elles sont réputées signées par l'Utilisateur lors de son acceptation en ligne (via la plateforme d'onboarding de LegalOps), et par LegalOps à la date de mise à disposition de la plateforme.

La date de signature la plus tardive constitue la date d'Entrée en vigueur.

Annexes

Annexe I — Finalités et description du traitement

A. Parties

PartieIdentification
Responsable du traitementL'Utilisateur, tel qu'identifié lors de l'acceptation de la convention
Sous-traitantLegalOps SRL, 53 Rue de Wansijn 1180 Uccle — BCE : 1029.306.887

B. Description du traitement

ÉlémentDescription
Objet du traitementTraitement des données à caractère personnel injectées par l'Utilisateur dans JEF.CHAT dans le cadre de son activité professionnelle
Nature des opérationsHébergement, stockage, exécution des requêtes, maintenance, support technique, sauvegarde, sécurité
FinalitésFourniture du service JEF.CHAT à l'Utilisateur ; assistance technique ; maintien de la disponibilité, de l'intégrité et de la sécurité du service
Durée du traitementPour toute la durée des Conditions Générales d'Octroi de Licence

Annexe II — Types de personnes concernées

Les Personnes concernées par les données traitées appartiennent aux catégories suivantes :

  • Clients de l'Utilisateur (personnes physiques) ;
  • Parties adverses (personnes physiques) impliquées dans des dossiers traités par l'Utilisateur ;
  • Témoins, experts, notaires, huissiers ou tout autre tiers dont les données figurent dans des documents ou échanges injectés dans JEF.CHAT ;
  • Toute autre personne physique identifiable dans les documents, pièces ou requêtes soumis à la plateforme par l'Utilisateur.

Annexe III — Types de données à caractère personnel traitées en qualité de sous-traitant

Les Données à caractère personnel accessibles à LegalOps dans le cadre de la fourniture des Services appartiennent aux catégories suivantes :

  • Données d'identification : nom, prénom, date de naissance, nationalité, numéro de registre national ou d'identification ;
  • Données de contact : adresse postale, adresse électronique, numéro de téléphone ;
  • Données juridiques et judiciaires : faits relatifs à un dossier juridique, pièces de procédure, correspondances, contrats, décisions de justice ;
  • Données financières : informations patrimoniales ou financières figurant dans des documents soumis à la plateforme ;
  • Données potentiellement sensibles : toute donnée relevant de l'article 9 du RGPD (données de santé, données relatives à des condamnations pénales, etc.) qui figurerait dans des documents soumis par l'Utilisateur, sous la responsabilité exclusive de celui-ci quant à la licéité de ce traitement.

L'Utilisateur est seul responsable de l'adéquation des mesures de sécurité aux catégories de données qu'il décide d'injecter dans JEF.CHAT.

Annexe IV — Types de traitement effectués par LegalOps

Type de traitementEffectué par LegalOps
Collecte de donnéesNON (collecte effectuée par l'Utilisateur)
Enregistrement / stockageOUI
StructurationOUI (organisation technique au sein de la plateforme)
HébergementOUI
Consultation (accès technique)OUI (uniquement pour maintenance/support)
Utilisation pour finalités propresNON
Transmission à des tiersNON (sauf Sous-traitants ultérieurs autorisés)
Transfert hors EEENON (sauf décision d'adéquation ou garanties article 46 RGPD)
Destruction / effacementOUI (en fin de contrat ou sur instruction de l'Utilisateur)
Entraînement de modèles IANON

Annexe V — Liste des sous-traitants ultérieurs

  • Anthropic — USA · Modèle LLM Claude · SCCs · API only
  • Cohere — USA · Embeddings et reranking · SCCs · API only
  • Scaleway TEM — UE (France) · Emails transactionnels (SMTP) · Hébergé UE
  • Sentry — UE · Logs d'erreur · Hébergé UE
  • OVH — UE · Sauvegardes chiffrées
  • GitHub — USA · Code source (pas de données clients) · SCCs
  • 1Password — USA · Gestion des secrets (pas de données clients)

Annexe VI — Mesures techniques et organisationnelles

LegalOps met en œuvre, à titre minimal, les mesures suivantes :

Mesures techniques :

  • Chiffrement des données en transit (TLS 1.2 minimum) et au repos ;
  • Contrôle d'accès strict basé sur les rôles (RBAC) ;
  • Authentification forte (MFA) pour les accès aux systèmes hébergeant les Données ;
  • Journalisation et traçabilité des accès aux Données ;
  • Sauvegardes régulières avec procédure de restauration testée ;
  • Tests de pénétration et évaluations de sécurité réguliers ;
  • Gestion des vulnérabilités et des correctifs de sécurité.

Mesures organisationnelles :

  • Politique interne de protection des données à caractère personnel ;
  • Formation du personnel aux obligations en matière de protection des données ;
  • Engagement de confidentialité signé par toute Personne autorisée ;
  • Procédure interne de gestion des Incidents de sécurité ;
  • Désignation d'un référent interne en matière de protection des données.