Do I need a DPA with every AI vendor?

Under GDPR Article 28, you must have a Data Processing Agreement with every third party that processes personal data on your behalf, which includes AI vendors who process personal data as part of their service. This applies regardless of whether the vendor is based in the EU. If the vendor is processing personal data in a country without an EU adequacy decision, you also need to ensure appropriate transfer mechanisms are in place, such as Standard Contractual Clauses. For AI vendors specifically, the DPA must address the risk that personal data could be used to train AI models, a risk not present in traditional SaaS vendor relationships.

Can AI vendors use my data to train their models?

By default, many consumer-facing AI services include terms that permit use of your inputs to improve their models. Enterprise and API tiers of major AI platforms typically offer no-training commitments, but you must confirm this in writing and have it reflected in the DPA. Under GDPR, using personal data to train AI models without an appropriate legal basis and data subject consent is likely unlawful. Your DPA should include an explicit clause prohibiting the vendor from using your data (including prompts and outputs) for model training, product improvement, or any purpose other than delivering the contracted service.

What should I check in an AI vendor's sub-processor list?

AI vendors typically use multiple sub-processors: cloud infrastructure providers (AWS, Azure, GCP), model hosting providers, and specialist AI compute providers. When reviewing the sub-processor list, check: whether all sub-processors are identified by name and jurisdiction; whether any are located in countries without EU adequacy decisions (requiring SCCs or BCRs); whether the vendor commits to notifying you before adding new sub-processors; and whether you have the right to object to new sub-processors. Pay particular attention to sub-processors in the US, as data transfers from the EU require reliance on the EU-US Data Privacy Framework or SCCs.

What is the 72-hour breach notification requirement?

Under GDPR Article 33, data controllers must notify their supervisory authority of a personal data breach within 72 hours of becoming aware of it. This means your DPA with AI vendors must require the vendor (as data processor) to notify you of any breach without undue delay and within a timeframe that allows you to meet your 72-hour regulatory obligation. In practice, DPAs should require vendor notification within 24 hours of a breach being identified, allowing you time to assess, document, and notify regulators within the 72-hour window. The DPA should also specify the content of the breach notification, the point of contact, and the vendor's obligation to cooperate with your regulatory notification process.

Profitez de 90 jours d'essai gratuit pour cartographier vos risques d'IA générative :90 jours d'essai gratuit, risques IA générative :Commencer

Demander une démo

Modèle gratuit

Accord de traitement des données IA
Modèle

Un modèle de DPA prêt à l'emploi, conçu pour les fournisseurs d'IA et de machine learning. Couvre les conditions de traitement des données, les sous-traitants ultérieurs, les transferts transfrontaliers, la notification des violations et les clauses de conformité RGPD/CCPA.

Télécharger le modèle Demander une démo

0 sections

couverture complète du DPA

RGPD art. 0

structure conforme

Spécifique à l'IA

clause de non-entraînement incluse

Gratuit

à utiliser et personnaliser

Pourquoi les DPA standard sont insuffisants pour les fournisseurs d'IA

La plupart des organisations utilisent un modèle de DPA générique pour tous les fournisseurs SaaS. Les fournisseurs d'IA présentent des risques de protection des données que les DPA génériques ne couvrent pas, en particulier le risque que vos données servent à entraîner des modèles d'IA. Sans clauses spécifiques à l'IA, vous ne pouvez pas démontrer la conformité au RGPD lors du déploiement d'outils d'IA qui traitent des données personnelles.

RGPD

Exige des DPA avec tous les sous-traitants de données

L'article 28 impose un contrat écrit avec chaque sous-traitant. Pas de DPA signifie pas de base légale pour la relation de traitement.

Risque IA

Les clauses d'entraînement de modèles figurent dans la plupart des conditions standard des fournisseurs

De nombreux fournisseurs d'IA incluent dans leurs conditions standard le droit d'entraîner sur les données client. Vous devez explicitement les négocier pour les supprimer.

72 h

Le délai de notification des violations est serré

Les obligations de notification des violations par le fournisseur doivent être fixées à 24 heures pour vous laisser le temps de respecter votre délai réglementaire de 72 heures.

Sous-trait.

Les fournisseurs d'IA recourent à de nombreux sous-traitants ultérieurs

Les services d'IA s'appuient sur de multiples sous-traitants d'infrastructure, de calcul et d'hébergement de modèles, chacun étant une responsabilité potentielle s'il n'est pas couvert.

Le modèle de DPA

Développez chaque section pour consulter les clauses du modèle. Faites examiner et personnaliser le document par votre conseil juridique avant sa signature. Remarque : il s'agit d'un modèle, et non d'un conseil juridique.

Le présent accord de traitement des données (« Accord ») fait partie de l'accord-cadre de services conclu entre [Nom du responsable du traitement] (« Responsable du traitement ») et [Nom du sous-traitant/fournisseur] (« Sous-traitant »).

Objet

Le Sous-traitant traitera des données personnelles pour le compte du Responsable du traitement aux fins de fournir [décrire le service d'IA, p. ex. analyse de documents par IA, assistance à la rédaction par IA, génération de code par IA] tel que défini dans l'accord-cadre de services.

Nature du traitement

Les activités de traitement peuvent inclure la collecte, le stockage, l'analyse, la structuration, la récupération, l'utilisation, la divulgation et la suppression de données personnelles nécessaires à la fourniture des services contractés. Le traitement s'effectuera exclusivement sous forme automatisée, sauf accord écrit contraire.

Catégories de personnes concernées

[p. ex. salariés et prestataires du Responsable du traitement ; clients et prospects du Responsable du traitement ; utilisateurs finaux des produits du Responsable du traitement, à personnaliser selon le cas]

Catégories de données personnelles

[p. ex. noms, adresses e-mail, intitulés de poste, communications professionnelles, contenu de documents, données d'usage, à personnaliser selon les flux de données réels. Précisez séparément si des données de catégorie particulière au titre de l'article 9 du RGPD sont traitées]

Durée du traitement

Le traitement se poursuivra pendant la durée de l'accord-cadre de services et jusqu'à ce que toutes les données personnelles soient restituées ou supprimées conformément à la Section 6 du présent Accord.

Important : clause spécifique à l'IA, le Sous-traitant n'utilisera pas les données personnelles, les prompts ou les sorties du Responsable du traitement pour entraîner, affiner ou améliorer ses modèles d'IA ou des modèles d'IA tiers. Le traitement se limitera exclusivement à la fourniture des services contractés.

Télécharger le modèle de DPA complet

Comment négocier un DPA avec un fournisseur d'IA

Suivez ces étapes pour examiner, négocier et exécuter un DPA avec vos fournisseurs d'IA. Impliquez votre conseil juridique et votre DPO tout au long du processus.

Cartographiez les flux de données avant d'examiner le DPA

Avant de pouvoir examiner un DPA, cartographiez exactement quelles données personnelles seront transmises au fournisseur d'IA, à quelle fin, sur quelle base légale, et si les données quitteront votre juridiction. Sans cela, vous ne pouvez pas déterminer quelles clauses sont critiques pour votre cas d'usage spécifique.

Identifiez et supprimez les clauses d'entraînement de modèles d'IA

Examinez le DPA standard du fournisseur à la recherche de clauses autorisant l'utilisation de vos données pour entraîner des modèles d'IA. Il s'agit du risque spécifique à l'IA le plus courant dans les DPA fournisseurs. Exigez un engagement écrit explicite que vos données ne seront pas utilisées pour l'entraînement de modèles, l'affinage ou l'amélioration de produits.

Négociez la liste des sous-traitants ultérieurs et les dispositions de transfert

Les fournisseurs d'IA recourent généralement à plusieurs sous-traitants ultérieurs pour l'hébergement de modèles et le calcul. Assurez-vous que le DPA inclut une liste complète des sous-traitants ultérieurs, un préavis de 30 jours pour les changements, votre droit d'opposition et des mécanismes de transfert appropriés (SCC ou décisions d'adéquation) pour tout traitement transfrontalier.

Vérifiez les certifications de sécurité et les droits d'audit

Demandez le certificat ISO 27001 et le rapport SOC 2 Type II du fournisseur avant de signer. Assurez-vous que le DPA inclut votre droit d'auditer la conformité et l'obligation de coopération du fournisseur. Un DPA sans droits d'audit est difficile à faire respecter.

Suivez les DPA dans votre registre des fournisseurs d'IA

Consignez le DPA exécuté dans votre registre des fournisseurs d'IA avec la date d'effet, la date de révision annuelle et le contact pour la notification des violations. Programmez des rappels pour les révisions annuelles, les listes de sous-traitants ultérieurs et les conditions des fournisseurs d'IA changent fréquemment. Ne pas tenir à jour les DPA est une conclusion fréquente des audits RGPD.

FAQ

Questions fréquentes

Au titre de l'article 28 du RGPD, vous devez disposer d'un accord de traitement des données avec chaque tiers qui traite des données personnelles pour votre compte, ce qui inclut les fournisseurs d'IA qui traitent des données personnelles dans le cadre de leur service. Cela s'applique que le fournisseur soit établi ou non dans l'UE. Si le fournisseur traite des données personnelles dans un pays sans décision d'adéquation de l'UE, vous devez également veiller à ce que des mécanismes de transfert appropriés soient en place, tels que les clauses contractuelles types. Pour les fournisseurs d'IA en particulier, le DPA doit traiter le risque que des données personnelles soient utilisées pour entraîner des modèles d'IA, un risque absent des relations traditionnelles avec les fournisseurs SaaS.

Pour commencer

Suivez le statut des DPA pour tous vos fournisseurs d'IA

Aona tient à jour un registre des fournisseurs en temps réel qui indique quels outils d'IA ont signé des DPA, lesquels sont en attente d'examen et lesquels sont signalés pour renouvellement. Obtenez une visibilité complète sur la posture de conformité de vos fournisseurs d'IA sans la maintenance d'un tableur.

Demander une démo

Ressources associées

Plateforme Aona AI Questionnaire de sécurité fournisseur d'IA Politique d'utilisation acceptable de l'IA Analyse des écarts ISO 42001 Tous les modèles

Accord de traitement des données IAModèle

Suivez le statut des DPA pour tous vos fournisseurs d'IA

Accord de traitement des données IA
Modèle