Data Processing Addendum (DPA)

2.1 Rôle des Parties

Lorsque le Client utilise les Services Vitru'home pour faire traiter des Données à caractère personnel dont il est Responsable de traitement, les Parties reconnaissent que : (a) le Client agit en qualité de Responsable de traitement, et (b) Vitru'homeagit en qualité de Sous-traitant, conformément à l'article 28 du RGPD. Lorsque plusieurs Responsables de traitement co-déterminent les finalités et les moyens d'un Traitement, le Client s'engage à avoir conclu avec ces co-Responsables un accord conforme à l'article 26 du RGPD.

2.2 Description du Traitement

Les finalités, catégories de Données à caractère personnel, catégories de Personnes concernées, durées et nature du Traitement effectué par Vitru'home pour le compte du Client sont décrites à l'Annexe 1. Vitru'home peut mettre à jour l'Annexe 1 pour refléter de nouveaux Services, fonctionnalités ou Sous-traitants ultérieurs, sous réserve de la procédure de modification prévue à la Section 7.2 pour les Sous-traitants ultérieurs et à la Section 13 des CGU pour les autres modifications.

2.3 Traitements pour lesquels Vitru'home agit en qualité de Responsable

Vitru'home agit en qualité de Responsable de traitement indépendant, et non de Sous-traitant, pour les Traitements suivants, décrits dans sa Politique de confidentialité (vitruhome.com/politique-confidentialite) :

• (a)gestion des Comptes Clients (inscription, authentification, facturation) ;
• (b)amélioration et sécurité des Services (modération automatique, détection d'abus), dans les limites prévues à la Section 4 des CGU ;
• (c)production de statistiques d'usage anonymisées ou agrégées, à l'exclusion de l'entraînement de modèles sauf dans les cas prévus à la Section 4.2 des CGU ;
• (d)respect des obligations légales de Vitru'home (comptabilité, fiscalité, conservation LCEN).

3.1 Obligations de Vitru'home

Vitru'home s'engage à :

• (a) traiter les Données à caractère personnel uniquement sur instructions documentées du Client, telles que matérialisées par les CGU, le présent DPA, tout Bon de commande ou toute instruction écrite ultérieure, y compris pour les transferts hors UE ;
• (b) informer immédiatementle Client si, à son avis, une instruction constitue une violation du Droit applicable à la protection des données, et, le cas échéant, suspendre le Traitement concerné jusqu'à clarification ;
• (c) veiller à ce que toute personne autorisée à traiter les Données à caractère personnel (salariés, prestataires) soit soumise à une obligation de confidentialitéappropriée, contractuelle ou légale, et reçoive la formation nécessaire ;
• (d)mettre en œuvre les mesures techniques et organisationnelles décrites à l'Annexe 2, conformément à l'article 32 du RGPD ;
• (e) apporter au Client une assistance raisonnable, compte tenu de la nature du Traitement et des informations à sa disposition, pour l'aider à respecter ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notifications de violation, analyses d'impact, consultation préalable de l'autorité de contrôle) ;
• (f) tenir un registre des catégories d'activités de traitementeffectuées pour le compte du Client, conformément à l'article 30.2 du RGPD, et le mettre à disposition de l'autorité de contrôle sur demande ;
• (g)notifier le Client dans un délai raisonnable si Vitru'home détermine qu'elle ne peut plus satisfaire à ses obligations au titre du présent DPA ou du Droit applicable.

3.2 Obligations du Client

Le Client garantit : (a) qu'il respecte l'ensemble de ses obligations en qualité de Responsable de traitement, y compris la fourniture des informations requises aux Personnes concernées (articles 13-14 RGPD) et le recueil des consentements ou autres bases légales nécessaires (article 6 RGPD) ; (b) qu'il ne transmet pas, sauf accord écrit spécifique conforme à la Section 2.2(j) des CGU, de données relevant des articles 9 et 10 du RGPD ; et (c) qu'il donne à Vitru'home des instructions licites et conformes au Droit applicable à la protection des données.

4.1 Responsabilité du Client

Le Client est seul responsable de la réponse aux demandes formulées par les Personnes concernées au titre de leurs droits prévus par le Droit applicable à la protection des données (accès, rectification, effacement, limitation, opposition, portabilité, décision automatisée).

4.2 Assistance par Vitru'home

Vitru'home apporte au Client, dans la mesure du possible et compte tenu de la nature du Traitement, une assistance commercialement raisonnable, par des mesures techniques et organisationnelles appropriées, pour lui permettre de donner suite aux demandes des Personnes concernées. L'assistance inclut notamment la mise à disposition de fonctionnalités d'export, de modification ou de suppression des Données du Client dans le Compte Client.

4.3 Demandes adressées directement à Vitru'home

Si une Personne concernée adresse directement à Vitru'home une demande relative à un Traitement effectué pour le compte du Client, Vitru'home (a) ne répondra pas directement à cette demande sans l'accord préalable écrit du Client, sauf obligation légale contraire, et (b) transmettra la demande au Client dans un délai raisonnable. Lorsque Vitru'home est légalement tenue de répondre, elle en informera le Client préalablement, sauf interdiction légale.

5.1 Mesures de sécurité

Vitru'home met en œuvre et maintient les mesures techniques et organisationnelles décrites à l'Annexe 2, conçues pour protéger les Données à caractère personnel contre toute Violation de Données, conformément aux exigences de l'article 32 du RGPD.

5.2 Évolution des mesures

Vitru'home peut mettre à jour les mesures de l'Annexe 2 pour refléter l'évolution de l'état de l'art, des menaces identifiées ou de ses certifications, sous réserve que le niveau global de sécurité ne soit pas substantiellement réduit. En cas de réduction substantielle, une notification préalable au Client sera effectuée, conformément à la Section 13 des CGU.

6.1 Notification

Vitru'home notifie au Client toute Violation de Données affectant les Données à caractère personnel traitées pour son compte, sans retard injustifié et, dans toute la mesure du possible, dans un délai maximal de soixante-douze (72) heuresaprès en avoir pris connaissance. La notification est adressée au point de contact désigné par le Client dans son Compte Client ou, à défaut, à l'adresse email de l'administrateur principal. La notification ne constitue pas une reconnaissance de faute par Vitru'home.

6.2 Contenu de la notification

Dans la mesure des informations disponibles, la notification comprendra :

• (a)la description de la nature de la Violation, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées ainsi que les catégories et le volume de Données à caractère personnel en cause ;
• (b)les coordonnées du point de contact permettant d'obtenir davantage d'informations (DPO ou équivalent) ;
• (c)les conséquences probables de la Violation ;
• (d)les mesures prises ou proposées pour remédier à la Violation, y compris, le cas échéant, les mesures visant à atténuer ses effets négatifs ;
• (e) les mesures que le Client pourrait prendre pour atténuer les effets sur les Personnes concernées.

Si l'ensemble de ces informations ne peut être communiqué en une seule fois, elles pourront être fournies de manière progressive au fur et à mesure de leur disponibilité, sans retard injustifié supplémentaire.

6.3 Assistance

Vitru'home fournit au Client une assistance commercialement raisonnable dans l'accomplissement de ses propres obligations de notification à l'autorité de contrôle (article 33 RGPD) et, le cas échéant, aux Personnes concernées (article 34 RGPD), ainsi que dans la mise en œuvre des mesures correctives.

7.1 Autorisation générale

Le Client donne à Vitru'home une autorisation générale, au sens de l'article 28.2 du RGPD, pour recourir à des Sous-traitants ultérieurs aux fins de fourniture des Services Vitru'home. La liste des Sous-traitants ultérieurs en vigueur est disponible à l'adresse vitruhome.com/sous-traitants(ou toute URL qui s'y substituerait). Vitru'home :

• (a)maintient une liste à jour des Sous-traitants ultérieurs, incluant leur identité, le pays de Traitement et les catégories de Données à caractère personnel concernées ;
• (b)propose au Client la possibilité de s'abonner à une notification par email des changements apportés à cette liste ;
• (c) conclut avec chaque Sous-traitant ultérieur un accord écrit imposant des obligations de protection des données substantiellement équivalentesà celles du présent DPA ;
• (d) demeure pleinement responsable devant le Client du respect par le Sous-traitant ultérieur de ses obligations de protection des données.

7.2 Notification et opposition

Vitru'home notifie au Client toute modification de la liste des Sous-traitants ultérieurs avec un préavis raisonnable préalable à la mise en production. Le Client peut s'opposer à un nouveau Sous-traitant ultérieur, pour des motifs légitimes et raisonnables liés au Droit applicable à la protection des données, en notifiant son opposition écrite à team@vitruhome.com dans un délai de dix (10) jourssuivant la notification. À défaut d'opposition dans ce délai, le Sous-traitant ultérieur est réputé approuvé.

En cas d'opposition motivée, les Parties rechercheront de bonne foi une solution (notamment configuration d'une région alternative). À défaut d'accord dans un délai raisonnable, Vitru'home pourra, à son choix, (i) renoncer à recourir au Sous-traitant ultérieur concerné, ou (ii) résilier le ou les Services affectés, ou (iii) résilier le contrat dans son ensemble, sans que cette résiliation ne puisse donner lieu à indemnisation, étant précisé que le Client sera remboursé au prorata des Services non fournis.

8.1 Principe

Vitru'home privilégie, dans la mesure du possible, l'hébergement et le Traitement des Données à caractère personnel au sein de l'Union européenne. Lorsqu'un transfert vers un Pays Soumis à Restriction est nécessaire à la fourniture des Services Vitru'home, le Client l'autorise, sous réserve que ce transfert soit encadré par des garanties appropriées au sens du chapitre V du RGPD.

8.2 Clauses Contractuelles Types (CCT)

Lorsque le transfert n'est pas couvert par une décision d'adéquation (au sens de l'article 45 du RGPD, notamment le EU-US Data Privacy Frameworkpour les destinataires certifiés), les Parties conviennent d'incorporer au présent DPA, par référence, les Clauses Contractuelles Types applicables :

• (a)pour les transferts depuis le Client (Responsable de traitement établi dans l'UE) vers Vitru'home (Sous-traitant) ou vers un Sous-traitant ultérieur situé dans un Pays Soumis à Restriction, le Module 2 (Responsable vers Sous-traitant) ou, le cas échéant, le Module 3(Sous-traitant vers Sous-traitant) ;
• (b) pour un Client situé dans un Pays Soumis à Restriction et agissant en qualité de Responsable de traitement, le Module 4 (Sous-traitant vers Responsable).

Pour les besoins des CCT : (i) la clause de docking est réputée activée ; (ii) l'option 2de la clause 9 est retenue (autorisation générale de sous-traitance avec notification 10 jours) ; (iii) la clause 17 (droit applicable) désigne le droit français ; (iv) la clause 18 (juridiction) désigne les tribunaux d'Aix-en-Provence, France ; (v) les Annexes des CCT sont réputées complétées par l'Annexe 1(Description du Traitement) et l'Annexe 2(Mesures T&O) du présent DPA, ainsi que par la liste publiée à vitruhome.com/sous-traitants.

8.3 Mesures complémentaires (Schrems II)

Conformément à l'arrêt Schrems II(CJUE, 16 juillet 2020, C-311/18) et aux recommandations 01/2020 du Comité européen de la protection des données, Vitru'home a évalué le niveau de protection dans les Pays Soumis à Restriction pertinents et met en œuvre, le cas échéant, des mesures techniques, contractuelles ou organisationnelles complémentaires (chiffrement de bout en bout, pseudonymisation, clauses de résistance aux demandes d'accès gouvernementales, audits annuels). Le détail de ces mesures est disponible sur demande écrite adressée à team@vitruhome.com.

9.1 Audit documentaire

À la demande écrite et raisonnable du Client, Vitru'home met à disposition l'ensemble des documents et informations raisonnablement nécessaires pour démontrer sa conformité au présent DPA et à l'article 28 du RGPD, dans un délai raisonnable, sous réserve du respect de ses obligations de confidentialité et de protection de ses secrets d'affaires. Vitru'home peut notamment fournir : (a) une attestation d'auto-audit signée par un représentant habilité ; (b) des rapports d'audit indépendants (par exemple SOC 2 Type II ou ISO 27001lorsque disponibles) ; (c) des réponses aux questionnaires sécurité type CAIQ/SIG.

9.2 Audit sur site

Lorsque l'audit documentaire prévu à la Section 9.1 est insuffisant pour démontrer la conformité de Vitru'home, le Client peut demander un audit sur site, dans les conditions cumulatives suivantes :

• (a) l'audit est limité à une (1) fois par année civile, sauf en cas de suspicion fondée d'incident de sécurité ou de demande motivée d'une autorité de contrôle ;
• (b)l'audit est demandé par écrit avec un préavis raisonnable d'au moins trente (30) jours, précisant le périmètre, les méthodes et le calendrier ;
• (c) l'audit est réalisé par un auditeur indépendantdésigné d'un commun accord entre les Parties, tenu à une obligation de confidentialité équivalente à celle de la Section 6 des CGU et n'étant pas un concurrent directde Vitru'home ;
• (d)l'audit se déroule pendant les heures ouvrables, sans perturbation déraisonnable des Services ;
• (e)il porte exclusivement sur les informations et Données à caractère personnel relatives au Client ;
• (f)le rapport d'audit est remis aux deux Parties dans une version identique et constitue une Information Confidentielle de Vitru'home (Section 6 des CGU).

9.3 Coûts

Les coûts raisonnables de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement substantielimputable à Vitru'home au présent DPA, auquel cas Vitru'home en supporte les coûts raisonnables dans la limite du montant payé par le Client à Vitru'home au cours des douze (12) derniers mois.

10.1 Choix du Client

Conformément à l'article 28.3(g) du RGPD, à la fin de la fourniture des Services Vitru'home et, en tout état de cause, lors de la résiliation ou de l'expiration des CGU, Vitru'home, selon le choix du Client exprimé par écrit à team@vitruhome.com au moins quinze (15) joursavant la date effective de fin : (a) restituera au Client les Données à caractère personnel traitées pour son compte, dans un format structuré, couramment utilisé et lisible par machine (par exemple JSON, CSV), ou (b) procédera à leur suppression.

10.2 À défaut d'instruction

Vitru'home rappellera au Client, par email adressé à l'administrateur du Compte Client trente (30) joursavant la date effective de fin, la faculté qui lui est ouverte en application de la Section 10.1. Si, malgré ce rappel, le Client n'a formulé aucune instruction dans le délai prévu à la Section 10.1, Vitru'home procédera à la suppression des Données à caractère personnel dans un délai de trente (30) jours suivant la date effective de fin, sous réserve des obligations légales de conservation.

10.3 Conservation légale

Vitru'home est autorisée à conserver les Données à caractère personnel pendant les durées et aux seules fins prévues à la Section 11.4(d) des CGU(factures, données fiscales, logs LCEN, données CRM). Ces données sont conservées dans un environnement à accès restreint et ne font l'objet d'aucun Traitement autre que celui strictement nécessaire à leur conservation légale.

10.4 Attestation de suppression

Vitru'home remettra au Client, sur demande écrite, une attestation de suppression signée par un représentant habilité, dans un délai raisonnable après achèvement des opérations.

11.1 Durée

Le présent DPA prend effet à la plus proche des deux dates suivantes : (a) la date d'effet des CGU, ou (b) la date à laquelle Vitru'home effectue son premier Traitement de Données à caractère personnel pour le compte du Client. Il demeure en vigueur pour toute la durée des CGU, puis pour la durée nécessaire à l'exécution des opérations de restitution ou de suppression visées à la Section 10 et à l'exécution des conservations légales.

11.2 Incorporation et conflit

Le présent DPA est incorporé aux CGU par référence et en constitue une partie intégrante. En cas de contradiction entre les stipulations du présent DPA et celles des CGU relatives à la protection des Données à caractère personnel, les stipulations du présent DPA prévaudront dans la mesure de cette contradiction.

11.3 Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est soumise aux exclusions et plafonds de responsabilité prévus à la Section 9 des CGU, étant précisé que, conformément à l'article 82 du RGPD, la responsabilité à l'égard des Personnes concernées demeure encadrée par les règles légales applicables.

11.4 Mise à jour du DPA

Vitru'home peut mettre à jour le présent DPA selon la procédure prévue à la Section 13 des CGU. Les mises à jour requises par une évolution du Droit applicable à la protection des données entrent en vigueur dès leur publication, sans préjudice du droit d'opposition du Client prévu à la Section 13.4 des CGU lorsque la mise à jour a un effet défavorable substantiel.

11.5 Loi applicable et juridiction

Le présent DPA est régi par le droit français. Tout différend relatif à son interprétation ou à son exécution est soumis à la procédure de résolution amiable et à la juridiction prévues à la Section 14.10 des CGU.

12.1 Application du CCPA

La présente Section 12 s'applique uniquement dans la mesure où le Client est soumis au California Consumer Privacy Act (CCPA), tel que modifié par le California Privacy Rights Act (CPRA), et que les Données à caractère personnel traitées pour son compte relèvent de ce régime. Les termes utilisés dans la présente Section ont le sens qui leur est donné par le CCPA.

12.2 Engagements de Vitru'home

Vitru'home s'engage à ne pas :

• (i)traiter les Données à caractère personnel pour une finalité commerciale autre que la fourniture des Services Vitru'home au Client ;
• (ii) vendre ou partager(au sens du CCPA) des Données à caractère personnel ;
• (iii)traiter les Données à caractère personnel en dehors de la relation commerciale directe avec le Client ;
• (iv)combiner les Données à caractère personnel du Client avec d'autres données personnelles, sauf dans les cas expressément permis par le CCPA.

Vitru'home agit en qualité de Service Providerau sens du CCPA. Elle certifie comprendre les restrictions ci-dessus et s'y conformer.

A1.1 Nature et finalité du Traitement

Vitru'home traite les Données à caractère personnel pour le compte du Client aux seules fins de fournir les Services Vitru'home souscrits par celui-ci, notamment : (i) l'analyse de site immobilière (géolocalisation, agrégation de données publiques) ; (ii) l'analyse documentaire par intelligence artificielle (chat IA, extraction, synthèse) ; (iii) l'analyse de plans par vision par ordinateur (détection d'éléments, OCR) ; (iv) l'analyse de conformité réglementaire.

A1.2 Catégories de Personnes concernées

• (a)utilisateurs du Compte Client (Utilisateurs Finaux) : salariés, prestataires et collaborateurs du Client autorisés à utiliser les Services ;
• (b) personnes mentionnées incidemment dans les Données du Client (par exemple, interlocuteurs mentionnés dans un document téléchargé pour analyse).

A1.3 Catégories de Données à caractère personnel

• (a)données d'identification (nom, prénom, email, identifiants techniques) ;
• (b)données professionnelles (fonction, organisation, coordonnées professionnelles) ;
• (c)données de connexion (adresse IP, logs, empreinte navigateur) ;
• (d)contenus soumis au Traitement (textes, documents, plans, photographies, conversations avec l'IA) pouvant incidemment contenir des Données à caractère personnel ;
• (e)données de géolocalisation relatives à des biens immobiliers ou des sites analysés, dès lors qu'elles permettent l'identification indirecte d'une Personne concernée.

Exclusion: conformément à la Section 2.2(j) des CGU, le Client s'interdit de transmettre des données relevant des articles 9 et 10 du RGPD sans accord écrit spécifique.

A1.4 Opérations de Traitement

Collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, utilisation, communication par transmission aux Sous-traitants ultérieurs pour les besoins du Service, rapprochement, limitation, effacement, destruction.

A1.5 Durée du Traitement

Pour toute la durée des CGU, puis pendant les durées de conservation légale prévues à la Section 11.4(d) des CGU. Les Données actives du Compte Client sont conservées tant que le Compte est actif et supprimées selon les modalités prévues à la Section 10 du présent DPA.

A1.6 Sous-traitants ultérieurs (liste au jour du DPA)

La liste à jour est disponible à vitruhome.com/sous-traitants. À la date de publication du présent DPA, les principales catégories de Sous-traitants ultérieurs sont :

• Hébergement & compute: Vercel Inc. (USA), Supabase Inc. (UE — Frankfurt), Amazon Web Services (UE — eu-west-3 Paris & USA pour training ML) ;
• Modèles d'IA (LLM): Mistral AI (France), Anthropic PBC (USA — DPF), OpenAI OpCo LLC (USA — DPF), Google LLC (USA — DPF) ;
• Paiement: Stripe Payments Europe Ltd (Irlande) ;
• Email transactionnel: Resend Inc. (USA — DPF) ;
• Cartographie: Mapbox Inc. (USA — DPF), Google Maps Platform (USA — DPF) ;
• Observabilité: PostHog Inc. (UE — eu.posthog.com), Sentry / Functional Software Inc. (USA — DPF), Langfuse GmbH (Allemagne) ;
• Vision par ordinateur: Roboflow Inc. (USA) — pour certains modèles d'inférence, substituables par inférence auto-hébergée sur AWS UE.

A2.1 Chiffrement et confidentialité

• (a) chiffrement en transit via TLS 1.2+ (recommandé : TLS 1.3) sur l'ensemble des points d'entrée ;
• (b) chiffrement au repos AES-256pour les bases de données (Supabase/PostgreSQL), les stockages objets (Supabase Storage) et les sauvegardes ;
• (c)gestion des secrets centralisée (variables d'environnement chiffrées, rotation régulière, absence de secret committé dans les dépôts sources) ;
• (d) isolation multi-tenant par Row-Level Security (RLS) PostgreSQL.

A2.2 Authentification et contrôle d'accès

• (a)JWT à durée courte (≤ 30 minutes) avec rotation des refresh tokens ;
• (b) cookies HttpOnly, Secure, SameSite=Laxpour la session ;
• (c)protection contre l'énumération de compte, contre le credential stuffing, protection anti-bot (Turnstile) ;
• (d) MFAdisponible pour les comptes administrateurs ;
• (e) contrôle d'accès par rôle (RBAC) côté application et moindre privilège côté infrastructure ;
• (f) accès des salariés et prestataires aux données de production strictement nominatif, journalisé, soumis à validation.

A2.3 Sécurité applicative

• (a) Content-Security-Policystricte avec nonces, appliquée via middleware applicatif ;
• (b)validation systématique des paramètres d'entrée (schémas Zod) sur toutes les routes API ;
• (c) rate limitingcentralisé (protection DoS et abus) ;
• (d)protections OWASP Top 10 (XSS, CSRF, SQLi, IDOR, SSRF) ;
• (e) pare-feu applicatifet protection DDoS au niveau de l'hébergeur (Vercel).

A2.4 Sécurité de l'infrastructure

• (a) hébergement principal en Union européenne (Supabase Frankfurt, AWS eu-west-3 Paris) ;
• (b) infrastructure fournie par des hébergeurs certifiés ISO 27001 et SOC 2 Type II ;
• (c)séparation claire des environnements (développement, staging, production) ;
• (d) sauvegardes chiffrées, automatisées et testées régulièrement (PostgreSQL Point-in-Time Recovery).

A2.5 Journalisation et détection

• (a)journalisation centralisée des accès, des actions d'administration et des événements de sécurité ;
• (b) conservation des logs techniques pendant douze (12) moisconformément à la LCEN ;
• (c)supervision des erreurs applicatives (Sentry) et observabilité LLM (Langfuse) ;
• (d) alerting automatisé sur anomalies de sécurité.

A2.6 Cycle de vie du développement sécurisé

• (a)revue de code systématique avant mise en production ;
• (b)analyse statique (lint, typage fort TypeScript) et scans de dépendances (CVE) ;
• (c)hooks de pré-commit bloquant la publication de secrets ;
• (d) approbation manuelle requise pour les déploiements en production.

A2.7 Gouvernance et organisation

• (a)registre des traitements (article 30 RGPD) tenu à jour ;
• (b)procédure documentée de gestion des Violations de Données (détection, qualification, notification ≤ 72h) ;
• (c)formation régulière du personnel aux enjeux de protection des données et de sécurité ;
• (d)clauses de confidentialité dans l'ensemble des contrats salariaux et de prestation ;
• (e) point de contact protection des données : team@vitruhome.com(mention « À l'attention du service protection des données »).

A2.8 Résilience et continuité

• (a)architecture serverless distribuée tolérante aux pannes ;
• (b)restauration testée à partir des sauvegardes (objectif RPO ≤ 24h, RTO ≤ 4h pour les modules critiques) ;
• (c)plan de continuité d'activité documenté, revu annuellement.