Dernière mise à jour : 1er janvier 2026
Le présent Accord de Traitement des Données (« DPA ») fait partie des Conditions d'Utilisation entre RouterShift (« Responsable du Traitement » ou « nous ») et le client (« Contrôleur » ou « vous »). Ce DPA régit le traitement des Données Personnelles que vous nous fournissez dans le cadre de votre utilisation de la passerelle API RouterShift et des services connexes (les « Services »). Ce DPA s'applique dans la mesure où RouterShift traite des Données Personnelles en votre nom en tant que Responsable du Traitement, et où le RGPD, le UK GDPR, le CCPA ou d'autres lois applicables sur la protection des données s'appliquent.
« Données Personnelles » désigne toute information relative à une personne physique identifiée ou identifiable traitée par RouterShift en votre nom dans le cadre des Services. « Traitement » désigne toute opération effectuée sur les Données Personnelles, automatisée ou non. « Sous-traitant » désigne tout tiers engagé par RouterShift pour traiter les Données Personnelles en votre nom. « Lois sur la Protection des Données » désigne toutes les lois applicables sur la confidentialité et la protection des données, y compris le RGPD, le UK GDPR, le CCPA et leurs réglementations d'application. Les termes majuscules non définis dans ce DPA ont les significations données dans les Conditions d'Utilisation.
RouterShift traite les Données Personnelles uniquement dans le but de fournir, maintenir et améliorer les services de passerelle API. Les activités de traitement incluent : (a) le routage des requêtes API vers des fournisseurs de modèles IA tiers selon vos instructions ; (b) la journalisation des requêtes API pour le débogage, la facturation et la prévention des abus ; (c) la génération d'analyses d'utilisation et de registres de facturation ; (d) l'authentification des clés API et la gestion des comptes utilisateurs. Les catégories de Données Personnelles traitées dépendent de votre utilisation des Services et peuvent inclure : les payloads de requêtes API (qui peuvent contenir des données personnelles intégrées dans les prompts), les identifiants de clés API, les adresses e-mail (pour la gestion de compte), les adresses IP (pour la limitation de débit et la sécurité) et les informations de paiement (traitées par notre processeur de paiement, non stockées par nous).
En tant que Contrôleur, vous êtes responsable de : (a) déterminer les finalités et les moyens du traitement des Données Personnelles via les Services ; (b) vous assurer que vous disposez d'une base légale pour traiter toutes les Données Personnelles que vous soumettez aux Services, y compris l'obtention des consentements nécessaires ; (c) fournir des avis appropriés aux personnes concernées sur votre utilisation de RouterShift en tant que responsable de traitement ; (d) ne pas soumettre de catégories particulières de données personnelles (telles que définies à l'article 9 du RGPD) ou de données relatives aux condamnations pénales sauf accord explicite écrit ; (e) respecter vos propres obligations en vertu des Lois sur la Protection des Données applicables, y compris les demandes de droits des personnes concernées.
RouterShift doit : (a) traiter les Données Personnelles uniquement selon vos instructions documentées, y compris celles du présent DPA et des Conditions d'Utilisation ; (b) s'assurer que les personnes autorisées à traiter les Données Personnelles sont liées par des obligations de confidentialité ; (c) mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées telles que décrites à la section 6 de notre Politique de Confidentialité (Mesures de Sécurité) ; (d) vous assister dans la réponse aux demandes de droits des personnes concernées dans la mesure du possible, transférer rapidement toute demande que nous recevons directement ; (e) vous assister dans le respect de vos obligations concernant la notification de violation de données, les analyses d'impact sur la protection des données et la consultation préalable des autorités de contrôle ; (f) supprimer ou restituer toutes les Données Personnelles à la résiliation des Services, sauf si la conservation est requise par la loi applicable ; (g) mettre à votre disposition toutes les informations nécessaires pour démontrer la conformité au présent DPA et permettre et contribuer aux audits, y compris les inspections, menés par vous ou un auditeur indépendant mandaté par vous.
Vous autorisez RouterShift à engager les catégories suivantes de sous-traitants : (a) fournisseurs d'infrastructure cloud (pour l'hébergement et le calcul) ; (b) fournisseurs de modèles IA tiers (vers lesquels les requêtes API sont routées dans le cadre des Services) ; (c) processeurs de paiement (pour la facturation et les paiements) ; (d) fournisseurs de services e-mail (pour les e-mails transactionnels) ; (e) fournisseurs de monitoring et d'analytique. Une liste actualisée des sous-traitants est disponible sur routershift.com/subprocessors. RouterShift vous informera de tout changement prévu en mettant à jour cette liste. Vous pouvez vous opposer à un nouveau sous-traitant dans les 14 jours suivant la notification en résiliant les Services. RouterShift conclut des accords écrits avec tous les sous-traitants contenant des obligations de protection des données non moins protectrices que celles du présent DPA. RouterShift reste responsable des actes et omissions de ses sous-traitants.
Les Données Personnelles peuvent être transférées et traitées dans des pays en dehors de l'Espace Économique Européen (EEE), du Royaume-Uni ou de votre pays de résidence. Lorsque ces transferts se produisent, ils sont régis par : (a) les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (Décision d'Exécution 2021/914/UE pour les transferts vers des pays tiers) ; (b) l'Addendum aux CCT de l'UE pour le Transfert International de Données du Royaume-Uni, lorsque le UK GDPR s'applique ; et/ou (c) d'autres mécanismes de transfert valides reconnus en vertu des Lois sur la Protection des Données applicables. Les CCT sont incorporées par référence au présent DPA. Aux fins des CCT : le Module Deux (Contrôleur à Responsable du Traitement) s'applique ; la clause optionnelle de docking est incluse ; la loi applicable est celle de l'Irlande ; et les litiges seront résolus par les tribunaux d'Irlande.
RouterShift conserve les Données Personnelles comme suit : (a) les journaux de requêtes API (y compris les prompts et les réponses) pendant 90 jours, après quoi ils sont agrégés ou supprimés ; (b) les enregistrements de facturation et de paiement pendant la période requise par les réglementations fiscales et comptables applicables (généralement 7 ans) ; (c) les informations de compte pendant la durée de votre compte plus 30 jours après la suppression du compte, après quoi elles sont anonymisées ou supprimées. À la résiliation, RouterShift supprimera toutes les Données Personnelles dans les 30 jours, sauf si la conservation est requise par la loi. Vous pouvez demander la suppression anticipée de Données Personnelles spécifiques en contactant privacy@routershift.com. La suppression ne s'applique pas aux données qui ont été agrégées, anonymisées ou qui sont nécessaires à l'établissement, l'exercice ou la défense de revendications légales.
RouterShift maintient un plan de réponse aux incidents de sécurité. En cas de Violation de Données Personnelles, RouterShift doit : (a) vous notifier sans retard injustifié, et en tout état de cause dans les 72 heures suivant la prise de connaissance de la violation ; (b) vous fournir une description de la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés, les conséquences probables et les mesures prises ou proposées pour remédier à la violation ; (c) coopérer avec vous dans l'enquête et l'atténuation de la violation ; (d) vous assister dans la notification des autorités de contrôle et des personnes concernées si requis. La notification sera envoyée à l'adresse e-mail associée à votre compte. Vous êtes responsable de maintenir ces coordonnées à jour.
Ce DPA entre en vigueur à la date à laquelle vous acceptez les Conditions d'utilisation et se poursuit jusqu'à la résiliation de votre compte ou la résiliation du DPA conformément à ses termes. Chaque partie peut résilier ce DPA avec effet immédiat si l'autre partie commet une violation substantielle qui n'est pas remédiée dans les 30 jours suivant une notification écrite. Upon termination, RouterShift shall, at your choice, delete or return all Personal Data to you, and delete all existing copies unless retention is required by applicable law. Les obligations du présent DPA qui, par leur nature, devraient survivre à la résiliation survivront, notamment les dispositions relatives à la confidentialité, à la sécurité des données et à la limitation de responsabilité.