Passer au contenu principal
OpenAI

Updated: 1 décembre 2025

Addenda sur le traitement des données d’OpenAI

Télécharger le PDF(s'ouvre dans une nouvelle fenêtre)

En vigueur : le 1er janvier 2026

(Voir l'addenda sur le traitement des données précédent)

Le présent Addenda sur le traitement des données d'OpenAI (« ATD ») complète et est intégré au Contrat de service d'OpenAI (« Contrat ») régissant l'utilisation des Services et est conclu à compter de la Date d'entrée en vigueur entre le client identifié ci-dessus (« Client ») et OpenAI OpCo, LLC, en son nom et au nom de ses Affiliés, selon le cas, sauf si le Client est basé dans un pays de l'Espace économique européen ou en Suisse, auquel cas il est conclu avec OpenAI Ireland Ltd., en son nom et au nom de ses Affiliés, selon le cas (« OpenAI »). Les termes en majuscules qui ne sont pas définis dans le présent ATD ont la signification qui leur est attribuée dans le Contrat. Dans le présent ATD, OpenAI et le Client sont chacun désignés comme une « Partie » et collectivement comme les « Parties ». Le Client déclare qu'il est légalement habilité à conclure le présent Contrat et, s'il conclut le Contrat pour le compte d'une entité, qu'il a l'autorité légale pour engager cette entité. En cliquant sur « J’accepte », en acceptant le Bon de commande ou en utilisant les Services, le Client accepte le présent Contrat.

1. Détails.

  • 1.1 Portée et rôles. Dans le cadre de la prestation des Services au Client en vertu du Contrat, OpenAI peut traiter les Données du Client pour le compte du Client. OpenAI agit en tant que sous-traitant des données pour le compte du client, et le présent ATD régit ce traitement.
  • 1.2 Détails du traitement. OpenAI ne traitera les Données du Client que dans le but de fournir les Services au Client conformément à l'Accord et au présent ATD. Les détails concernant la nature, la durée, ainsi que les types de Données du Client et les catégories de personnes concernées impliquées sont énoncés à l'annexe 1 (Détails du traitement) de du présent ATD. OpenAI et le Client conviennent chacun de respecter leurs obligations respectives en vertu des Lois sur la protection des données dans le cadre des Services.

2. Obligations d'OpenAI.

  • 2.1 Instructions du client. Les Parties conviennent que le présent ATD, le Contrat (y compris le Bon de commande) et toute instruction fournie via les outils de configuration et autres outils au sein des Services mis à disposition par OpenAI dans les Services, constituent les instructions documentées du Client concernant le traitement des Données du Client par OpenAI (« Instructions du Client »). OpenAI traitera les Données du Client uniquement conformément aux Instructions du Client, sauf si la loi applicable à laquelle OpenAI est soumise l'exige, auquel cas OpenAI informera le Client de cette exigence avant le traitement, à moins qu'il ne soit légalement interdit de le faire.
  • 2.2 Avis au client. OpenAI informera rapidement le Client par écrit si, de l'avis d'OpenAI, une Instruction du Client viole les Lois sur la protection des données. OpenAI informera le Client, dans la mesure permise par la loi, si OpenAI reçoit une demande juridiquement contraignante de divulgation des Données du Client par une autorité chargée de l'application de la loi.
  • 2.3 Confidentialité. OpenAI veillera à ce que toutes les personnes autorisées par OpenAI à traiter les Données du Client se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • 2.4 Demandes des personnes concernées. OpenAI, dans la mesure permise par la loi, informera le Client si elle reçoit une demande d'exercice des droits des personnes concernées en vertu des Lois sur la protection des données (« Demande de la personne concernée ») concernant les Données du Client.  OpenAI ne répondra à aucune demande de ce type sans l’autorisation écrite préalable du Client, sauf que le Client autorise OpenAI à rediriger les Demandes des personnes concernées si nécessaire pour permettre au Client de répondre directement. Compte tenu de la nature du traitement, OpenAI assistera le Client en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour permettre au Client de répondre aux Demandes des personnes concernées.
  • 2.5 Sécurité. OpenAI mettra en œuvre et maintiendra des mesures de sécurité organisationnelles et techniques raisonnables et appropriées pour protéger les Données du Client, comme indiqué dans le Contrat.
  • 2.6 Assistance au client. OpenAI, en tenant compte de la nature du traitement et des informations qui lui sont disponibles, fournira une assistance raisonnable au Client pour l'aider à se conformer à ses obligations en vertu des Lois sur la protection des données, y compris, le cas échéant, la préparation d'analyses d'impact sur la protection des données concernant le traitement des Données du Client par OpenAI et, si nécessaire, la consultation du Client avec une autorité de contrôle compétente pour ce traitement, si une telle consultation est requise par les Lois sur la protection des données.
  • 2.7 Violations de données à caractère personnel. OpenAI informera le client sans délai indu après avoir pris connaissance de toute Violation de données à caractère personnel. OpenAI fournira une assistance raisonnable au Client pour l'aider à respecter ses obligations en vertu des Lois sur la protection des données concernant une telle Violation de données à caractère personnel.
  • 2.8 Évaluation de la conformité. OpenAI, sur demande écrite raisonnable du Client et dans la mesure requise par les Lois sur la protection des données : (i) fournira au Client les politiques de confidentialité et de sécurité d’OpenAI et d’autres informations nécessaires pour démontrer la conformité avec les obligations d’OpenAI en vertu du présent ATD au plus une fois par année; et (ii) à condition que les Parties aient un accord de confidentialité approprié en place, permettra les audits ou inspections par, ou pour le compte du Client et y contribuera, aux frais exclusifs du Client.  Un tel audit ou une telle inspection doit être : (A) effectué de manière à perturber le moins possible les activités commerciales d’OpenAI; (B) nécessaire pour confirmer qu’OpenAI traite les données du Client d’une manière conforme au présent ATD; et (C) ne doit pas se produire plus d'une fois par an. Lorsque les Lois sur la protection des données le permettent, OpenAI peut plutôt mettre à la disposition du Client un sommaire des rapports d'audit pertinents pour la conformité d’OpenAI au présent ATD. Ces résultats et cette documentation, y compris les résultats de tout audit ou de toute inspection, seront considérés comme des Informations confidentielles d'OpenAI.
  • 2.9 Recours à des sous-traitants ultérieurs. Le Client accorde par la présente une autorisation générale à OpenAI pour engager les sous-traitants ultérieurs listés dans la Liste des sous-traitants ultérieurs d’OpenAI afin de traiter les données du Client dans le cadre des services. OpenAI informera le Client de tout changement à la Liste des sous-traitants ultérieurs par un article de blogue, une notification dans les Services ou d'autres moyens raisonnables, ou par courriel si le Client s'abonne aux notifications par courriel sur le site de la Liste des sous-traitants ultérieurs. Le Client peut s'opposer à l'utilisation de tout sous-traitant ultérieur supplémentaire dans les 30 jours suivant la réception de l'avis de changement en suivant les instructions énoncées dans la Liste des sous-traitants ultérieurs ou en contactant privacy@openai.com. Dans un tel cas, OpenAI collaborera avec le Client pour répondre à ses préoccupations et proposer des options ou des solutions raisonnables sur le plan commercial. Si aucune des options ou solutions n'est commercialement viable, selon le jugement raisonnable d'OpenAI, ou si les objections n'ont pas été résolues à la satisfaction des Parties dans les 30 jours suivant la réception par OpenAI de la notification d'objection du Client, alors l'une ou l'autre des Parties peut résilier le Contrat ou tout bon de commande ou utilisation concernant les Services qui ne peuvent être fournis sans le recours au nouveau Sous-traitant ultérieur. Dans un tel cas, le Client recevra le remboursement de tous les frais prépayés applicables dans la mesure où ils couvrent des périodes ou des conditions suivant la date de cette résiliation.
  • 2.10 Obligations des sous-traitants ultérieurs. OpenAI conclura des accords contractuels avec chaque sous-traitant ultérieur, leur imposant des obligations comparables à celles imposées à OpenAI en vertu du présent ATD. Sous réserve des limitations de responsabilité incluses dans le Contrat, OpenAI restera responsable des actes et omissions de ses sous-traitants ultérieurs dans la même mesure qu'OpenAI serait responsable selon le présent ATD si elle accomplissait ces actes ou omissions elle-même.
  • 2.11 Restitution ou suppression des données. À l’expiration ou à la résiliation du Contrat, OpenAI, sur instruction du Client, retournera ou supprimera les Données du Client et les copies existantes, sauf si la conservation des Données du Client est requise par les lois applicables, auquel cas OpenAI les isolera et les protégera de tout traitement ultérieur, sauf dans la mesure requise par les lois applicables.

3. Obligations du Client.

  • 3.1 Avis et autorisations. Le Client déclare, garantit et stipule avoir fourni tous les avis nécessaires, et à disposer et à maintenir pendant toute la durée tous les droits, consentements et autorisations nécessaires, dans la mesure requise par les Lois sur la protection des données, pour fournir les Données du Client à OpenAI et pour autoriser OpenAI à traiter ces Données dans le cadre du Contrat, y compris le présent ATD.
  • 3.2 Coopération. Le Client doit raisonnablement coopérer avec OpenAI pour l'aider à remplir ses obligations en vertu des Lois sur la protection des données applicables.
  • 3.3 Configurations. Sans préjudice des obligations de sécurité d’OpenAI décrites à la section 2.5 du présent ATD, le Client reconnaît et accepte qu’il est responsable de certaines configurations et décisions de conception pour les Services et de la mise en œuvre de ces configurations et décisions de conception (p. ex., les périodes de conservation, la suppression, etc.) d’une manière conforme aux Lois sur la protection des données applicables.

4. Transferts internationaux de données.

  • 4.1 Données de l'EEE et de la Suisse. Les Données du Client traitées par OpenAI en vertu du présent ATD peuvent être soumises aux Lois sur la protection des données de l'Espace économique européen ou de la Suisse (« données de l'EEE et de la Suisse »). Indépendamment de la partie contractante applicable d'OpenAI en vertu du présent ATD, le Client instruit par la présente OpenAI Ireland Limited de traiter toutes les Données de l'EEE et de la Suisse en conformément au présent ATD. Dans la mesure où OpenAI Ireland Limited transfère des Données de l'EEE et de la Suisse à d'autres sociétés affiliées à OpenAI ou à des tiers en dehors de l'Espace économique européen ou de la Suisse pour fournir les services, elle le fera sur la base d'accords contenant des clauses contractuelles types (CCT) qui garantissent la mise en place de garanties appropriées pour la protection des Données du Client, ou d'une décision d'adéquation émise par la Commission européenne en vertu de l'article 45 du RGPD.
  • 4.2 Données du Royaume-Uni. Les Données du Client traitées par OpenAI en vertu du présent ATD peuvent être soumises aux Lois sur la protection des données du Royaume-Uni (« Données du Royaume-Uni. »). Indépendamment de la partie contractante applicable d'OpenAI en vertu du présent ATD, le Client instruit par la présente OpenAI OpCo, LLC de traiter toutes les données du Royaume-Uni en conformité avec le présent ATD et avec les CCT telles que modifiées par l'Addenda du Royaume-Uni, qui sont réputées conclues (et intégrées au présent ADT par cette référence) et complétées comme décrit à l'annexe 1.

5. Exigences supplémentaires.

Dans la mesure où les Lois américaines sur la protection de la vie privée s'appliquent :

  • 5.1 OpenAI s'engage à (a) ne pas fournir au Client une contrepartie financière ou autre en échange des Données du Client. Les parties reconnaissent et conviennent que le Client n’a pas « vendu » (tel que ce terme est défini par les Lois américaines sur la protection de la vie privée) les Données du Client à OpenAI; (b) ne pas « vendre » (tel que ce terme est défini par les Lois américaines sur la protection de la vie privée) ou « partager » (tel que ce terme est défini par le CCPA) des Données personnelles; (c) dans la mesure où le Client permet ou instruit OpenAI de traiter les Données du Client soumises aux Lois américaines sur la protection de la vie privée sous une forme dépersonnalisée dans le cadre des Services, OpenAI doit (i) adopter des mesures raisonnables pour empêcher que ces données dépersonnalisées ne soient utilisées pour déduire des informations sur, ou autrement être liées à, une personne physique ou un ménage particulier; (ii) s'engager publiquement à maintenir et à utiliser ces données dépersonnalisées sous cette forme et à ne pas tenter de les repersonnaliser, sauf si cela est permis par les Lois américaines sur la protection de la vie privée; et (iii) avant de partager des données dépersonnalisées avec toute autre partie, y compris les sous-traitants ultérieurs, obliger contractuellement ces destinataires à se conformer aux exigences de la disposition (c)(i)-(iii); et (d) lorsque les Données du Client sont soumises à la CCPA (i) ne pas conserver, utiliser, divulguer ou autrement traiter les Données du Client sauf si nécessaire pour aux fins commerciales précisées dans le Contrat, y compris sans limitation comme indiqué à l'annexe 1 du présent ATD; (ii) ne pas conserver, utiliser, divulguer ou autrement traiter les Données du Client d'une manière en dehors de la relation commerciale directe entre OpenAI et le Client; (iii) ne pas combiner les Données du Client avec des Données personnelles qu'OpenAI reçoit de ou pour le compte de tout autre tiers ou collecte à partir de ses propres interactions avec des individus, à condition qu'OpenAI puisse ainsi combiner les Données du Client pour un objectif permis par la CCPA si cela est dirigé par le Client ou autrement permis par la CCPA; (iv) aviser le Client sans retard indu si OpenAI détermine qu'il ne peut plus respecter ses obligations en vertu de la CCPA; et (v) si le Client croit raisonnablement que le traitement des Données du Client par OpenAI n'est pas conforme aux exigences de la CCPA et après notification raisonnable de la même chose à OpenAI, les Parties travailleront ensemble de bonne foi pour remédier au problème, ou, si après avoir travaillé ensemble, le Client détermine raisonnablement que le problème ne peut pas être résolu, OpenAI cessera de traiter les Données du Client concernées sur instruction écrite du Client.
  • Le Client ne doit entreprendre aucune action qui (i) rendrait le provisionnement des Données sur le client à OpenAI une « vente » selon les Lois américaines sur la protection de la vie privée ou un « partage » selon la CCPA (ou des concepts équivalents en vertu des lois américaines sur la protection de la vie privée); ou (ii) ferait qu’OpenAI ne soit pas considéré comme un « fournisseur de services » au sens de la CCPA ou un « sous-traitant » selon les Lois américaines sur la protection de la vie privée.

6. Définitions.

« Données du Client » désigne les données à caractère personnel traitées par OpenAI pour le compte du Client afin de fournir les services.

« Responsable du traitement des données » a la signification attribuée au terme « contrôleur » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« Sous-traitant » a la signification attribuée au terme « sous-traitant » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« Lois sur la protection des données » désigne les lois sur la confidentialité et la protection des données applicables au traitement des données du Client par OpenAI dans le cadre des services. 

« Personne concernée » a la signification attribuée au terme « personne concernée » (ou un autre terme analogue) en vertu des Lois sur la protection des données

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

« Données personnelles » a la signification attribuée au terme « données personnelles » ou « renseignements personnels » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« Violation de données personnelles » désigne une atteinte à la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès non autorisé aux Données du Client stockées, transmises ou autrement traitées par OpenAI, ses sous-traitants ou tout autre tiers agissant au nom d’OpenAI

« Traitement » a la signification attribuée au terme « traitement » (ou un autre terme analogue) en vertu des lois sur la protection des données.

« CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne le 4 juin 2021 (telles qu’elles peuvent être modifiées, mises à jour ou remplacées de temps à autre).

« Sous-traitants ultérieurs » désigne les sous-traitants engagés par OpenAI pour traiter les Données du Client dans le cadre des Services, répertoriés dans la Liste des sous-traitants ultérieurs.

« Liste des sous-traitants ultérieurs » désigne la liste disponible à l'adresse suivante https://platform.openai.com/subprocessors(s'ouvre dans une nouvelle fenêtre).

« Addenda du Royaume-Uni » désigne l'Addenda du Royaume-Uni aux CCT de l’UE publié par le Commissaire à l’information en vertu de l’article 119A(1) de la Loi sur la protection des données de 2018.

« Lois américaines sur la protection des données » désigne le sous-ensemble des Lois sur la protection des données applicables aux résidents des États-Unis, y compris, sans s'y limiter, la California Consumer Privacy Act (« CCPA »).

Annexe 1

Détails du traitement

1. Nature et objectif :

L’exécution des Services en vertu du Contrat.

2. Durée :

La durée et le temps nécessaire par la suite pour que les Parties remplissent leurs obligations applicables après la fin de la durée du contrat, y compris la suppression des données.

3. Catégories de Données du Client :

Le Client peut soumettre des données personnelles aux Services, dont les catégories dépendront de l'utilisation des Services par le Client, qui est déterminée et contrôlée par le Client à sa seule discrétion, mais elles peuvent inclure, sans s'y limiter, des noms, des coordonnées, des informations démographiques ou toute autre information fournie par les utilisateurs finaux du Client dans des données non structurées.

4. Catégories de personnes concernées :

Les Personnes concernées peuvent inclure, sans s'y limiter, les employés du Client, ses clients, ses fournisseurs et généralement les Utilisateurs finaux.

5. Données sensibles transférées (le cas échéant) :

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles qu'une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune donnée sensible n'est censée être transférée, sauf si l'utilisateur l'ajoute de manière inattendue dans des données non structurées.

6. Fréquence :

La fréquence du transfert (p. ex. que les données soient transférées de manière ponctuelle ou continue).

De façon continue selon l'utilisation des Services par le Client.

7. Transferts aux sous-traitants ultérieurs :

Conformément à l'article 2.9 du présent ATD, les sous-traitants ultérieurs traiteront les Données du Client comme il est nécessaire pour exécuter les Services. Un tel traitement sera effectué pendant la durée du Contrat, sauf si un accord contraire est convenu par écrit.

8. Informations sur les CCT pour le transfert de données du Royaume-Uni en vertu de la section 4.2 :

  • 8.1 Le module Deux (du Responsable du traitement au Sous-traitant) des CCT s'applique lorsque le Client est un Responsable du traitement des données et qu'OpenAI traite les Données du Client en tant que Sous-traitant. Le Module Trois (du Sous-traitant au Sous-traitant ultérieur) des CCT s'applique lorsque le Client est un Sous-traitant et qu'OpenAI traite les Données du Client en tant que sous-traitant ultérieur.
  • 8.2 Pour chaque module des CCT, le cas échéant, les dispositions suivantes s'appliquent : (i) La clause facultative d’adhésion de la clause 7 ne s'applique pas; (ii) Dans la clause 9, l'option 2 (autorisation écrite générale) s'applique, et le délai minimal de préavis pour les changements de sous-traitant ultérieur est celui prévu à la section 2.9 de l'ATD; (iii) Dans la clause 11, la formulation facultative ne s'applique pas; (iv) Tous les crochets de la clause 13 sont supprimés; (v) Dans la clause 17 (Option 1), les CCT seront régies par les lois de l'Angleterre et du Pays de Galles; (vi) Dans la clause 18(b), les litiges seront résolus devant les tribunaux d'Angleterre et du Pays de Galles; (vii) La présente annexe 1 contient les informations requises dans les annexes I et III des CCT; (viii) La section 2.5 (Sécurité) de l'ATD contient les informations requises dans l'annexe II des CCT; (ix) l'autorité de contrôle compétente est le Bureau du Commissaire à l'information (« ICO »).
  • 8.3 Exportateur(s) de données : le Client en vertu du Contrat; Importateur(s) de données : OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Responsable de la protection des données, privacy@openai.com.

Exécuter l'Accord sur le traitement des données(s'ouvre dans une nouvelle fenêtre)