Passer au contenu principal
OpenAI

Updated: 1 décembre 2025

Addendum sur le traitement des données d’OpenAI

Télécharger le PDF(ouverture dans une nouvelle fenêtre)

Entrée en vigueur : 1er janvier 2026

(Voir l’addendum précédent sur le traitement des données)

Le présent Addendum sur le traitement des données d’OpenAI (« ATD ») complète et est intégré au Contrat de services OpenAI (« Contrat ») qui régit l’utilisation des Services. Il est conclu à la Date d’entrée en vigueur entre le Client identifié ci-dessus (« Client ») et OpenAI OpCo, LLC, en son nom et au nom de ses Affiliés, le cas échéant, sauf si le Client est basé dans un pays de l’Espace économique européen ou en Suisse, auquel cas il est conclu avec OpenAI Ireland Ltd., en son nom et au nom de ses Affiliés, le cas échéant (« OpenAI »). Les termes en majuscules non définis dans le présent ATD conservent la signification qui leur est donnée dans le Contrat. Dans le présent ATD, OpenAI et le Client sont chacun désignés comme une « Partie » et collectivement comme les « Parties ». Le Client déclare qu’il est légalement habilité à conclure le présent Contrat et, s’il conclut le Contrat pour le compte d’une entité, qu’il a l’autorité légale pour engager cette entité. En cliquant sur « J’accepte », en acceptant le Bon de commande ou en utilisant les Services, le Client s’engage à respecter le présent Contrat.

1. Points clés.

  • 1.1 Champ d’application et rôles. Dans le cadre de la fourniture des Services au Client en vertu du Contrat, OpenAI peut traiter les Données du Client pour le compte du Client. OpenAI agit en tant que Sous-traitant pour le compte du Client, et le présent ATD régit ce traitement.
  • 1.2 Informations sur le traitement. OpenAI ne traitera les Données du Client que dans le but de fournir les services au Client conformément au Contrat et au présent ATD. Les détails concernant la nature, la durée, ainsi que les types de Données du Client et les catégories de Personnes concernées impliquées, sont énoncés à l’Annexe 1 (Informations sur le traitement) de cet ATD. OpenAI et le Client conviennent chacun de respecter leurs obligations respectives en vertu des Lois sur la protection des données en lien avec les services.

2. Obligations d’OpenAI.

  • 2.1 Instructions du Client. Les Parties conviennent que le présent ATD, le Contrat (y compris le Bon de commande) et toute instruction fournie par l’intermédiaire des outils de configuration et d’autres outils mis à disposition par OpenAI dans les Services, constituent les instructions documentées du Client relatives au traitement des Données du Client par OpenAI (« Instructions du Client »). OpenAI traitera les Données du Client uniquement conformément aux instructions du Client, sauf si la loi applicable à laquelle OpenAI est soumis l’exige, auquel cas OpenAI informera le Client de cette exigence avant le traitement, sauf interdiction légale de le faire.
  • 2.2 Avis au Client. OpenAI informera rapidement le Client par écrit si, de l’avis d’OpenAI, une instruction du Client enfreint les Lois sur la protection des données. OpenAI informera le Client, dans la mesure légalement permise, si OpenAI reçoit une demande juridiquement contraignante de divulgation des Données du Client émanant d’une autorité chargée de l’application de la loi.
  • 2.3 Confidentialité. OpenAI veillera à ce que toutes les personnes autorisées par OpenAI à traiter les Données du Client se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  • 2.4 Demandes des personnes concernées. OpenAI informera le Client, dans la mesure permise par la loi, si OpenAI reçoit une demande d’exercice des droits des personnes concernées conformément aux Lois sur la protection des données (« Demande de la personne concernée ») concernant les Données du Client.  OpenAI ne répondra à aucune demande de ce type sans l’autorisation écrite préalable du Client, sauf si le Client autorise OpenAI à rediriger les demandes des personnes concernées si nécessaire pour permettre au Client de répondre directement. Compte tenu de la nature du traitement, OpenAI assistera le Client en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour permettre au Client de répondre aux demandes des personnes concernées.
  • 2.5 Sécurité. OpenAI mettra en œuvre et maintiendra des mesures de sécurité organisationnelles et techniques raisonnables et appropriées pour protéger les Données du Client, comme énoncé dans le Contrat.
  • 2.6 Assistance au Client. OpenAI, en tenant compte de la nature du traitement et des informations disponibles pour OpenAI, fournira une assistance raisonnable au Client pour l’aider à se conformer à ses obligations en vertu des Lois sur la protection des données, notamment, le cas échéant, la préparation d’analyses d’impact sur la protection des données concernant le traitement des Données du Client par OpenAI et, si nécessaire, la consultation par le Client d’une autorité de contrôle compétente sur ce traitement, si une telle consultation est requise par les Lois sur la protection des données.
  • 2.7 Violations de données à caractère personnel. OpenAI notifiera le Client sans délai indu dès qu'il aura connaissance de toute violation de données à caractère personnel. OpenAI fournira une assistance raisonnable au Client pour l’aider à se conformer à ses obligations en vertu des Lois sur la protection des données concernant une telle violation de données à caractère personnel.
  • 2.8 Évaluation de la conformité. OpenAI, sur demande écrite raisonnable du Client et dans la mesure requise par Les lois sur la protection des données : (i) au maximum une fois par an, fournira au Client les politiques de confidentialité et de sécurité d’OpenAI ainsi que toute autre information nécessaire pour démontrer le respect des obligations d’OpenAI en vertu de cet ATD ; et (ii) à condition que les Parties aient mis en place un accord de confidentialité approprié, permettra des audits et/ou des inspections par le Client ou pour son compte et y contribuera, aux frais exclusifs du Client.  Un tel audit ou une telle inspection doit être : (A) mené(e) de manière à perturber le moins possible l’activité d’OpenAI ; (B) nécessaire pour confirmer qu’OpenAI traite les Données du Client conformément au présent ATD ; et (C) ne doit avoir lieu qu’une fois par an. Lorsque les Lois sur la protection des données le permettent, OpenAI peut mettre à la disposition du Client un résumé des rapports d’audit pertinents pour la conformité d’OpenAI à cet ATD. Ces résultats et cette documentation, y compris les résultats de tout audit ou inspection, constitueront les Informations confidentielles d’OpenAI.
  • 2.9 Engagement des Sous-traitants. Le Client accorde par la présente une autorisation générale à OpenAI pour engager les Sous-traitants listés dans la liste des Sous-traitants afin de traiter les Données du Client dans le cadre des services. OpenAI informera le Client de toute modification de la liste des Sous-traitants à l’aide d’un article de blog, d’une notification au sein des services ou par d’autres moyens raisonnables, ou par e-mail si le Client s’abonne aux notifications par e-mail sur le site de la liste des Sous-traitants. Le Client peut s’opposer à l’utilisation de ce Sous-traitant supplémentaire dans les 30 jours suivant la réception de l’avis de changement en suivant les instructions énoncées dans la liste des Sous-traitants ou en contactant privacy@openai.com. Dans ce cas, OpenAI travaillera avec le Client pour répondre à ses préoccupations et proposer des alternatives ou des solutions commercialement raisonnables. Si aucune des alternatives ou solutions n’est commercialement viable, selon le jugement raisonnable d’OpenAI, ou si les objections n’ont pas été résolues à la satisfaction des Parties dans les 30 jours suivant la réception par OpenAI de la notification d’objection du Client, alors l’une ou l’autre des Parties peut résilier le Contrat ou tout Bon de commande ou utilisation concernant les Services qui ne peuvent être fournis sans le recours au nouveau Sous-traitant. Dans ce cas, le Client sera remboursé de tous les frais prépayés applicables dans la mesure où ils couvrent des périodes ou des termes suivant la date de cette résiliation.
  • 2.10 Obligations des Sous-traitants ultérieurs. OpenAI conclura des accords contractuels avec chaque Sous-traitant ultérieur qui leur impose des obligations comparables à celles imposées à OpenAI en vertu de cet ATD. Sous réserve des limitations de responsabilité incluses dans le Contrat, OpenAI restera responsable des actes et des omissions de ses Sous-traitants ultérieurs dans la même mesure qu’OpenAI serait responsable en vertu de cet ATD si il effectuait ces actes ou omissions lui-même.
  • 2.11 Restitution ou suppression des données. À l’expiration ou à la résiliation du Contrat, OpenAI, selon les instructions du Client, retournera ou supprimera les Données du Client, ainsi que les copies existantes, sauf si la conservation des Données du Client est requise par les lois applicables, auquel cas OpenAI les isolera et les protégera de tout traitement ultérieur, sauf dans la mesure requise par les lois applicables.

3. Obligations du Client.

  • 3.1 Avis et autorisations. Le Client déclare, garantit et s’engage à avoir fourni tous les avis nécessaires, et à disposer et à maintenir pendant toute la durée du présent Contrat tous les droits, les consentements et les autorisations nécessaires, dans la mesure requise par les Lois sur la protection des données, pour fournir les Données du Client à OpenAI et autoriser OpenAI à traiter les Données du Client dans le cadre du Contrat, y compris le présent ATD.
  • 3.2 Coopération. Le Client doit coopérer raisonnablement avec OpenAI pour aider OpenAI à remplir ses obligations en vertu des lois applicables sur la protection des données.
  • 3.3 Configurations. Sans préjudice aux obligations de sécurité d’OpenAI énoncées à la section 2.5 du présent ATD, le Client reconnaît et accepte qu’il est responsable de certains paramètres et décisions de conception pour les Services et de la mise en œuvre de ces paramètres et de ces décisions de conception (par exemple, les périodes de conservation, la suppression, etc.) de manière conforme aux Lois sur la protection des données applicables.

4. Transferts internationaux de données.

  • 4.1 Données de l’EEE et de la Suisse. Les Données du Client traitées par OpenAI dans le cadre de cet ATD peuvent relever du champ d’application des Lois sur la protection des données de l’Espace économique européen ou de la Suisse (« Données de l’EEE et de la Suisse »). Indépendamment de la Partie contractante applicable d’OpenAI en vertu de cet ATD, le Client instruit par la présente OpenAI Ireland Limited de traiter toutes les données de l’EEE et de la Suisse en conformité avec cet ATD. Dans la mesure où OpenAI Ireland limité transfère des données de l’EEE et de la Suisse à d’autres affiliés d’OpenAI ou à des tiers en dehors de l’Espace économique européen ou de la Suisse pour fournir les services, elle le fera sur la base d’accords contenant des clauses contractuelles types (CCT) qui garantissent la mise en place de garanties appropriées pour la protection des Données du Client ou d’une décision d’adéquation émise par la Commission européenne en vertu de l’article 45 du RGPD.
  • 4.2 Données du Royaume-Uni. Les Données du Client traitées par OpenAI dans le cadre de cet ATD peuvent relever du champ d’application des Lois sur la protection des données du Royaume-Uni (« UK Data »). Indépendamment de la Partie contractante d’OpenAI applicable en vertu de cet ATD, le Client instruit par la présente OpenAI OpCo, LLC de traiter toutes les Données du Royaume-Uni en conformité avec cet ATD et avec les CCT telles que modifiées par l’Addendum du Royaume-Uni, qui sont réputées conclues (et intégrées au présent ATD par cette référence) et complétées comme décrit à l’Annexe 1.

5. Autres exigences.

Dans la mesure où les lois américaines sur la protection de la vie privée s’appliquent :

  • 5.1 OpenAI s’engage à (a) ne pas fournir au Client une contrepartie monétaire ou autre en échange des Données du Client provenant du Client. Les Parties reconnaissent et conviennent que le Client n’a pas « vendu » (tel que ce terme est défini par les lois américaines sur la protection de la vie privée) les Données du Client à OpenAI ; (b) ne pas « vendre » (tel que ce terme est défini par les lois américaines sur la protection de la vie privée) ou « partager » (tel que ce terme est défini par le CCPA) les Données Personnelles ; (c) dans la mesure où le Client permet ou instruit OpenAI de traiter les Données du Client soumises aux lois américaines sur la protection de la vie privée sous une forme dé-identifiée dans le cadre des Services, OpenAI doit (i) adopter des mesures raisonnables pour empêcher que ces données dé-identifiées ne soient utilisées pour déduire des informations sur, ou d’une autre façon liées à, une personne physique ou un ménage particulier ; (ii) s’engager publiquement à maintenir et à utiliser ces données dé-identifiées sous cette forme et ne pas tenter de ré-identifier les informations, sauf si cela est permis par les lois américaines sur la protection de la vie privée ; et (iii) avant de partager des données dé-identifiées avec tout autre tiers, notamment les Sous-traitants, obliger contractuellement ces destinataires à se conformer aux exigences de cette disposition (c)(i)-(iii) ; et (d) lorsque les Données du Client sont soumises au CCPA (i) ne pas conserver, utiliser, divulguer ou d’une autre façon traiter les Données du Client sauf si nécessaire pour les activités spécifiées dans le Contrat, notamment, sans limitation, comme indiqué dans l’Annexe 1 de cet ATD ; (ii) ne pas conserver, utiliser, divulguer ou de toute autre façon traiter les Données du Client d’une manière en dehors de la relation commerciale directe entre OpenAI et le Client ; (iii) ne pas combiner les Données du Client avec des Données personnelles qu’OpenAI reçoit de ou pour le compte de tout autre tiers ou collecte à partir de ses propres interactions avec des individus, à condition qu’OpenAI puisse ainsi combiner les Données du Client pour un objectif permis par le CCPA si cela est instruit par le Client ou autrement permis par le CCPA ; (iv) notifier le Client sans retard indu si OpenAI détermine qu’il ne peut plus respecter ses obligations en vertu du CCPA ; et (v) si le Client croit raisonnablement que le traitement des Données du Client par OpenAI n’est pas conforme aux exigences du CCPA et après notification raisonnable de la même chose à OpenAI, les Parties travailleront ensemble de bonne foi pour remédier au problème, ou, si après avoir travaillé ensemble, le Client détermine raisonnablement que le problème ne peut pas être résolu, OpenAI cessera de traiter les Données du Client affectées sur instruction écrite du Client.
  • 5.2 Le Client s’engage à ne pas entreprendre d’action qui (a) ferait du provisionnement des Données du Client à OpenAI une « vente » selon les Lois américaines sur la protection de la vie privée ou un « partage » selon le CCPA (ou des concepts équivalents en vertu des Lois américaines sur la protection de la vie privée) ; ou (ii) ferait qu’OpenAI ne soit pas considérée comme un « prestataire de services » selon le CCPA ou un « Sous-traitant » selon les Lois américaines sur la protection de la vie privée.

6. Définitions.

« Données du Client » désigne les données à caractère personnel traitées par OpenAI pour le compte du Client afin de fournir les services

« Responsable du traitement des données » a la signification attribuée au terme « responsable » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« Sous-traitant » a la signification attribuée au terme « processeur » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

Les « Lois sur la protection des données » désignent les Lois sur la confidentialité et la protection des données applicables au traitement des Données du Client par OpenAI dans le cadre des Services. 

« Personne concernée » a la signification attribuée au terme « personne concernée » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

« Données à caractère personnel » a la signification attribuée au terme « données à caractère personnel » ou « informations personnelles » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« Violation de données personnelles » désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l’accès non autorisé aux Données du Client stockées, transmises ou autrement traitées par OpenAI, ses Sous-traitants, ou tout autre tiers agissant pour le compte d’OpenAI.

« Traitement » a la signification attribuée au terme « traitement » (ou un autre terme analogue) en vertu des Lois sur la protection des données.

« CCT » désigne les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers adoptées par la Commission européenne le 4 juin 2021 (telles que modifiées, mises à jour ou remplacées au fil du temps).

« Sous-traitants » désigne les Sous-traitants engagés par OpenAI pour traiter les données des Clients dans le cadre des services, répertoriés dans la liste des Sous-traitants.

« Liste des Sous-traitants » désigne la liste disponible à l’adresse suivante https://platform.openai.com/subprocessors(ouverture dans une nouvelle fenêtre).

« UK Addendum » désigne l’addendum du Royaume-Uni aux CCT de l’UE publié par le Commissaire à l’information en vertu de l’article 119A(1) du Data Protection Act de 2018.

« Lois américaines sur la protection de la vie privée » désigne le sous-ensemble des Lois sur la protection des données applicables aux résidents des États-Unis, y compris, mais sans s’y limiter, le California Consumer Privacy Act (« CCPA »).

Annexe 1

Détails du traitement

1. Nature et objectif :

L’exécution des services en vertu du Contrat.

2. Durée :

La Durée du Contrat, ainsi que le temps nécessaire par la suite pour que les Parties remplissent leurs obligations applicables après la fin de la durée, notamment la suppression des données.

3. Catégories de Données du Client :

Le Client peut soumettre des Données Personnelles aux Services, dont les catégories dépendront de l’utilisation que le Client fait des Services, laquelle est déterminée et contrôlée par le Client à sa seule discrétion. Elles peuvent inclure, sans s’y limiter, les noms, les coordonnées, les informations démographiques ou toute autre information fournie par les utilisateurs finaux du Client dans des données non structurées.

4. Catégories de personnes concernées :

Les personnes concernées peuvent inclure, sans s’y limiter, les employés du Client, les Clients, les fournisseurs et généralement les utilisateurs finaux.

5. Données sensibles transférées (le cas échéant) :

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme une stricte limitation de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune donnée sensible n’est censée être transférée, sauf si l’utilisateur l’ajoute de manière inattendue dans des données non structurées.

6. Fréquence :

Fréquence des transferts (par exemple, si les données sont transférées sur une base ponctuelle ou continue) :

Sur une base continue en fonction de l’utilisation par le Client des Services

7. Transferts à des Sous-traitants :

Conformément à l’article 2.9 de l’ATD, les Sous-traitants traiteront les Données du Client comme nécessaire pour exécuter les services. Un tel traitement sera effectué pendant la durée du Contrat, sauf accord contraire par écrit.

8. Informations sur les CCT pour transférer les données du Royaume-Uni en vertu de la section 4.2 :

  • Le Module deux (du Responsable du traitement au Sous-traitant) des CCT s’applique lorsque le Client est un Responsable du traitement des données et qu’OpenAI traite les Données du Client en tant que Sous-traitant. Le Module trois (du Sous-traitant au Sous-traitant ultérieur) des CCT s’applique lorsque le client est un Sous-traitant et qu’OpenAI traite les Données du Client en tant que Sous-traitant ultérieur.
  • 8.2 Pour chaque module des CCT, le cas échéant, les dispositions suivantes s’appliquent : (i) la clause facultative d’adhésion prévue à la Clause 7 ne s’applique pas ; (ii) à la Clause 9, l’Option 2 (autorisation écrite générale) s’applique, et le délai minimal de préavis pour les changements de Sous-traitant ultérieur est celui prévu à la Section 2.9 de l’ATD ; (iii) à la Clause 11, la formulation facultative ne s’applique pas ; (iv) tous les crochets dans la Clause 13 sont supprimés ; (v) à la Clause 17 (Option 1), les CCT seront régies par le droit anglais et gallois ; (vi) à la Clause 18(b), les litiges seront résolus devant les tribunaux d’Angleterre et du Pays de Galles ; (vii) le présent Annexe 1 contient les informations requises aux Annexes I et III des CCT ; (viii) la Section 2.5 (Sécurité) de l’ATD contient les informations requises à l’Annexe II des CCT ; (ix) l’autorité de contrôle compétente est le Bureau du Commissaire à l’information (« ICO »).
  • 8.3 Exportateur(s) de données : le Client en vertu du Contrat ; Importateur(s) de données : OpenAI OpCo, LLC, 1455 3rd Street, San Francisco, CA 94158, Délégué à la protection des données, privacy@openai.com.

Signer l’Accord sur le traitement des données(ouverture dans une nouvelle fenêtre)