Accord de sous-traitance (DPA)
Conforme aux exigences de l'article 28 du RGPD. Ce document encadre le traitement des données personnelles réalisé par l'Éditeur pour le compte du Client.
Parties & rôles
| Partie | Rôle | Définition |
|---|---|---|
| Client | Responsable du traitement | Entité professionnelle souscrivant au Service, qui détermine les finalités et moyens du traitement. |
| Éditeur SaaS | Sous-traitant | Société éditrice du logiciel, traitant les données pour le compte du Client sur instructions documentées. |
Définitions clés
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
- Sous-traitant ultérieur : prestataire intervenant pour le compte de l'Éditeur (voir Annexe 3).
- Service : solution SaaS de facturation et d'exports. Lorsque le mode connecté est activé, le Service est une solution compatible raccordée à une plateforme agréée (PA, ex‑PDP).
Objet et durée
Le présent accord encadre le traitement des données personnelles réalisé par l'Éditeur pour le compte du Client dans le cadre de la fourniture du Service (logiciel de facturation B2B).
Il s'applique pendant la durée du contrat principal, puis selon les obligations légales applicables (ex. conservation fiscale 6 ans, comptable 10 ans).
Instructions documentées
L'Éditeur traite les données personnelles uniquement sur instructions documentées du Client, y compris pour les éventuels transferts hors EEE.
Si une instruction imposée par le Client est contraire au RGPD ou à d'autres dispositions légales applicables, l'Éditeur en informe le Client sans délai.
Confidentialité
Le personnel habilité de l'Éditeur est soumis à une obligation de confidentialité (contractuelle ou légale) et n'accède aux données personnelles que dans la stricte limite du besoin pour accomplir sa mission.
Sécurité — Annexe 2 (Mesures techniques et organisationnelles)
L'Éditeur met en place des mesures techniques et organisationnelles appropriées (TOMs) pour assurer un niveau de sécurité adapté au risque :
Pour le détail complet, consulter la page sécurité.
Sous-traitants ultérieurs — Annexe 3
La liste des sous-traitants ultérieurs est maintenue à jour. Le Client est informé de toute modification significative et peut s'opposer pour motif légitime dans un délai raisonnable. En cas d'opposition, les parties recherchent une solution alternative ou peuvent convenir de la résiliation de la fonctionnalité concernée.
| Nom | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVHcloud | Hébergement applicatif et bases de données | France (UE/EEE) | — |
| Mailgun (Twilio) | Envoi d'emails transactionnels (notifications, factures) | États-Unis (transfert possible) | SCC (clauses contractuelles types) |
| Stripe | Paiement en ligne et gestion des abonnements | Irlande (UE) + États-Unis | SCC |
| Sentry | Monitoring applicatif et gestion des erreurs | UE | DPA Sentry |
| Seqino (plateforme agréée) | Transmission réglementaire via plateforme agréée (PA, ex‑PDP) | France | Obligatoire pour la transmission e‑invoicing via Seqino |
Dernière mise à jour : 2026-01-21. Cette liste peut évoluer ; notification via email en cas de changement substantiel.
Assistance
L'Éditeur fournit une assistance raisonnable au Client pour :
- Les demandes d'exercice de droits des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation).
- La réalisation d'une analyse d'impact relative à la protection des données (DPIA) si nécessaire.
- Les mesures de sécurité et la gestion des incidents.
Contact support : communiqué lors de la souscription.
Violation de données
L'Éditeur notifie le Client sans délai indu après la découverte d'une violation de données personnelles, au plus tard dans les délais légaux applicables.
La notification comprend, dans la mesure du possible :
- La nature de l'incident et les catégories de données concernées.
- Le nombre approximatif de personnes et d'enregistrements concernés.
- Les impacts potentiels et les mesures correctives prises ou envisagées.
Il appartient ensuite au Client (Responsable du traitement) de notifier la CNIL si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.
Audit
Le Client peut auditer l'Éditeur dans des conditions raisonnables :
- Préavis raisonnable (typiquement 30 jours sauf urgence).
- Périmètre limité aux données et traitements couverts par ce DPA.
- Respect des obligations de confidentialité.
Les coûts excessifs ou répétés peuvent être à la charge du Client.
Sort des données en fin de contrat
Au terme du contrat, l'Éditeur procède, au choix du Client, à la restitution ou à la suppression des données personnelles, sauf obligation légale de conservation (ex. factures : conservation fiscale 6 ans, comptable 10 ans).
Une restitution supplémentaire (export ZIP) peut être fournie sur demande dans un délai raisonnable (ex. 30 jours après résiliation). Les données personnelles dans les journaux techniques sont masquées.
Transferts hors EEE
Par défaut, les données sont hébergées via un fournisseur UE/EEE (OVHcloud, France).
Si un transfert hors EEE est requis (ex. certains sous-traitants), des garanties appropriées sont mises en place : clauses contractuelles types (SCC) approuvées par la Commission Européenne ou autres mécanismes conformes au RGPD.
Annexe 1 — Description des traitements
Finalités du traitement
- Facturation et gestion des clients
- Génération de documents (PDF, Factur‑X) et exports
- Support client et assistance technique
- Sécurité, prévention des abus, journalisation et audit
Catégories de données
- Identités et coordonnées professionnelles (utilisateurs, contacts)
- Données de facturation (clients, fournisseurs, montants, références)
- Données potentiellement personnelles dans les factures et documents joints
- Logs techniques (identifiants, adresses IP, événements de sécurité)
Personnes concernées
- Employés et utilisateurs du Client
- Clients et fournisseurs du Client
- Utilisateurs finaux habilités par le Client
Durée
Durée du contrat + obligations légales applicables (conservation fiscale 6 ans, comptable 10 ans minimum).