Accord de traitement de données (DPA)

Cet accord de traitement de données (DPA) est un accord contractuel conclu entre Facturio SARL (sous-traitant) et tout client utilisant nos services (responsable de traitement), conformément à l'Article 28 du Règlement Général sur la Protection des Données (RGPD).

1. Objet et durée

Facturio SARL s'engage à traiter les données personnelles du responsable de traitement pendant toute la durée d'utilisation du service Facturio, dans le strict respect des conditions définies par le responsable de traitement et conformément au RGPD.

Cet accord reste en vigueur aussi longtemps que Facturio SARL traite des données personnelles pour le compte du responsable de traitement.

2. Nature et finalités du traitement

Facturio SARL traite les données personnelles aux fins suivantes :

• Gestion de facturation et de devis
• Gestion comptable et suivi des transactions
• Suivi des paiements et des échéances
• E-facturation (PDP - Plateforme de Dématérialisation des Paiements)
• Génération de rapports et documents légaux
• Sécurité des systèmes et détection des fraudes

3. Types de données traitées

Les catégories suivantes de données personnelles peuvent être traitées :

Données d'identification

• Nom et prénom
• Adresse email
• Numéro de téléphone
• Fonction professionnelle

Données professionnelles

• SIRET / SIREN
• Numéro TVA intracommunautaire
• Raison sociale et adresse de l'entreprise
• Données de clients et fournisseurs
• Informations comptables et facturières

Données comptables

• Détails des factures (numéro, montant, date)
• Historique des paiements et des règlements
• Informations sur les clients et fournisseurs
• Paramètres fiscaux et régimes d'imposition

4. Catégories de personnes concernées

Les données traitées concernent les catégories de personnes suivantes :

• Utilisateurs du service Facturio
• Clients et fournisseurs des utilisateurs
• Contacts professionnels et associés
• Représentants légaux des entreprises clientes

5. Obligations du sous-traitant

5.1 Traitement sur instructions documentées

Facturio SARL traite les données personnelles uniquement sur instructions documentées et vérifiées du responsable de traitement. Tout traitement en dehors de ces instructions est interdit sans accord écrit préalable.

5.2 Confidentialité et engagement des personnels

Facturio SARL garantit que toute personne autorisée à traiter des données personnelles dans ses locaux ou sous son contrôle s'engage au respect d'une obligation de confidentialité ou est soumise à une obligation légale de confidentialité équivalente.

5.3 Mesures de sécurité (Article 32 RGPD)

Facturio SARL met en place et maintient des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté, notamment :

• Chiffrement des données en transit (HTTPS/TLS 1.3)
• Chiffrement des données sensibles au repos (AES-256)
• Authentification multifacteur (TOTP)
• Isolement multi-tenant strict avec contrôle d'accès basé sur les rôles (RBAC)
• Logs d'audit et monitoring continu
• Sauvegardes régulières et plan de reprise d'activité
• Audit de sécurité régulier
• Gestion des vulnérabilités et mise à jour sécurité

5.4 Sous-traitants ultérieurs

Facturio SARL utilise les sous-traitants ultérieurs suivants pour certaines fonctions du service. Le responsable de traitement a le droit de s'opposer à tout changement concernant l'ajout ou le remplacement d'autres sous-traitants, avec un délai de préavis approprié :

• Hébergement et Infrastructure : Coolify (auto-hébergé en France/UE)
• Authentification : NextAuth.js (traitement en UE)
• Email : Services SMTP configurés par le client (responsable du choix du prestataire)
• IA et OCR : Mistral API (sous contrat DPA approprié)
• Cache (optionnel) : Upstash Redis (optionnel, fallback mémoire local possible)

Toute liste mise à jour de sous-traitants ultérieurs sera communiquée au responsable de traitement et sera disponible à sa demande.

5.5 Assistance concernant les droits des personnes

Facturio SARL assiste le responsable de traitement pour répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, effacement, portabilité, limitation, opposition). Cette assistance est fournie gratuitement dans un délai raisonnable.

5.6 Notification des violations de données

Facturio SARL notifie sans délai injustifié et au plus tard dans les 24 heures suivant le constat d'une violation de données personnelles le responsable de traitement, afin de lui permettre de notifier à son tour l'autorité de contrôle et les personnes concernées dans le délai de 72 heures prévu par l'Article 33 RGPD.

5.7 Suppression et restitution des données

À la fin de la relation contractuelle, Facturio SARL restitue ou supprime toutes les données personnelles du responsable de traitement, selon les instructions de ce dernier, sauf si la loi impose une conservation.

Note : Les données comptables sont conservées pendant 10 ans conformément à l'Article L123-22 du Code de commerce, même après résiliation du contrat.

5.8 Mise à disposition de documentation et audits

Facturio SARL met à disposition du responsable de traitement et des autorités de contrôle toute documentation et information nécessaires pour prouver le respect des obligations découlant du RGPD et de cet accord DPA. Facturio SARL autorise et facilite les audits de conformité à la demande du responsable de traitement ou de toute autorité de contrôle.

6. Lieu de traitement des données

Les données personnelles sont traitées et stockées en France ou dans l'Union Européenne, via l'infrastructure Facturio SARL auto-hébergée sur Coolify. Tout transfert en dehors de l'UE serait soumis à des mécanismes de protection appropriés (clauses contractuelles types, décisions d'adéquation) et ferait l'objet d'une communication préalable au responsable de traitement.

7. Durée de conservation des données

Données comptables et facturières

10 ans (obligation légale française Art. L123-22 du Code de commerce)

Données de compte utilisateur actif

Pendant toute la durée du contrat + 30 jours après suppression du compte

Logs de sécurité et d'audit

12 mois maximum

Données de sauvegarde

Conformément aux politiques de rétention Facturio SARL (minimum 30 jours)

8. Droits et réclamations

8.1 Droit de réclamation auprès du DPO

Pour toute question ou réclamation concernant le traitement de vos données personnelles, contactez le Délégué à la Protection des Données de Facturio SARL :

Email : dpo@facturio.fr

8.2 Droit de réclamation auprès de la CNIL

Si vos droits ne sont pas respectés, vous avez le droit de formuler une réclamation auprès de l'autorité de contrôle compétente :

• CNIL (France) : www.cnil.fr
• Adresse : CNIL, 3 Place de Fontenoy, 75007 Paris
• Téléphone : 01 53 73 22 22

9. Responsabilités respectives

Responsable de traitement : Vous êtes responsable de la légalité des données collectées, du consentement des personnes concernées et du respect de vos obligations légales.

Sous-traitant (Facturio SARL) : Facturio SARL est responsable du respect des mesures de sécurité et de confidentialité, et de la conformité du traitement aux instructions documentées.

10. Modifications et mise à jour

Facturio SARL se réserve le droit de mettre à jour cet accord pour se conformer à l'évolution de la législation, aux meilleures pratiques de sécurité ou à l'amélioration de ses services. Toute modification matérielle sera communiquée au responsable de traitement avec un préavis d'au moins 30 jours.

11. Coordonnées et point de contact

Entité responsable

Facturio SARL

Contact général

contact@facturio.fr

Délégué à la Protection des Données

dpo@facturio.fr