← Retour

Accord de sous-traitance (DPA)

Conforme à l'article 28 du RGPD — Dernière mise à jour : 18 avril 2026

Article 1 — Objet

Le présent accord de sous-traitance (Data Processing Agreement, "DPA") est conclu entre :

  • Le Responsable de traitement : le Créancier-Utilisateur du Service Reddivo (ci-après "le Responsable")
  • Le Sous-traitant : Reddivo SAS, éditeur du logiciel SaaS Reddivo (ci-après "le Sous-traitant")

Le Sous-traitant traite des données personnelles pour le compte du Responsable dans le cadre de la fourniture du Service Reddivo, conformément aux instructions documentées du Responsable et aux Conditions Générales d'Utilisation.

Article 2 — Données traitées

  • Catégories de personnes concernées : débiteurs du Responsable (clients du Créancier)
  • Types de données : nom, prénom, dénomination sociale, adresse email, numéro de téléphone, montants facturés, dates de facturation et d'échéance
  • Finalité : automatisation des relances de paiement et génération de documents de relance pour le compte du Responsable
  • Durée : durée du contrat de Service + 90 jours, sous réserve des obligations légales de conservation (10 ans pour les données comptables)

Article 3 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  • Traiter les données uniquement sur instructions documentées du Responsable, y compris en ce qui concerne les transferts hors UE
  • Garantir la confidentialité des données en s'assurant que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
  • Mettre en oeuvre les mesures techniques et organisationnelles appropriées (article 32 RGPD) : chiffrement TLS en transit, chiffrement au repos, authentification sécurisée, sauvegardes, journalisation des accès
  • Ne pas sous-traiter sans autorisation préalable. Les sous-traitants ultérieurs autorisés sont listés à l'article 5
  • Assister le Responsable dans l'exécution de ses obligations (droits des personnes, analyses d'impact, notifications de violation)
  • Au terme du contrat, supprimer ou restituer les données au choix du Responsable, dans un délai de 90 jours
  • Mettre à disposition du Responsable toutes les informations nécessaires pour démontrer le respect des obligations du présent accord

Article 4 — Notification de violation

En cas de violation de données à caractère personnel (article 33 RGPD), le Sous-traitant notifie le Responsable dans un délai maximal de 72 heures après en avoir pris connaissance. La notification inclut :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes concernées
  • Les conséquences probables
  • Les mesures prises ou envisagées pour y remédier

Article 5 — Sous-traitants ultérieurs

Le Responsable autorise le recours aux sous-traitants ultérieurs suivants :

  • Supabase, Inc. (USA) — Hébergement base de données, authentification
  • Vercel, Inc. (USA) — Hébergement application web
  • Stripe, Inc. (USA) — Traitement des paiements (PCI DSS Level 1)
  • Resend, Inc. (USA) — Envoi d'emails transactionnels
  • Anthropic, PBC (USA) — Extraction IA des factures (traitement ponctuel)

Le Sous-traitant informe le Responsable de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours. Le Responsable peut s'opposer dans un délai de 15 jours.

Article 6 — Transferts hors UE

Les transferts de données vers les États-Unis (Supabase, Vercel, Stripe, Resend, Anthropic) sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision d'exécution 2021/914)
  • Le Data Privacy Framework UE-US lorsque l'entité destinataire est certifiée

Article 7 — Droit d'audit

Le Responsable dispose d'un droit d'audit sur les conditions de traitement des données. L'audit peut être réalisé par le Responsable ou un tiers mandaté, sous réserve d'un préavis raisonnable de 30 jours et dans le respect des obligations de confidentialité.

Article 8 — Contact

Délégué à la protection des données : dpo@reddivo.io

CGUPolitique de confidentialitéMentions légales