Aller au contenu principal
DéclarPro — logiciel attestations et facturation artisan BTPDéclarPro

Accord de sous-traitance des donnees personnelles (DPA)

Data Processing Agreement — Article 28 du RGPD

Version 1.2 — 1er mars 2026

Entre les soussignes
Identification des parties au present Accord

Le Responsable de traitement :

Tout Utilisateur professionnel inscrit au Service DeclarPro, agissant en qualite de responsable de traitement au sens de l'article 4.7 du Reglement (UE) 2016/679.

(ci-apres le « Responsable de traitement » ou « l'Utilisateur »)

Le Sous-traitant :

Gregoire Gibert, Entrepreneur Individuel, exercant sous le nom commercial « DeclarPro »

SIRET : 924 833 767 00016

Siege social : 6 Rue Lesage, 75020 Paris

Email : privacy@declarpro.fr

(ci-apres le « Sous-traitant » ou « DeclarPro »)

Le Responsable de traitement et le Sous-traitant sont designes individuellement « la Partie » et collectivement « les Parties ».

Preambule

CONSIDERANT QUE :

  1. Le Responsable de traitement est un professionnel du chauffage, de la climatisation, de la plomberie ou d'un metier connexe du batiment, qui utilise le Service DeclarPro dans le cadre de son activite professionnelle ;
  2. Dans le cadre de l'utilisation du Service, le Responsable de traitement saisit des donnees personnelles relatives a ses propres clients (ci-apres les « Clients Finaux »), notamment pour la generation de documents reglementaires obligatoires (attestations d'entretien, CERFA, certificats de conformite, etc.) ;
  3. Pour ces traitements portant sur les donnees des Clients Finaux, l'Utilisateur agit en qualite de responsable de traitement et DeclarPro agit en qualite de sous-traitant au sens des articles 4.7 et 4.8 du Reglement (UE) 2016/679 du 27 avril 2016 (ci-apres le « RGPD ») ;
  4. Conformement a l'article 28 du RGPD, les relations entre le responsable de traitement et le sous-traitant doivent etre regies par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un Etat membre, qui lie le sous-traitant a l'egard du responsable de traitement ;
  5. Le present Accord constitue cet acte juridique et fait partie integrante des Conditions Generales d'Utilisation et de Vente (CGU/CGV) du Service DeclarPro ;

IL A ETE CONVENU CE QUI SUIT :

Article 1 — Objet

1.1 Objet du present Accord

Le present Accord de sous-traitance des donnees personnelles (ci-apres l'« Accord » ou le « DPA ») definit les conditions dans lesquelles le Sous-traitant s'engage a effectuer, pour le compte du Responsable de traitement, les operations de traitement de donnees personnelles decrites ci-apres, dans le respect du RGPD, de la loi n° 78-17 du 6 janvier 1978 modifiee (« Loi Informatique et Libertes ») et de toute reglementation applicable en matiere de protection des donnees personnelles.

1.2 Hierarchie des documents

Le present Accord fait partie integrante des CGU/CGV du Service DeclarPro et de la Politique de Confidentialite. En cas de contradiction entre le present Accord et les CGU/CGV, les dispositions du present Accord prevalent pour tout ce qui concerne le traitement des donnees personnelles.

1.3 Duree

Le present Accord prend effet a la date d'inscription de l'Utilisateur au Service (ou a la date de publication du present Accord pour les Utilisateurs deja inscrits) et demeure en vigueur pendant toute la duree de l'utilisation du Service, y compris pendant les periodes d'archivage des donnees posterieures a la resiliation de l'abonnement, jusqu'a la suppression effective de l'ensemble des donnees personnelles traitees pour le compte du Responsable de traitement.

Article 2 — Description du traitement

2.1 Nature et finalite du traitement

Le Sous-traitant traite les donnees personnelles des Clients Finaux pour le compte du Responsable de traitement aux fins suivantes :

FinaliteDescription
Generation de documents reglementairesCreation d'attestations d'entretien (chaudiere gaz, PAC), de certificats de conformite gaz (CC2), de CERFA fluides frigorigenes (15497*04), de rapports de controle d'etancheite, de certificats de ramonage, de bordereaux BSFF et de tout autre document professionnel disponible dans le Service
Archivage legal des documentsConservation des Documents Generes et des donnees associees pendant les durees de conservation applicables
Gestion du fichier clientsStockage et organisation des donnees des Clients Finaux pour permettre a l'Utilisateur de suivre ses interventions et son historique client
Signature electroniqueRecueil et conservation de la signature manuscrite numerisee des Clients Finaux apposee sur les documents
Envoi des documentsTransmission par email des Documents Generes aux Clients Finaux, sur instruction de l'Utilisateur
Alertes et rappelsGeneration d'alertes a destination de l'Utilisateur concernant les echeances d'entretien de ses Clients Finaux
Transmission aux API etatiquesTransmission des donnees necessaires aux plateformes publiques (TrackDechets, ADEME) sur instruction de l'Utilisateur pour l'accomplissement de ses obligations legales

2.2 Types de donnees personnelles traitees

CategorieDonnees
Identification des Clients FinauxNom, prenom ou raison sociale ; adresse du lieu d'intervention ; adresse de facturation (si differente) ; qualite (proprietaire, locataire, syndic, bailleur)
Contact des Clients FinauxNumero de telephone (si renseigne) ; adresse email (si renseignee)
EquipementsType, marque, modele, numero de serie ; puissance, type de fluide, charge nominale ; annee d'installation ; localisation dans le batiment
InterventionsDate et nature de l'intervention ; observations et resultats ; mesures effectuees (CO, tirage, fumees, etc.) ; quantites de fluides manipules ; resultats de controles d'etancheite ; recommandations et non-conformites signalees
SignaturesSignature manuscrite numerisee du Client Final
Photographies d'interventionPhotographies prises depuis l'application mobile lors des interventions, compressees et associees au document correspondant
Donnees de synchronisation hors-ligneFile d'attente chiffree des documents et donnees crees en mode hors-ligne sur l'application mobile, synchronises avec le serveur lors du retour en ligne
Metadonnees documentairesDate de generation du document ; identifiant unique ; empreinte numerique (hash) ; historique des modifications

2.3 Categories de personnes concernees

  • Clients personnes physiques des Utilisateurs (proprietaires, locataires, occupants)
  • Representants de personnes morales clientes des Utilisateurs (syndics de copropriete, gestionnaires d'immeubles, entreprises, collectivites)

2.4 Donnees sensibles

Le traitement ne porte sur aucune categorie particuliere de donnees au sens de l'article 9 du RGPD, ni sur des donnees relatives aux condamnations penales et aux infractions au sens de l'article 10 du RGPD.

Si l'Utilisateur saisit de telles donnees dans les champs libres du Service, il le fait sous sa seule responsabilite et en accepte les consequences juridiques, apres avoir verifie qu'il dispose d'une base legale appropriee.

Article 3 — Obligations du Sous-traitant

3.1 Instructions du Responsable de traitement

3.1.1 Le Sous-traitant ne traite les donnees personnelles que sur instruction documentee du Responsable de traitement, y compris en ce qui concerne les transferts de donnees vers un pays tiers ou a une organisation internationale, a moins qu'il ne soit tenu d'y proceder en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis. Dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerne interdit une telle information pour des motifs importants d'interet public.

3.1.2 Les instructions du Responsable de traitement sont constituees par :

  1. Les presentes CGU/CGV et le present Accord ;
  2. L'utilisation des fonctionnalites du Service par l'Utilisateur (chaque action de l'Utilisateur dans le Service — saisie de donnees, generation de document, envoi par email, transmission via API — constitue une instruction documentee) ;
  3. Toute instruction complementaire donnee par ecrit (email a privacy@declarpro.fr).

3.1.3 Le Sous-traitant informe immediatement le Responsable de traitement s'il estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit d'un Etat membre relative a la protection des donnees (article 28.3 alinea 3 du RGPD).

3.2 Confidentialite

3.2.1 Le Sous-traitant veille a ce que les personnes autorisees a traiter les donnees personnelles :

  1. S'engagent a respecter la confidentialite, par la signature d'un engagement individuel de confidentialite ; ou
  2. Soient soumises a une obligation legale appropriee de confidentialite.

3.2.2 Le Sous-traitant limite l'acces aux donnees personnelles aux seules personnes dont les fonctions le necessitent (principe du moindre privilege).

3.2.3 L'obligation de confidentialite survit a la fin du present Accord pour une duree de cinq (5) ans.

3.3 Securite du traitement

3.3.1 Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque, conformement a l'article 32 du RGPD, incluant selon les cas :

  1. La pseudonymisation et le chiffrement des donnees personnelles ;
  2. Des moyens permettant de garantir la confidentialite, l'integrite, la disponibilite et la resilience constantes des systemes et des services de traitement ;
  3. Des moyens permettant de retablir la disponibilite des donnees personnelles et l'acces a celles-ci dans des delais appropries en cas d'incident physique ou technique ;
  4. Une procedure visant a tester, a analyser et a evaluer regulierement l'efficacite des mesures techniques et organisationnelles.

3.3.2 Les mesures de securite mises en oeuvre a la date du present Accord sont detaillees en Annexe B du present Accord. Le Sous-traitant peut modifier ces mesures a condition que le niveau de securite global ne soit pas diminue.

3.4 Sous-traitance ulterieure

3.4.1 Autorisation generale. Le Responsable de traitement autorise le Sous-traitant a recourir a des sous-traitants ulterieurs pour l'execution des operations de traitement, sous reserve du respect des conditions prevues au present article. La liste des sous-traitants ulterieurs autorises a la date du present Accord figure en Annexe C.

3.4.2 Information prealable. Le Sous-traitant informe le Responsable de traitement de tout changement prevu concernant l'ajout ou le remplacement de sous-traitants ulterieurs, par notification par email a l'adresse associee au compte de l'Utilisateur, en respectant un preavis de trente (30) jours calendaires avant la mise en oeuvre du changement.

3.4.3 Droit d'opposition. Le Responsable de traitement dispose d'un delai de quinze (15) jours ouvres a compter de la notification pour emettre une objection motivee par ecrit a privacy@declarpro.fr. En cas d'objection :

  1. Le Sous-traitant s'efforcera de proposer une alternative raisonnable ;
  2. Si aucune alternative n'est trouvee et si le changement de sous-traitant ulterieur est indispensable a la fourniture du Service, le Responsable de traitement pourra resilier son abonnement sans frais dans les conditions prevues aux CGU/CGV ;
  3. L'absence d'objection dans le delai imparti vaut acceptation tacite du nouveau sous-traitant ulterieur.

3.4.4 Obligations imposees aux sous-traitants ulterieurs. Le Sous-traitant impose contractuellement a ses sous-traitants ulterieurs les memes obligations de protection des donnees que celles prevues au present Accord, en particulier en matiere de securite, de confidentialite et de conformite au RGPD, par voie de contrat ou d'un autre acte juridique au sens de l'article 28.4 du RGPD.

3.4.5 Responsabilite. Le Sous-traitant demeure pleinement responsable a l'egard du Responsable de traitement de l'execution des obligations du sous-traitant ulterieur. Si le sous-traitant ulterieur ne remplit pas ses obligations, le Sous-traitant reste entierement responsable.

3.5 Assistance au Responsable de traitement

3.5.1 Droits des personnes concernees. Le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriees, dans toute la mesure du possible, a s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernees (acces, rectification, effacement, limitation, portabilite, opposition), conformement aux articles 15 a 22 du RGPD.

En pratique :

  1. Si une demande est adressee directement a DeclarPro par un Client Final, DeclarPro en informe l'Utilisateur concerne dans un delai de cinq (5) jours ouvres et lui transmet la demande pour qu'il y apporte la reponse ;
  2. DeclarPro met a disposition de l'Utilisateur les fonctionnalites necessaires pour repondre aux demandes (export des donnees, rectification, suppression) ;
  3. En cas de demande d'effacement portant sur des donnees figurant dans des Documents Generes soumis a une obligation legale de conservation, DeclarPro en informe l'Utilisateur et met en oeuvre l'effacement a l'expiration de la duree de conservation legale applicable.

3.5.2 Obligations de securite et notification des violations. Le Sous-traitant aide le Responsable de traitement a garantir le respect des obligations prevues aux articles 32 a 36 du RGPD, compte tenu de la nature du traitement et des informations dont le Sous-traitant dispose, notamment :

  1. Securite du traitement (art. 32) ;
  2. Notification a l'autorite de controle d'une violation de donnees personnelles (art. 33) ;
  3. Communication a la personne concernee d'une violation de donnees personnelles (art. 34) ;
  4. Analyse d'impact relative a la protection des donnees (art. 35), si applicable ;
  5. Consultation prealable de l'autorite de controle (art. 36), si applicable.

3.6 Notification des violations de donnees

3.6.1 Le Sous-traitant notifie le Responsable de traitement de toute violation de donnees personnelles (acces non autorise, perte, alteration, divulgation non autorisee, destruction accidentelle ou illicite) dans un delai maximum de quarante-huit (48) heures apres en avoir pris connaissance, par email a l'adresse associee au compte de l'Utilisateur, avec copie a l'adresse email indiquee par l'Utilisateur comme contact de securite (si renseignee).

3.6.2 La notification contient au minimum les informations suivantes, conformement a l'article 33.3 du RGPD :

  1. La nature de la violation (confidentialite, integrite, disponibilite) ;
  2. Les categories et le nombre approximatif de personnes concernees et d'enregistrements de donnees concernes ;
  3. Le nom et les coordonnees du referent protection des donnees de DeclarPro ;
  4. Les consequences probables de la violation ;
  5. Les mesures prises ou proposees pour remedier a la violation et en attenuer les effets ;
  6. Si toutes les informations ne sont pas disponibles simultanement, elles seront communiquees de maniere echelonnee sans retard indu.

3.6.3 Le Sous-traitant documente toute violation de donnees personnelles (faits, effets, mesures correctives) conformement a l'article 33.5 du RGPD et met cette documentation a la disposition du Responsable de traitement.

3.6.4 Le Sous-traitant coopere pleinement avec le Responsable de traitement pour permettre a celui-ci de remplir ses propres obligations de notification aupres de la CNIL (art. 33) et de communication aux personnes concernees (art. 34).

3.7 Registre des activites de traitement

Le Sous-traitant tient un registre de toutes les categories d'activites de traitement effectuees pour le compte du Responsable de traitement, conformement a l'article 30.2 du RGPD, contenant :

  1. Le nom et les coordonnees du Sous-traitant et de chaque Responsable de traitement pour le compte duquel il agit ;
  2. Les categories de traitements effectues pour le compte de chaque Responsable de traitement ;
  3. Le cas echeant, les transferts de donnees personnelles vers un pays tiers et la documentation des garanties appropriees ;
  4. Dans la mesure du possible, une description generale des mesures de securite techniques et organisationnelles.

Ce registre est tenu sous forme electronique et peut etre mis a disposition de l'autorite de controle sur demande.

Article 4 — Obligations du Responsable de traitement

4.1 Liceite du traitement

Le Responsable de traitement garantit qu'il dispose d'une base legale appropriee pour le traitement des donnees personnelles de ses Clients Finaux, notamment :

  1. L'execution du contrat entre le Responsable de traitement et son Client Final (contrat de maintenance, d'entretien, d'installation) ;
  2. L'obligation legale a laquelle le Responsable de traitement est soumis (obligation d'etablir une attestation d'entretien, un bordereau de suivi des fluides, etc.) ;
  3. Le cas echeant, l'interet legitime du Responsable de traitement (gestion de la relation client).

4.2 Information des Clients Finaux

Le Responsable de traitement s'engage a informer ses Clients Finaux du traitement de leurs donnees personnelles, conformement aux articles 13 et 14 du RGPD, y compris de l'existence du Sous-traitant DeclarPro et des finalites du traitement.

DeclarPro met a disposition de l'Utilisateur un modele de clause d'information a integrer dans ses devis, factures ou conditions generales d'intervention (voir Annexe D ci-dessous).

4.3 Exactitude des donnees

Le Responsable de traitement est seul responsable de l'exactitude et de la mise a jour des donnees personnelles saisies dans le Service.

4.4 Instructions licites

Le Responsable de traitement s'engage a ne donner que des instructions conformes au RGPD et a la reglementation applicable. Il garantit le Sous-traitant contre toute reclamation resultant d'instructions illicites.

4.5 Demandes d'exercice de droits

Le Responsable de traitement est responsable de repondre aux demandes d'exercice de droits de ses Clients Finaux dans les delais prevus par le RGPD, avec l'assistance du Sous-traitant conformement a l'article 3.5 du present Accord.

Article 5 — Transferts de donnees hors UE/EEE

5.1 Principe

Le Sous-traitant ne transfere pas les donnees personnelles vers un pays situe en dehors de l'Union europeenne ou de l'Espace Economique Europeen, sauf dans les cas prevus au present article et en conformite avec les articles 44 a 49 du RGPD.

5.2 Transferts autorises

DestinatairePaysMecanisme de transfertReference
Supabase, Inc. (acces support)Etats-UnisCCT + Data Privacy FrameworkAnnexe C
Stripe, Inc. (via Stripe Ireland)Etats-UnisCCT + DPF (donnees traitees en UE)Annexe C
SendGrid / Twilio, Inc.Etats-UnisCCT + DPA Twilio + TLSAnnexe C
Vercel, Inc. (maison-mere)Etats-UnisCCT + DPA Vercel (noeuds UE)Annexe C

5.3 Garanties complementaires

Le Sous-traitant a realise une analyse d'impact des transferts (Transfer Impact Assessment — TIA) conformement aux recommandations 01/2020 du Comite europeen de la protection des donnees (EDPB). Cette analyse est disponible sur demande.

Le Sous-traitant met en oeuvre les mesures supplementaires suivantes :

  1. Chiffrement des donnees en transit (TLS 1.2+) et au repos (AES-256) ;
  2. Minimisation des donnees transferees hors UE ;
  3. Clauses contractuelles imposant au sous-traitant ulterieur de notifier toute demande d'acces d'une autorite publique d'un pays tiers ;
  4. Veille juridique sur la validite des mecanismes de transfert (notamment le Data Privacy Framework).

5.4 Invalidation du mecanisme de transfert

En cas d'invalidation par la Cour de justice de l'Union europeenne ou toute autre autorite competente du mecanisme de transfert utilise (notamment le DPF), le Sous-traitant :

  1. En informe le Responsable de traitement dans un delai de quinze (15) jours ;
  2. Met en oeuvre un mecanisme de transfert alternatif (CCT, derogations art. 49 RGPD) ;
  3. Si aucun mecanisme alternatif n'est viable, migre les traitements vers des sous-traitants ulterieurs exclusivement europeens dans un delai raisonnable.
Article 6 — Audits et inspections

6.1 Droit d'audit

Le Sous-traitant met a la disposition du Responsable de traitement toutes les informations necessaires pour demontrer le respect des obligations prevues a l'article 28 du RGPD et pour permettre la realisation d'audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu'il a mandate, et contribue a ces audits (article 28.3 alinea h du RGPD).

6.2 Modalites pratiques

6.2.1 Le Responsable de traitement notifie le Sous-traitant de son intention de realiser un audit au moins trente (30) jours calendaires a l'avance, par ecrit a privacy@declarpro.fr.

6.2.2 L'audit est realise pendant les jours et heures ouvrables, en perturbant le moins possible les operations du Sous-traitant.

6.2.3 Le Responsable de traitement (ou son auditeur mandate) s'engage a :

  1. Respecter les regles de securite et de confidentialite du Sous-traitant ;
  2. Signer un accord de confidentialite prealablement a l'audit ;
  3. Ne pas acceder aux donnees d'autres responsables de traitement (etancheite des donnees).

6.2.4 Le Responsable de traitement supporte les frais de l'audit. Si l'audit revele une non-conformite du Sous-traitant, celui-ci prend en charge les frais de l'audit de verification corrective.

6.3 Audit mutualise

Le Sous-traitant peut proposer un audit mutualise ou un rapport d'audit independant (type SOC 2 Type II, ISO 27001 ou equivalent) en lieu et place d'un audit individuel, a condition que ce rapport couvre les aspects pertinents du present Accord. Le Responsable de traitement conserve neanmoins le droit de proceder a un audit individuel en cas de motif legitime (violation de donnees, suspicion de non-conformite, demande de la CNIL).

6.4 Resultats de l'audit

Les resultats de l'audit sont communiques au Sous-traitant. En cas de non-conformite constatee, le Sous-traitant elabore un plan d'action corrective dans un delai de quinze (15) jours ouvres et met en oeuvre les corrections dans un delai raisonnable convenu entre les Parties.

Article 7 — Sort des donnees en fin de contrat

7.1 Restitution des donnees

A la fin de la relation contractuelle (resiliation, non-renouvellement, suppression du compte), et sur demande du Responsable de traitement formulee avant ou dans les quatre-vingt-dix (90) jours suivant la fin du contrat, le Sous-traitant :

  1. Restitue l'integralite des donnees personnelles traitees pour le compte du Responsable de traitement dans un format structure, couramment utilise et lisible par machine (CSV, JSON et/ou PDF pour les documents) ;
  2. Met a disposition un outil d'export en ligne dans l'espace client pendant la periode de 90 jours ;
  3. Transmet les donnees par voie securisee (lien de telechargement chiffre ou tout autre moyen convenu).

7.2 Suppression des donnees

7.2.1 A l'expiration du delai de 90 jours suivant la fin du contrat, ou sur instruction explicite du Responsable de traitement, le Sous-traitant supprime toutes les donnees personnelles traitees pour le compte du Responsable de traitement, y compris toute copie existante, sauf obligation legale de conservation imposee par le droit de l'Union ou le droit francais.

7.2.2 Les donnees figurant dans des Documents Generes soumis a une obligation legale de conservation sont transferees en archivage intermediaire (acces restreint, finalite limitee au respect de l'obligation legale) et supprimees a l'expiration de la duree legale applicable, conformement au tableau des durees de conservation figurant dans la Politique de Confidentialite.

7.2.3 La suppression porte sur :

  1. Les donnees en base active ;
  2. Les donnees dans les sauvegardes — la suppression dans les sauvegardes intervient selon le cycle normal de rotation des sauvegardes, dans un delai maximum de quatre-vingt-dix (90) jours apres la suppression en base active.

7.3 Attestation de suppression

Le Sous-traitant fournit au Responsable de traitement, sur demande, une attestation ecrite de suppression des donnees, certifiant que l'ensemble des donnees personnelles a ete supprime ou est en cours de suppression dans les sauvegardes selon le calendrier prevu.

Article 8 — Responsabilite

8.1 Responsabilite du Sous-traitant

Le Sous-traitant est responsable des dommages causes par un traitement qui ne respecte pas les obligations du RGPD incombant specifiquement au sous-traitant ou lorsqu'il a agi en dehors des instructions licites du Responsable de traitement ou contrairement a celles-ci, conformement a l'article 82.2 du RGPD.

8.2 Responsabilite du Responsable de traitement

Le Responsable de traitement est responsable des dommages causes par un traitement qui n'est pas conforme au RGPD, conformement a l'article 82.2 du RGPD. Il garantit et indemnise le Sous-traitant contre toute reclamation, sanction ou dommage resultant :

  1. D'instructions illicites donnees par le Responsable de traitement ;
  2. Du defaut d'information des Clients Finaux ;
  3. De l'absence de base legale pour le traitement ;
  4. De donnees inexactes ou incompletes saisies par le Responsable de traitement.

8.3 Limitation

Les limitations de responsabilite prevues dans les CGU/CGV s'appliquent au present Accord, dans la mesure ou elles sont compatibles avec le RGPD. Le RGPD ne permet pas de limiter contractuellement la responsabilite a l'egard des personnes concernees (art. 82).

Article 9 — Dispositions diverses

9.1 Loi applicable et juridiction

Le present Accord est soumis au droit francais. Tout litige relatif a son interpretation ou a son execution sera porte devant les tribunaux competents de Paris, sous reserve d'une tentative prealable de resolution amiable dans un delai de trente (30) jours.

9.2 Modification

Le Sous-traitant peut modifier le present Accord en cas d'evolution legislative, reglementaire ou jurisprudentielle. Les modifications sont notifiees selon les memes modalites que les modifications des CGU/CGV (preavis de 30 jours).

9.3 Nullite partielle

Si l'une des clauses du present Accord est declaree nulle ou inapplicable, les autres clauses demeurent en vigueur. Les Parties s'engagent a remplacer la clause nulle par une clause valide s'en rapprochant le plus possible dans son objet et ses effets.

9.4 Integralite

Le present Accord, ensemble avec les CGU/CGV et la Politique de Confidentialite, constitue l'integralite de l'accord entre les Parties en matiere de protection des donnees personnelles et remplace tout accord anterieur, ecrit ou oral, portant sur le meme objet.

Annexe A — Detail du traitement
ElementDescription
Objet du traitementGeneration, stockage, archivage et transmission de documents reglementaires dans le secteur du chauffage, de la climatisation et de la plomberie
Duree du traitementDuree de l'abonnement + durees d'archivage legales (cf. Politique de Confidentialite)
Nature du traitementCollecte (via saisie Utilisateur), enregistrement, structuration, conservation, extraction, consultation, communication par transmission (email, API), effacement
Finalite du traitementCf. Article 2.1 du present Accord
Types de donneesCf. Article 2.2 du present Accord
Categories de personnesCf. Article 2.3 du present Accord
Annexe B — Mesures de securite techniques et organisationnelles

Mesures techniques

MesureDescription
Chiffrement en transitTLS 1.2 minimum (TLS 1.3 privilegie) pour toutes les communications
Chiffrement au reposAES-256 pour les bases de donnees et fichiers stockes
Hachage des mots de passebcrypt ou Argon2 — aucun stockage en clair
Integrite des documentsHash SHA-256 par document + horodatage
SauvegardesQuotidiennes, chiffrees, redondance geographique (min. 2 zones)
InfrastructureHebergement sur centres de donnees certifies ISO 27001 et SOC 2 Type II
Protection reseauPare-feu, protection DDoS, segmentation reseau
Detection d'intrusionMonitoring des acces anormaux et alertes automatiques
Authentification2FA pour les acces administratifs a l'infrastructure
Chiffrement local mobileDonnees sensibles protegees via SecureStore (chiffrement natif iOS Keychain / Android Keystore) ; file de synchronisation hors-ligne chiffree

Mesures organisationnelles

MesureDescription
Principe du moindre privilegeAcces aux donnees limite aux personnes strictement necessaires
Engagement de confidentialiteSigne par toute personne ayant acces aux donnees
SensibilisationFormation a la protection des donnees et a la securite
Gestion des incidentsProcedure documentee de reponse aux incidents (detection, analyse, confinement, remediation, notification)
Tests de securiteAudits et tests de penetration reguliers (min. 1/an)
Plan de continuitePCA/PRA documente et teste
Revue d'accesRevue periodique des droits d'acces
Annexe C — Liste des sous-traitants ulterieurs autorises
Liste a jour au 1er mars 2026
Sous-traitantFonctionLocalisationMecanisme de transfertContact
Supabase, Inc.Base de donnees, authentification, stockage fichiersAWS eu-west (Irlande)CCT + DPF (acces support US)privacy@supabase.io
Vercel, Inc.Hebergement web, CDN, edge functionsNoeuds UECCT + DPA Vercelprivacy@vercel.com
Stripe, Inc. (via Stripe Ireland Ltd)Traitement des paiementsStripe Ireland (UE)CCT + DPF + PCI-DSSprivacy@stripe.com
Twilio, Inc. (SendGrid)Envoi d'emails transactionnelsEtats-UnisCCT + DPA Twilio + TLSprivacy@twilio.com
Anthropic, PBCExtraction automatique de donnees depuis les factures PDF importeesEtats-UnisCCT + DPF + TLS 1.2+privacy@anthropic.com
Apple Distribution International Ltd.Distribution de l'application iOS (App Store), notifications push (APNs)Irlande (UE)DPA Apple + chiffrement TLSprivacy@apple.com
Google LLCDistribution de l'application Android (Google Play Store), notifications push (FCM)Etats-UnisCCT + DPF + TLSprivacy@google.com
Expo Application Services (650 Industries, Inc.)Build et mises a jour OTA des applications mobilesEtats-UnisCCT + TLSprivacy@expo.dev

Aucune solution d'analytics n'est deployee a la date du present Accord.

Traitement automatise des documents

Les factures PDF importees via la fonctionnalite d'import sont traitees via un prestataire technique (API tierce) pour l'extraction des donnees structurees (fournisseur, lignes, montants, TVA).

  • Les documents ne sont PAS utilises pour l'entrainement de modeles.
  • Les donnees sont chiffrees en transit (TLS 1.2+) et supprimees apres traitement.
  • Retention maximale : 30 jours pour obligations legales.
  • DeclarPro ne stocke que le resultat de l'extraction (donnees structurees), pas le document source ni le traitement intermediaire.

Le Responsable de traitement est informe de tout ajout ou remplacement de sous-traitant ulterieur conformement a l'article 3.4 du present Accord.

Annexe D — Modele de clause d'information Clients Finaux
Clause a adapter et integrer dans vos documents contractuels

Le Responsable de traitement (l'Utilisateur) est invite a adapter et a integrer la clause suivante dans ses documents contractuels (devis, factures, conditions generales d'intervention, affichage en magasin ou sur site web) :

Information sur le traitement de vos donnees personnelles

Dans le cadre de nos interventions, nous collectons des donnees personnelles vous concernant (nom, adresse, coordonnees, donnees relatives a vos equipements et aux interventions realisees). Ces donnees sont necessaires :

  • A l'execution de notre contrat de prestation (entretien, installation, depannage) ;
  • Au respect de nos obligations legales (etablissement des attestations d'entretien, CERFA, bordereaux de suivi des fluides frigorigenes, etc.) ;
  • A la gestion de notre relation commerciale.

Pour la generation, l'archivage et la gestion de vos documents reglementaires, nous utilisons le service DeclarPro, edite par Gregoire Gibert EI (6 Rue Lesage, 75020 Paris), qui agit en qualite de sous-traitant. Vos donnees sont hebergees dans l'Union europeenne et conservees pendant les durees legales applicables.

Conformement au RGPD, vous disposez d'un droit d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition. Pour exercer ces droits, vous pouvez nous contacter a : [email/adresse de l'Utilisateur].

Vous pouvez egalement adresser une reclamation a la CNIL : www.cnil.fr.

Contact

Protection des donnees

privacy@declarpro.fr

Pour toute question relative au present Accord ou a la protection de vos donnees

Questions generales

contact@declarpro.fr

Pour toute autre question relative au Service

Politique de ConfidentialiteCGU / CGVMentions legales