Data Processing Agreement — Article 28 du RGPD
Version 1.2 — 1er mars 2026
Le Responsable de traitement :
Tout Utilisateur professionnel inscrit au Service DeclarPro, agissant en qualite de responsable de traitement au sens de l'article 4.7 du Reglement (UE) 2016/679.
(ci-apres le « Responsable de traitement » ou « l'Utilisateur »)
Le Sous-traitant :
Gregoire Gibert, Entrepreneur Individuel, exercant sous le nom commercial « DeclarPro »
SIRET : 924 833 767 00016
Siege social : 6 Rue Lesage, 75020 Paris
Email : privacy@declarpro.fr
(ci-apres le « Sous-traitant » ou « DeclarPro »)
Le Responsable de traitement et le Sous-traitant sont designes individuellement « la Partie » et collectivement « les Parties ».
CONSIDERANT QUE :
IL A ETE CONVENU CE QUI SUIT :
Le present Accord de sous-traitance des donnees personnelles (ci-apres l'« Accord » ou le « DPA ») definit les conditions dans lesquelles le Sous-traitant s'engage a effectuer, pour le compte du Responsable de traitement, les operations de traitement de donnees personnelles decrites ci-apres, dans le respect du RGPD, de la loi n° 78-17 du 6 janvier 1978 modifiee (« Loi Informatique et Libertes ») et de toute reglementation applicable en matiere de protection des donnees personnelles.
Le present Accord fait partie integrante des CGU/CGV du Service DeclarPro et de la Politique de Confidentialite. En cas de contradiction entre le present Accord et les CGU/CGV, les dispositions du present Accord prevalent pour tout ce qui concerne le traitement des donnees personnelles.
Le present Accord prend effet a la date d'inscription de l'Utilisateur au Service (ou a la date de publication du present Accord pour les Utilisateurs deja inscrits) et demeure en vigueur pendant toute la duree de l'utilisation du Service, y compris pendant les periodes d'archivage des donnees posterieures a la resiliation de l'abonnement, jusqu'a la suppression effective de l'ensemble des donnees personnelles traitees pour le compte du Responsable de traitement.
Le Sous-traitant traite les donnees personnelles des Clients Finaux pour le compte du Responsable de traitement aux fins suivantes :
| Finalite | Description |
|---|---|
| Generation de documents reglementaires | Creation d'attestations d'entretien (chaudiere gaz, PAC), de certificats de conformite gaz (CC2), de CERFA fluides frigorigenes (15497*04), de rapports de controle d'etancheite, de certificats de ramonage, de bordereaux BSFF et de tout autre document professionnel disponible dans le Service |
| Archivage legal des documents | Conservation des Documents Generes et des donnees associees pendant les durees de conservation applicables |
| Gestion du fichier clients | Stockage et organisation des donnees des Clients Finaux pour permettre a l'Utilisateur de suivre ses interventions et son historique client |
| Signature electronique | Recueil et conservation de la signature manuscrite numerisee des Clients Finaux apposee sur les documents |
| Envoi des documents | Transmission par email des Documents Generes aux Clients Finaux, sur instruction de l'Utilisateur |
| Alertes et rappels | Generation d'alertes a destination de l'Utilisateur concernant les echeances d'entretien de ses Clients Finaux |
| Transmission aux API etatiques | Transmission des donnees necessaires aux plateformes publiques (TrackDechets, ADEME) sur instruction de l'Utilisateur pour l'accomplissement de ses obligations legales |
| Categorie | Donnees |
|---|---|
| Identification des Clients Finaux | Nom, prenom ou raison sociale ; adresse du lieu d'intervention ; adresse de facturation (si differente) ; qualite (proprietaire, locataire, syndic, bailleur) |
| Contact des Clients Finaux | Numero de telephone (si renseigne) ; adresse email (si renseignee) |
| Equipements | Type, marque, modele, numero de serie ; puissance, type de fluide, charge nominale ; annee d'installation ; localisation dans le batiment |
| Interventions | Date et nature de l'intervention ; observations et resultats ; mesures effectuees (CO, tirage, fumees, etc.) ; quantites de fluides manipules ; resultats de controles d'etancheite ; recommandations et non-conformites signalees |
| Signatures | Signature manuscrite numerisee du Client Final |
| Photographies d'intervention | Photographies prises depuis l'application mobile lors des interventions, compressees et associees au document correspondant |
| Donnees de synchronisation hors-ligne | File d'attente chiffree des documents et donnees crees en mode hors-ligne sur l'application mobile, synchronises avec le serveur lors du retour en ligne |
| Metadonnees documentaires | Date de generation du document ; identifiant unique ; empreinte numerique (hash) ; historique des modifications |
Le traitement ne porte sur aucune categorie particuliere de donnees au sens de l'article 9 du RGPD, ni sur des donnees relatives aux condamnations penales et aux infractions au sens de l'article 10 du RGPD.
Si l'Utilisateur saisit de telles donnees dans les champs libres du Service, il le fait sous sa seule responsabilite et en accepte les consequences juridiques, apres avoir verifie qu'il dispose d'une base legale appropriee.
3.1.1 Le Sous-traitant ne traite les donnees personnelles que sur instruction documentee du Responsable de traitement, y compris en ce qui concerne les transferts de donnees vers un pays tiers ou a une organisation internationale, a moins qu'il ne soit tenu d'y proceder en vertu du droit de l'Union ou du droit de l'Etat membre auquel il est soumis. Dans ce cas, le Sous-traitant informe le Responsable de traitement de cette obligation juridique avant le traitement, sauf si le droit concerne interdit une telle information pour des motifs importants d'interet public.
3.1.2 Les instructions du Responsable de traitement sont constituees par :
3.1.3 Le Sous-traitant informe immediatement le Responsable de traitement s'il estime qu'une instruction constitue une violation du RGPD ou de toute autre disposition du droit de l'Union ou du droit d'un Etat membre relative a la protection des donnees (article 28.3 alinea 3 du RGPD).
3.2.1 Le Sous-traitant veille a ce que les personnes autorisees a traiter les donnees personnelles :
3.2.2 Le Sous-traitant limite l'acces aux donnees personnelles aux seules personnes dont les fonctions le necessitent (principe du moindre privilege).
3.2.3 L'obligation de confidentialite survit a la fin du present Accord pour une duree de cinq (5) ans.
3.3.1 Le Sous-traitant met en oeuvre les mesures techniques et organisationnelles appropriees afin de garantir un niveau de securite adapte au risque, conformement a l'article 32 du RGPD, incluant selon les cas :
3.3.2 Les mesures de securite mises en oeuvre a la date du present Accord sont detaillees en Annexe B du present Accord. Le Sous-traitant peut modifier ces mesures a condition que le niveau de securite global ne soit pas diminue.
3.4.1 Autorisation generale. Le Responsable de traitement autorise le Sous-traitant a recourir a des sous-traitants ulterieurs pour l'execution des operations de traitement, sous reserve du respect des conditions prevues au present article. La liste des sous-traitants ulterieurs autorises a la date du present Accord figure en Annexe C.
3.4.2 Information prealable. Le Sous-traitant informe le Responsable de traitement de tout changement prevu concernant l'ajout ou le remplacement de sous-traitants ulterieurs, par notification par email a l'adresse associee au compte de l'Utilisateur, en respectant un preavis de trente (30) jours calendaires avant la mise en oeuvre du changement.
3.4.3 Droit d'opposition. Le Responsable de traitement dispose d'un delai de quinze (15) jours ouvres a compter de la notification pour emettre une objection motivee par ecrit a privacy@declarpro.fr. En cas d'objection :
3.4.4 Obligations imposees aux sous-traitants ulterieurs. Le Sous-traitant impose contractuellement a ses sous-traitants ulterieurs les memes obligations de protection des donnees que celles prevues au present Accord, en particulier en matiere de securite, de confidentialite et de conformite au RGPD, par voie de contrat ou d'un autre acte juridique au sens de l'article 28.4 du RGPD.
3.4.5 Responsabilite. Le Sous-traitant demeure pleinement responsable a l'egard du Responsable de traitement de l'execution des obligations du sous-traitant ulterieur. Si le sous-traitant ulterieur ne remplit pas ses obligations, le Sous-traitant reste entierement responsable.
3.5.1 Droits des personnes concernees. Le Sous-traitant aide le Responsable de traitement, par des mesures techniques et organisationnelles appropriees, dans toute la mesure du possible, a s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernees (acces, rectification, effacement, limitation, portabilite, opposition), conformement aux articles 15 a 22 du RGPD.
En pratique :
3.5.2 Obligations de securite et notification des violations. Le Sous-traitant aide le Responsable de traitement a garantir le respect des obligations prevues aux articles 32 a 36 du RGPD, compte tenu de la nature du traitement et des informations dont le Sous-traitant dispose, notamment :
3.6.1 Le Sous-traitant notifie le Responsable de traitement de toute violation de donnees personnelles (acces non autorise, perte, alteration, divulgation non autorisee, destruction accidentelle ou illicite) dans un delai maximum de quarante-huit (48) heures apres en avoir pris connaissance, par email a l'adresse associee au compte de l'Utilisateur, avec copie a l'adresse email indiquee par l'Utilisateur comme contact de securite (si renseignee).
3.6.2 La notification contient au minimum les informations suivantes, conformement a l'article 33.3 du RGPD :
3.6.3 Le Sous-traitant documente toute violation de donnees personnelles (faits, effets, mesures correctives) conformement a l'article 33.5 du RGPD et met cette documentation a la disposition du Responsable de traitement.
3.6.4 Le Sous-traitant coopere pleinement avec le Responsable de traitement pour permettre a celui-ci de remplir ses propres obligations de notification aupres de la CNIL (art. 33) et de communication aux personnes concernees (art. 34).
Le Sous-traitant tient un registre de toutes les categories d'activites de traitement effectuees pour le compte du Responsable de traitement, conformement a l'article 30.2 du RGPD, contenant :
Ce registre est tenu sous forme electronique et peut etre mis a disposition de l'autorite de controle sur demande.
Le Responsable de traitement garantit qu'il dispose d'une base legale appropriee pour le traitement des donnees personnelles de ses Clients Finaux, notamment :
Le Responsable de traitement s'engage a informer ses Clients Finaux du traitement de leurs donnees personnelles, conformement aux articles 13 et 14 du RGPD, y compris de l'existence du Sous-traitant DeclarPro et des finalites du traitement.
DeclarPro met a disposition de l'Utilisateur un modele de clause d'information a integrer dans ses devis, factures ou conditions generales d'intervention (voir Annexe D ci-dessous).
Le Responsable de traitement est seul responsable de l'exactitude et de la mise a jour des donnees personnelles saisies dans le Service.
Le Responsable de traitement s'engage a ne donner que des instructions conformes au RGPD et a la reglementation applicable. Il garantit le Sous-traitant contre toute reclamation resultant d'instructions illicites.
Le Responsable de traitement est responsable de repondre aux demandes d'exercice de droits de ses Clients Finaux dans les delais prevus par le RGPD, avec l'assistance du Sous-traitant conformement a l'article 3.5 du present Accord.
Le Sous-traitant ne transfere pas les donnees personnelles vers un pays situe en dehors de l'Union europeenne ou de l'Espace Economique Europeen, sauf dans les cas prevus au present article et en conformite avec les articles 44 a 49 du RGPD.
| Destinataire | Pays | Mecanisme de transfert | Reference |
|---|---|---|---|
| Supabase, Inc. (acces support) | Etats-Unis | CCT + Data Privacy Framework | Annexe C |
| Stripe, Inc. (via Stripe Ireland) | Etats-Unis | CCT + DPF (donnees traitees en UE) | Annexe C |
| SendGrid / Twilio, Inc. | Etats-Unis | CCT + DPA Twilio + TLS | Annexe C |
| Vercel, Inc. (maison-mere) | Etats-Unis | CCT + DPA Vercel (noeuds UE) | Annexe C |
Le Sous-traitant a realise une analyse d'impact des transferts (Transfer Impact Assessment — TIA) conformement aux recommandations 01/2020 du Comite europeen de la protection des donnees (EDPB). Cette analyse est disponible sur demande.
Le Sous-traitant met en oeuvre les mesures supplementaires suivantes :
En cas d'invalidation par la Cour de justice de l'Union europeenne ou toute autre autorite competente du mecanisme de transfert utilise (notamment le DPF), le Sous-traitant :
Le Sous-traitant met a la disposition du Responsable de traitement toutes les informations necessaires pour demontrer le respect des obligations prevues a l'article 28 du RGPD et pour permettre la realisation d'audits, y compris des inspections, par le Responsable de traitement ou un autre auditeur qu'il a mandate, et contribue a ces audits (article 28.3 alinea h du RGPD).
6.2.1 Le Responsable de traitement notifie le Sous-traitant de son intention de realiser un audit au moins trente (30) jours calendaires a l'avance, par ecrit a privacy@declarpro.fr.
6.2.2 L'audit est realise pendant les jours et heures ouvrables, en perturbant le moins possible les operations du Sous-traitant.
6.2.3 Le Responsable de traitement (ou son auditeur mandate) s'engage a :
6.2.4 Le Responsable de traitement supporte les frais de l'audit. Si l'audit revele une non-conformite du Sous-traitant, celui-ci prend en charge les frais de l'audit de verification corrective.
Le Sous-traitant peut proposer un audit mutualise ou un rapport d'audit independant (type SOC 2 Type II, ISO 27001 ou equivalent) en lieu et place d'un audit individuel, a condition que ce rapport couvre les aspects pertinents du present Accord. Le Responsable de traitement conserve neanmoins le droit de proceder a un audit individuel en cas de motif legitime (violation de donnees, suspicion de non-conformite, demande de la CNIL).
Les resultats de l'audit sont communiques au Sous-traitant. En cas de non-conformite constatee, le Sous-traitant elabore un plan d'action corrective dans un delai de quinze (15) jours ouvres et met en oeuvre les corrections dans un delai raisonnable convenu entre les Parties.
A la fin de la relation contractuelle (resiliation, non-renouvellement, suppression du compte), et sur demande du Responsable de traitement formulee avant ou dans les quatre-vingt-dix (90) jours suivant la fin du contrat, le Sous-traitant :
7.2.1 A l'expiration du delai de 90 jours suivant la fin du contrat, ou sur instruction explicite du Responsable de traitement, le Sous-traitant supprime toutes les donnees personnelles traitees pour le compte du Responsable de traitement, y compris toute copie existante, sauf obligation legale de conservation imposee par le droit de l'Union ou le droit francais.
7.2.2 Les donnees figurant dans des Documents Generes soumis a une obligation legale de conservation sont transferees en archivage intermediaire (acces restreint, finalite limitee au respect de l'obligation legale) et supprimees a l'expiration de la duree legale applicable, conformement au tableau des durees de conservation figurant dans la Politique de Confidentialite.
7.2.3 La suppression porte sur :
Le Sous-traitant fournit au Responsable de traitement, sur demande, une attestation ecrite de suppression des donnees, certifiant que l'ensemble des donnees personnelles a ete supprime ou est en cours de suppression dans les sauvegardes selon le calendrier prevu.
Le Sous-traitant est responsable des dommages causes par un traitement qui ne respecte pas les obligations du RGPD incombant specifiquement au sous-traitant ou lorsqu'il a agi en dehors des instructions licites du Responsable de traitement ou contrairement a celles-ci, conformement a l'article 82.2 du RGPD.
Le Responsable de traitement est responsable des dommages causes par un traitement qui n'est pas conforme au RGPD, conformement a l'article 82.2 du RGPD. Il garantit et indemnise le Sous-traitant contre toute reclamation, sanction ou dommage resultant :
Les limitations de responsabilite prevues dans les CGU/CGV s'appliquent au present Accord, dans la mesure ou elles sont compatibles avec le RGPD. Le RGPD ne permet pas de limiter contractuellement la responsabilite a l'egard des personnes concernees (art. 82).
Le present Accord est soumis au droit francais. Tout litige relatif a son interpretation ou a son execution sera porte devant les tribunaux competents de Paris, sous reserve d'une tentative prealable de resolution amiable dans un delai de trente (30) jours.
Le Sous-traitant peut modifier le present Accord en cas d'evolution legislative, reglementaire ou jurisprudentielle. Les modifications sont notifiees selon les memes modalites que les modifications des CGU/CGV (preavis de 30 jours).
Si l'une des clauses du present Accord est declaree nulle ou inapplicable, les autres clauses demeurent en vigueur. Les Parties s'engagent a remplacer la clause nulle par une clause valide s'en rapprochant le plus possible dans son objet et ses effets.
Le present Accord, ensemble avec les CGU/CGV et la Politique de Confidentialite, constitue l'integralite de l'accord entre les Parties en matiere de protection des donnees personnelles et remplace tout accord anterieur, ecrit ou oral, portant sur le meme objet.
| Element | Description |
|---|---|
| Objet du traitement | Generation, stockage, archivage et transmission de documents reglementaires dans le secteur du chauffage, de la climatisation et de la plomberie |
| Duree du traitement | Duree de l'abonnement + durees d'archivage legales (cf. Politique de Confidentialite) |
| Nature du traitement | Collecte (via saisie Utilisateur), enregistrement, structuration, conservation, extraction, consultation, communication par transmission (email, API), effacement |
| Finalite du traitement | Cf. Article 2.1 du present Accord |
| Types de donnees | Cf. Article 2.2 du present Accord |
| Categories de personnes | Cf. Article 2.3 du present Accord |
| Mesure | Description |
|---|---|
| Chiffrement en transit | TLS 1.2 minimum (TLS 1.3 privilegie) pour toutes les communications |
| Chiffrement au repos | AES-256 pour les bases de donnees et fichiers stockes |
| Hachage des mots de passe | bcrypt ou Argon2 — aucun stockage en clair |
| Integrite des documents | Hash SHA-256 par document + horodatage |
| Sauvegardes | Quotidiennes, chiffrees, redondance geographique (min. 2 zones) |
| Infrastructure | Hebergement sur centres de donnees certifies ISO 27001 et SOC 2 Type II |
| Protection reseau | Pare-feu, protection DDoS, segmentation reseau |
| Detection d'intrusion | Monitoring des acces anormaux et alertes automatiques |
| Authentification | 2FA pour les acces administratifs a l'infrastructure |
| Chiffrement local mobile | Donnees sensibles protegees via SecureStore (chiffrement natif iOS Keychain / Android Keystore) ; file de synchronisation hors-ligne chiffree |
| Mesure | Description |
|---|---|
| Principe du moindre privilege | Acces aux donnees limite aux personnes strictement necessaires |
| Engagement de confidentialite | Signe par toute personne ayant acces aux donnees |
| Sensibilisation | Formation a la protection des donnees et a la securite |
| Gestion des incidents | Procedure documentee de reponse aux incidents (detection, analyse, confinement, remediation, notification) |
| Tests de securite | Audits et tests de penetration reguliers (min. 1/an) |
| Plan de continuite | PCA/PRA documente et teste |
| Revue d'acces | Revue periodique des droits d'acces |
| Sous-traitant | Fonction | Localisation | Mecanisme de transfert | Contact |
|---|---|---|---|---|
| Supabase, Inc. | Base de donnees, authentification, stockage fichiers | AWS eu-west (Irlande) | CCT + DPF (acces support US) | privacy@supabase.io |
| Vercel, Inc. | Hebergement web, CDN, edge functions | Noeuds UE | CCT + DPA Vercel | privacy@vercel.com |
| Stripe, Inc. (via Stripe Ireland Ltd) | Traitement des paiements | Stripe Ireland (UE) | CCT + DPF + PCI-DSS | privacy@stripe.com |
| Twilio, Inc. (SendGrid) | Envoi d'emails transactionnels | Etats-Unis | CCT + DPA Twilio + TLS | privacy@twilio.com |
| Anthropic, PBC | Extraction automatique de donnees depuis les factures PDF importees | Etats-Unis | CCT + DPF + TLS 1.2+ | privacy@anthropic.com |
| Apple Distribution International Ltd. | Distribution de l'application iOS (App Store), notifications push (APNs) | Irlande (UE) | DPA Apple + chiffrement TLS | privacy@apple.com |
| Google LLC | Distribution de l'application Android (Google Play Store), notifications push (FCM) | Etats-Unis | CCT + DPF + TLS | privacy@google.com |
| Expo Application Services (650 Industries, Inc.) | Build et mises a jour OTA des applications mobiles | Etats-Unis | CCT + TLS | privacy@expo.dev |
Aucune solution d'analytics n'est deployee a la date du present Accord.
Les factures PDF importees via la fonctionnalite d'import sont traitees via un prestataire technique (API tierce) pour l'extraction des donnees structurees (fournisseur, lignes, montants, TVA).
Le Responsable de traitement est informe de tout ajout ou remplacement de sous-traitant ulterieur conformement a l'article 3.4 du present Accord.
Le Responsable de traitement (l'Utilisateur) est invite a adapter et a integrer la clause suivante dans ses documents contractuels (devis, factures, conditions generales d'intervention, affichage en magasin ou sur site web) :
Information sur le traitement de vos donnees personnelles
Dans le cadre de nos interventions, nous collectons des donnees personnelles vous concernant (nom, adresse, coordonnees, donnees relatives a vos equipements et aux interventions realisees). Ces donnees sont necessaires :
Pour la generation, l'archivage et la gestion de vos documents reglementaires, nous utilisons le service DeclarPro, edite par Gregoire Gibert EI (6 Rue Lesage, 75020 Paris), qui agit en qualite de sous-traitant. Vos donnees sont hebergees dans l'Union europeenne et conservees pendant les durees legales applicables.
Conformement au RGPD, vous disposez d'un droit d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition. Pour exercer ces droits, vous pouvez nous contacter a : [email/adresse de l'Utilisateur].
Vous pouvez egalement adresser une reclamation a la CNIL : www.cnil.fr.
Protection des donnees
privacy@declarpro.fr
Pour toute question relative au present Accord ou a la protection de vos donnees
Questions generales
contact@declarpro.fr
Pour toute autre question relative au Service
