Accord de sous-traitance (DPA)

Le présent accord encadre le traitement des données à caractère personnel effectué par uon (éditeur du service OrgaVision, ci-après « le Sous-traitant ») pour le compte de son client professionnel abonné (ci-après « le Responsable de traitement »).

Il porte exclusivement sur les données saisies par le Client dans le cadre de son activité professionnelle : fiches clients et prospects, contacts, devis, factures, réservations, documents et pièces jointes. Pour ces données, le Client est seul responsable de traitement et uon agit en simple sous-traitant au sens de l'article 28 du RGPD.

Les données du compte utilisateur lui-même (identité de l'abonné, facturation de l'abonnement, journaux de connexion) relèvent quant à elles de la Politique de confidentialité, pour laquelle uon est responsable de traitement.

Le présent accord prend effet à la souscription de l'abonnement et reste en vigueur pendant toute la durée d'utilisation du service, jusqu'à la suppression définitive des données conformément à l'article 8 ci-dessous.

uon traite les données uniquement sur instruction documentée du Client et aux seules fins de fournir le service : hébergement, stockage, sauvegarde, mise à disposition des fonctionnalités de gestion commerciale (clients, devis, facturation, planning, facturation électronique) et support technique.

uon ne traite les données pour aucune finalité propre. Toute instruction sera réputée documentée par les présentes, le contrat d'abonnement et l'usage des fonctionnalités du service.

Catégories de personnes : les clients, prospects et contacts du Client.

Catégories de données : données d'identification et de contact (nom, email, téléphone, adresse), données de facturation et de transaction (devis, factures, montants), données de réservation, et toute donnée saisie par le Client dans les documents et champs libres.

Conformément à l'article 28.3 du RGPD, uon s'engage à :

• ne traiter les données que sur instruction documentée du Client ;
• garantir la confidentialité : seules les personnes habilitées y accèdent, et uniquement lorsque c'est strictement nécessaire à la maintenance ou au support, sous engagement de confidentialité ;
• mettre en œuvre les mesures de sécurité de l'article 32 (chiffrement en transit et au repos des données sensibles, authentification multi-facteurs, cloisonnement par client, contrôles d'accès, sauvegardes chiffrées) ;
• n'avoir recours à des sous-traitants ultérieurs que dans les conditions de l'article 7, et informer le Client de tout changement ;
• aider le Client à répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité) — le service fournit les outils d'export et d'effacement nécessaires ;
• aider le Client à respecter ses obligations de sécurité, de notification de violation et d'analyse d'impact ;
• à la fin de la prestation, restituer puis supprimer les données (article 8) ;
• mettre à la disposition du Client les informations nécessaires pour démontrer le respect de ces obligations et permettre la réalisation d'audits.

Les données saisies par le Client restent sa propriété pleine et entière. uon ne lit pas, n'analyse pas et n'exploite pas le contenu des devis, factures et documents du Client à des fins propres. Aucune donnée n'est revendue, ni utilisée pour de la publicité, ni partagée en dehors des sous-traitants techniques listés à l'article 7.

Le Client garantit disposer d'une base légale pour les données qu'il saisit, informer ses propres clients du traitement, recueillir les consentements nécessaires, et ne transmettre à uon que des données pertinentes et adéquates au regard des finalités.

Le Client autorise uon à recourir aux sous-traitants ultérieurs suivants, soumis aux mêmes obligations de protection :

• OVH — hébergement de l'infrastructure et des bases de données (France) ;
• Backblaze B2 — stockage des fichiers et pièces jointes (serveurs en Union européenne) ;
• Stripe — traitement des paiements (États-Unis, Clauses Contractuelles Types) ;
• Powens — agrégation bancaire DSP2, sur connexion volontaire (France) ;
• Cloudflare — réseau de diffusion, proxy DNS et protection anti-DDoS (Clauses Contractuelles Types) ;
• Sentry — supervision des erreurs (Clauses Contractuelles Types) ;
• Firebase — notifications push (Clauses Contractuelles Types).

La liste à jour figure dans la Politique de confidentialité. Tout ajout ou remplacement est porté à la connaissance du Client, qui peut s'y opposer pour motif légitime.

À la résiliation, le Client maîtrise le sort de ses données selon un cycle de vie distinguant les données métier supprimables des archives comptables intouchables, conformément au modèle CNIL d'archivage intermédiaire :

1. Export (90 jours) : pendant 90 jours, le Client peut exporter l'intégralité de ses données (export comptable FEC, factures, contacts) depuis son espace de gestion.
2. Purge des données accessoires + attestation : passé ce délai, les données accessoires (CRM sans valeur comptable, notes, préférences, marketing, prospects) sont effacées définitivement. Une attestation de destruction (catégories, date, méthode) est adressée au Client et journalisée par uon.
3. Archivage intermédiaire des factures (10 ans) : les factures et devis sont conservés sous une forme inaccessible en exploitation courante (accès restreint, lecture seule, base séparée de la base active), pendant 10 ans (art. L.123-22 du Code de commerce ; art. 17.3.b du RGPD). Ils restent récupérables par le Client via l'écran « Archive légale » et via un lien permanent personnel pendant toute cette durée.
4. Destruction à 10 ans : au terme de l'obligation légale, ces archives sont détruites définitivement.

En cas de violation de données affectant les données du Client, uon en informe le Client sans délai injustifié après en avoir pris connaissance, avec les éléments utiles, afin que le Client puisse le cas échéant notifier l'autorité compétente dans les 72 heures.

Les données sont hébergées au sein de l'Union européenne. Les transferts vers des sous-traitants établis hors UE (article 7) s'effectuent sous Clauses Contractuelles Types de l'UE (modèles 2021/914).

Pour toute question relative au présent accord ou pour exercer un audit : [email protected].