Data Processing Agreement (DPA)

Le présent DPA est conclu entre :

— Le Cabinet abonné au Service Facturflow, agissant en qualité de Responsable de traitement au sens de l'article 4.7 du RGPD (ci-après « le Cabinet »).

— RLN CONSULTING, agissant en qualité de Sous-traitant au sens de l'article 4.8 du RGPD (ci-après « Facturflow »).

Le Cabinet détermine les finalités et les moyens du traitement vis-à-vis de ses propres Clients finaux. Facturflow agit exclusivement sur instruction documentée du Cabinet, formalisée par la souscription au Service et l'acceptation des CGV.

Le présent DPA a pour objet de définir les conditions dans lesquelles Facturflow traite les données personnelles pour le compte du Cabinet, dans le cadre de la fourniture du Service décrit aux Conditions Générales de Vente.

Les traitements opérés par Facturflow concernent les catégories de personnes suivantes :

— Les Clients finaux du Cabinet (personnes physiques ou morales).

— Les contacts au sein des entreprises Clientes finales (gérants, comptables internes).

— Les fournisseurs émetteurs des factures collectées (raisons sociales et adresses email visibles dans les factures).

Les catégories de données personnelles traitées sont :

— Données d'identification : nom, prénom, adresse email, nom de l'entreprise.

— Données de connexion : adresse email IMAP du Client final, mot de passe d'application chiffré (jamais visible en clair).

— Contenu des factures : PDF originaux, métadonnées extraites (fournisseur, montant, date, devise), expéditeur de l'email source.

— Données techniques : adresses IP, logs de connexion (pour la sécurité).

Facturflow effectue les opérations suivantes pour le compte du Cabinet :

— Collecte automatique des emails contenant des factures via connexion IMAP authentifiée.

— Extraction des données comptables (fournisseur, montant, date) par algorithme de scoring.

— Classification automatique des PDFs (facture vs autre document).

— Stockage chiffré des factures et des métadonnées en région UE.

— Restitution des données au Cabinet via interface web.

— Mise à disposition d'un espace authentifié pour les Clients finaux.

Aucun usage secondaire des données n'est effectué (pas d'entraînement IA, pas de revente, pas de profiling commercial).

Le traitement est effectué pendant toute la durée de l'abonnement du Cabinet au Service.

À l'issue de l'abonnement, les données sont conservées pendant trente (30) jours pour permettre une éventuelle réactivation, puis supprimées, sauf obligation légale de conservation (notamment article L123-22 du Code de commerce pour les pièces comptables).

Facturflow s'engage à :

— Traiter les données uniquement sur instruction documentée du Cabinet (CGV + DPA + paramétrages utilisateur).

— Garantir la confidentialité par les personnels habilités à traiter les données (accord de confidentialité interne).

— Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article « Sécurité » ci-dessous.

— Assister le Cabinet, dans la mesure du possible, pour répondre aux demandes d'exercice de droits des personnes concernées.

— Notifier le Cabinet sans délai injustifié en cas de violation de données.

— Mettre à disposition du Cabinet toutes les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD.

— À la fin du contrat, supprimer ou retourner les données selon le choix du Cabinet, dans le respect des durées de conservation légales.

Le Cabinet s'engage à :

— Informer ses Clients finaux de la présence de Facturflow comme sous-traitant et leur fournir les informations requises par les articles 13 et 14 du RGPD.

— Recueillir et démontrer la base juridique du traitement de leurs données (consentement, exécution d'un contrat, intérêt légitime, etc.).

— Transmettre les demandes d'exercice de droits des personnes concernées à Facturflow lorsque cela est nécessaire.

— S'assurer que le traitement effectué via le Service est conforme à la réglementation applicable.

Le Cabinet autorise de manière générale Facturflow à recourir aux sous-traitants ultérieurs listés dans la Politique de confidentialité (Supabase, Stripe, Resend, Sentry, Fly.io, Vercel).

Facturflow s'engage à ce que chaque sous-traitant ultérieur présente des garanties contractuelles équivalentes à celles du présent DPA.

Toute modification de la liste des sous-traitants (ajout, remplacement) sera notifiée au Cabinet par email avec un préavis de trente (30) jours, permettant au Cabinet de formuler objection motivée. À défaut d'objection dans ce délai, le nouveau sous-traitant est réputé accepté.

Facturflow met en œuvre les mesures techniques et organisationnelles suivantes, conformes à l'article 32 du RGPD :

— Chiffrement en transit : TLS 1.3 sur tous les flux HTTP.

— Chiffrement au repos : Fernet (AES symétrique + HMAC SHA-256) pour les credentials IMAP des Clients finaux.

— Isolation des données : Row Level Security (RLS) PostgreSQL stricte entre cabinets.

— Authentification : JWT signés RS256 avec rotation, multi-facteurs en option.

— Contrôle d'accès : principe du moindre privilège pour les accès administrateurs.

— Surveillance : monitoring continu via Sentry (erreurs) et logs structurés.

— Sauvegardes : Supabase opère des sauvegardes automatiques quotidiennes en région UE.

En cas de violation de données personnelles, Facturflow notifie le Cabinet sans délai injustifié et au plus tard dans les soixante-douze (72) heures après en avoir pris connaissance.

La notification précise la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises pour y remédier.

Facturflow assiste le Cabinet, dans la mesure de ce qui est raisonnable, pour effectuer la notification à la CNIL et, si nécessaire, aux personnes concernées.

Facturflow met à disposition du Cabinet, dans son espace cabinet, les fonctionnalités permettant de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité).

Si une personne concernée s'adresse directement à Facturflow, ce dernier transmet sans délai la demande au Cabinet responsable et coopère pour y répondre.

Le Cabinet peut, dans la limite d'une fois par an et sous préavis raisonnable (au moins trente jours), procéder à un audit du respect par Facturflow des obligations du présent DPA. L'audit est réalisé pendant les heures ouvrées, n'entrave pas l'activité de Facturflow et fait l'objet d'un engagement de confidentialité.

Facturflow met à disposition, sur demande, les rapports de conformité disponibles (notamment certifications éventuelles, rapports SOC2 ou équivalents quand applicable).

À la résiliation du Service, le Cabinet peut, pendant trente (30) jours, exporter l'ensemble de ses données via les fonctionnalités d'export du Service (ZIP des factures + CSV des métadonnées).

À l'expiration de ce délai, Facturflow procède à la suppression définitive des données, sauf obligation légale de conservation. Un certificat de suppression peut être délivré sur demande écrite.

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou son exécution relève de la compétence des tribunaux du ressort du siège social de Facturflow, sauf dispositions impératives contraires.