RGPD

Accord de Traitement des Données

Cet accord définit les obligations respectives du Responsable de Traitement (le Client) et du Sous-Traitant (53o) en matière de protection des données personnelles, conformément au RGPD.

Article 1 — Objet et périmètre

Le présent Accord de Traitement des Données (ci-après « DPA ») constitue un addendum au contrat de service conclu entre le Client (Responsable de Traitement) et 53o (Sous-Traitant), au sens de l'article 28 du Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données — RGPD).

Il définit les conditions dans lesquelles 53o traite les données personnelles pour le compte du Client dans le cadre de l'utilisation de la plateforme 53o Facturation, accessible à l'adresse https://www.saas-53o.fr.

1.1 Catégories de données traitées

  • Données d'identification (nom, prénom, email, téléphone)
  • Données de facturation (adresses, SIRET, numéros de TVA)
  • Données financières (montants des factures, devis, avoirs)
  • Données de connexion (logs, adresses IP, tokens d'authentification)
  • Données des clients finaux du Client (contacts, adresses)

1.2 Personnes concernées

  • Les utilisateurs de la plateforme (employés du Client)
  • Les clients finaux du Client (destinataires des factures et devis)
  • Les fournisseurs du Client (bons de commande)

1.3 Finalités du traitement

Les données sont traitées exclusivement pour les finalités suivantes : gestion de la facturation, établissement de devis, suivi des paiements, génération de documents fiscaux (FEC), gestion de la relation client et envoi de notifications transactionnelles.

Article 2 — Obligations du Responsable de Traitement

Le Client s'engage à :

  • fournir à 53o des instructions documentées concernant le traitement des données ;
  • s'assurer de la licéité du traitement (base légale, information des personnes concernées) ;
  • répondre aux demandes d'exercice des droits des personnes concernées, avec l'assistance technique de 53o si nécessaire ;
  • notifier 53o de toute modification des instructions de traitement ;
  • informer les personnes concernées de l'existence du présent DPA.

Article 3 — Obligations du Sous-Traitant (53o)

53o s'engage à :

  • traiter les données uniquement sur instruction documentée du Client ;
  • garantir la confidentialité des données traitées et s'assurer que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5 ;
  • assister le Client dans le respect de ses obligations liées à la sécurité, aux analyses d'impact et à la consultation préalable de la CNIL ;
  • ne pas transférer de données hors de l'Union européenne sans garanties adéquates (Clauses Contractuelles Types, décision d'adéquation) ;
  • supprimer ou restituer les données à l'expiration du contrat, selon le choix du Client ;
  • mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA.

Article 4 — Sous-traitants ultérieurs

Conformément à l'article 28.2 du RGPD, 53o informe le Client des sous-traitants ultérieurs auxquels il fait appel pour l'exécution du service. Toute modification de cette liste fait l'objet d'une notification préalable au Client, qui dispose d'un délai de 30 jours pour s'y opposer.

Sous-traitantLocalisationFinalitéDonnées concernéesGaranties de transfert
StripeÉtats-UnisTraitement des paiements en ligneDonnées de paiement (carte, IBAN), montants, identifiants clientClauses Contractuelles Types (SCC) + DPA Stripe
HostingerLituanie / UEHébergement infrastructure et serveurs (VPS)Toutes les données applicatives (chiffrées au repos)Hébergement UE — Pas de transfert hors UE
Anthropic (Claude)États-UnisIntelligence artificielle (assistant IA)Contexte de conversation (anonymisé), aucune donnée financièreClauses Contractuelles Types (SCC) + DPA Anthropic
MongoDB AtlasIrlande / UEBase de données managéeDonnées métier (factures, clients, produits — chiffrées)Hébergement UE — Pas de transfert hors UE
Fournisseur SMTPUnion européenneEnvoi d'emails transactionnelsAdresses email, noms des destinataires, contenu des notificationsHébergement UE — Pas de transfert hors UE

Chaque sous-traitant ultérieur est lié par un accord de traitement des données (DPA) spécifique, garantissant un niveau de protection équivalent à celui prévu par le présent accord. La liste complète des sous-traitants est également consultable sur la page Sous-traitants et Données.

Article 5 — Mesures de sécurité

53o met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données personnelles traitées :

5.1 Chiffrement

  • Au repos : chiffrement AES-256-GCM de toutes les données sensibles stockées en base de données
  • En transit : TLS 1.2+ pour toutes les communications (HTTPS, connexions base de données, API)
  • Mots de passe : hachage bcrypt avec salt individuel

5.2 Authentification et contrôle d'accès

  • Authentification par JWT (JSON Web Tokens) avec refresh tokens
  • Authentification à deux facteurs (2FA) optionnelle via TOTP
  • Contrôle d'accès basé sur les rôles (RBAC) : ADMIN, OPS, READ_ONLY
  • Multi-tenant : isolation stricte des données par organisation (orgId)

5.3 Traçabilité

  • Audit trail complet de toutes les actions sensibles (création, modification, suppression, envoi, paiement)
  • Journalisation des connexions et tentatives échouées
  • Intégrité des documents : empreinte SHA-256 verrouillée à l'envoi et au paiement (immutabilité)

5.4 Infrastructure

  • Sauvegardes automatiques quotidiennes chiffrées
  • Pare-feu applicatif et limitation de débit (rate limiting)
  • Mises à jour de sécurité appliquées sous 72 heures
  • Surveillance continue et alertes en temps réel

Article 6 — Notification de violation de données

En cas de violation de données personnelles au sens de l'article 33 du RGPD, 53o s'engage à :

  1. Notifier le Client dans les 72 heures suivant la prise de connaissance de la violation, par email à l'adresse du compte administrateur ;
  2. fournir les informations suivantes :
    • la nature de la violation (catégories et nombre de personnes concernées) ;
    • les conséquences probables de la violation ;
    • les mesures prises ou proposées pour remédier à la violation ;
    • le nom et les coordonnées du point de contact.
  3. assister le Client dans la notification à la CNIL et, le cas échéant, aux personnes concernées ;
  4. documenter toute violation dans un registre des incidents.

Article 7 — Durée et sort des données

Le présent DPA prend effet à la date d'acceptation par le Client et reste en vigueur pendant toute la durée du contrat de service.

7.1 Pendant le contrat

Les données personnelles sont conservées pendant toute la durée de l'abonnement actif. Le Client peut à tout moment exporter ses données (factures, FEC, répertoire clients) depuis son espace de gestion.

7.2 À l'expiration du contrat

  • Le Client dispose de 30 jours après la résiliation pour exporter l'intégralité de ses données ;
  • passé un délai de 90 jours, les données sont supprimées définitivement des serveurs de 53o ;
  • les données soumises à des obligations légales de conservation (factures, FEC : 10 ans) sont conservées conformément à la réglementation applicable, puis supprimées à l'issue de la période légale.

7.3 Restitution

Sur demande écrite du Client, 53o restitue les données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, PDF) dans un délai de 15 jours ouvrés.

Article 8 — Audit et contrôle

Le Client dispose d'un droit d'audit sur les traitements de données personnelles réalisés par 53o. Ce droit s'exerce dans les conditions suivantes :

  • Fréquence : un audit par an, sauf incident de sécurité justifiant un audit supplémentaire ;
  • Préavis : 30 jours calendaires ;
  • Périmètre : mesures de sécurité, registres des traitements, sous-traitants, journaux d'accès ;
  • Coût : à la charge du Client, sauf si l'audit révèle un manquement de 53o à ses obligations.

53o fournit également un accès permanent aux journaux d'audit directement depuis la plateforme (historique des actions, connexions, modifications).

Article 9 — Droits des personnes concernées

53o assiste le Client pour répondre aux demandes d'exercice des droits des personnes concernées, prévus aux articles 15 à 22 du RGPD :

  • Droit d'accès (art. 15) — export des données depuis la plateforme
  • Droit de rectification (art. 16) — modification en ligne
  • Droit à l'effacement (art. 17) — suppression de compte et données (sous réserve des obligations légales de conservation)
  • Droit à la limitation (art. 18) — gel temporaire du traitement
  • Droit à la portabilité (art. 20) — export JSON/CSV/PDF
  • Droit d'opposition (art. 21) — désinscription des communications

Toute demande peut être adressée à dpo@saas-53o.fr. 53o s'engage à y répondre dans un délai de 30 jours.

Article 10 — Droit applicable et juridiction

Le présent DPA est régi par le droit français et le Règlement (UE) 2016/679 (RGPD).

En cas de litige relatif à l'interprétation ou à l'exécution du présent accord, les parties s'engagent à rechercher une solution amiable. À défaut d'accord dans un délai de 30 jours, le litige sera soumis aux juridictions compétentes de Lyon.

Article 11 — Contact

Pour toute question relative au présent accord ou à la protection des données personnelles, vous pouvez contacter :

  • Délégué à la protection des données : dpo@saas-53o.fr
  • Support : contact@saas-53o.fr
  • Adresse postale : 53o — 9b rue Charlotte Deblo, 69100 Villeurbanne
Date d'effet : 1er mars 2026