Accord de traitement des données (DPA)
Dernière mise à jour : 7 mai 2026 · Version 1.0
Article 28 du Règlement (UE) 2016/679 — Accord de sous-traitance entre Devixo (sous-traitant) et le Client artisan (responsable de traitement).
Pourquoi ce document ?
En tant qu'artisan utilisant Devixo, vous confiez à notre plateforme les données personnelles de vos propres clients (nom, adresse, téléphone, devis). À ce titre, vous êtes responsable de traitement et Devixo est sous-traitant. Le présent DPA encadre cette relation conformément à l'article 28 RGPD et fait partie intégrante des CGV.
1. Définitions
Les termes utilisés au présent DPA ont le sens qui leur est donné par le RGPD : « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « sous-traitant ultérieur », « violation de données », « autorité de contrôle ».
2. Objet et durée
Devixo traite des données personnelles pour le compte du Client afin de lui fournir le Service Devixo (génération, signature, envoi de devis et factures, gestion comptable, agents IA, support). Le présent DPA s'applique pendant toute la durée de l'abonnement et survit pendant les 90 jours suivant la résiliation, durée pendant laquelle le Client peut exporter ses données.
3. Nature et finalité du traitement
- Nature : collecte, enregistrement, conservation, consultation, utilisation, transmission, suppression.
- Finalité : exécution des fonctionnalités du Service Devixo souscrites par le Client.
- Type de données : identité, coordonnées, informations contractuelles et comptables, contenus de devis et factures, signatures électroniques.
- Catégories de personnes concernées : clients finaux du Client (consommateurs ou professionnels), prospects, collaborateurs et sous-traitants du Client.
4. Obligations de Devixo
Devixo s'engage à :
- traiter les données uniquement sur instruction documentée du Client (les CGV et l'usage du Service constituant ces instructions) ;
- garantir la confidentialité des personnes habilitées à traiter les données par engagement contractuel ou obligation légale ;
- mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 7 ci-après ;
- assister le Client dans l'exercice des droits des personnes concernées ;
- notifier au Client toute violation de données dans les 72 heuresau maximum, par email à l'adresse renseignée au compte du Client ;
- mettre à disposition du Client les informations nécessaires au respect de l'article 28 RGPD et permettre la réalisation d'audits, dans la limite d'un audit par an et après préavis de 30 jours, à frais partagés ;
- au choix du Client, supprimer ou restituer les données à la fin du contrat, sauf obligation légale de conservation contraire (notamment NF525 et obligations comptables : 10 ans).
5. Obligations du Client (responsable de traitement)
- disposer d'une base légale RGPD pour chaque traitement (exécution contractuelle, intérêt légitime, consentement) ;
- informer ses propres clients du traitement de leurs données via Devixo (information article 13 RGPD) ;
- ne pas confier au Service de données sensibles non autorisées ni de données relatives à des mineurs sans base légale appropriée ;
- sécuriser ses identifiants d'accès et notifier sans délai tout soupçon de compromission à security@devixo.fr.
6. Sous-traitants ultérieurs autorisés
Le Client autorise expressément Devixo à recourir aux sous-traitants ultérieurs ci-dessous, lesquels ont chacun signé un accord de sous-traitance conforme au RGPD. Toute évolution substantielle de cette liste sera notifiée au Client par email avec un préavis de 30 jours, période pendant laquelle le Client peut s'opposer pour motif légitime ; à défaut d'accord, le Client peut résilier sans frais.
| Sous-traitant | Localisation | Finalité | Garanties |
|---|---|---|---|
| Vercel Inc. | USA | Hébergement web, exécution serveur, CDN, AI Gateway | CCT + EU-US Data Privacy Framework + DPA Vercel signé |
| Neon | UE (Francfort) | Base de données PostgreSQL applicative | Hébergement UE + DPA Neon + chiffrement au repos |
| Clerk Inc. | USA | Authentification, gestion des sessions | CCT + DPF + DPA Clerk + SSO 2FA |
| Stripe Payments Europe Ltd | Irlande (UE) | Encaissement des abonnements et paiements | Hébergement UE + DPA Stripe + PCI-DSS Niveau 1 |
| DocuSign France | UE (Francfort, eu.docusign.net) | Signature électronique des devis et factures | DPA DocuSign + AATL + conforme eIDAS niveau avancé |
| Anthropic PBC (via Vercel AI Gateway) | USA | Modèles de langage (Claude) pour assistance IA | CCT + DPF + Zero Data Retention activé via AI Gateway |
| Resend Inc. | USA | Envoi d'emails transactionnels (devis, factures, alertes) | CCT + DPF + DPA Resend |
| Pappers | France | Vérification SIRET, données légales d'entreprise | Hébergement France + DPA Pappers |
| Telegram FZ-LLC | Royaume-Uni / Émirats arabes unis | Messagerie instantanée (bot Devixo officiel) | Décision d'adéquation UK 2021 + chiffrement de transport |
La liste à jour est tenue à disposition à l'adresse dpo@devixo.fr.
7. Mesures techniques et organisationnelles (TOMs)
- Chiffrement : TLS 1.3 en transit, AES-256 au repos sur Neon et Vercel Blob.
- Pseudonymisation: usage d'identifiants internes plutôt que d'identifiants personnels dans les logs.
- Contrôle d'accès : authentification forte Clerk, principe du moindre privilège, journalisation des accès internes.
- Disponibilité: sauvegardes quotidiennes chiffrées avec rétention 30 jours, plan de reprise d'activité documenté.
- Intégrité: journaux d'audit chaînés par hash SHA-256 (NF525), détection des altérations.
- Tests: tests d'intrusion réguliers, revue de code obligatoire, scan automatique des dépendances (npm audit, Snyk).
- Sensibilisation : formation annuelle obligatoire des équipes Devixo sur le RGPD et la sécurité.
- Gestion des incidents: procédure documentée, astreinte sécurité, notification client < 72h.
8. Notification de violation
En cas de violation de données affectant les données traitées pour le Client, Devixo notifie le Client dans un délai maximal de 72 heuresà compter de la prise de connaissance de la violation. La notification précise : (i) la nature de la violation, (ii) les catégories et le nombre approximatif de personnes et d'enregistrements concernés, (iii) les conséquences probables, (iv) les mesures prises ou proposées pour remédier à la violation et limiter ses effets, (v) le contact du DPO Devixo. Le Client demeure responsable de la notification à la CNIL et aux personnes concernées si elle s'impose.
9. Audits
Le Client peut demander la réalisation d'un audit annuel des mesures mises en œuvre par Devixo, après préavis de 30 jours, sur rendez-vous, dans les locaux de Devixo et sans perturber l'exploitation. Devixo peut, à sa discrétion, satisfaire à cette obligation par la transmission d'un rapport d'audit tiers récent (SOC 2, ISO 27001) lorsque disponible. Les frais internes Devixo sont à la charge de Devixo ; les frais externes sont à la charge du Client.
10. Transferts hors UE
Les transferts vers les sous-traitants ultérieurs établis hors UE sont encadrés par les Clauses Contractuelles Types (décision 2021/914) et, lorsqu'applicable, par le EU-US Data Privacy Framework. Devixo procède à une évaluation des transferts (Transfer Impact Assessment) tenue à la disposition du Client sur demande raisonnable.
11. Restitution et suppression
À l'expiration de l'abonnement, Devixo met à disposition du Client, pendant 90 jours, une fonctionnalité d'export intégral de ses données au format JSON et CSV. Au terme de cette période, Devixo procède à la suppression définitive des données du Client, à l'exception des pièces comptables conservées pour une durée légale de 10 ans (article L.123-22 C. com.) et des journaux NF525 (10 ans).
12. Loi applicable
Le présent DPA est régi par le droit français et soumis à la compétence du Tribunal de Commerce de Paris. Il complète et fait partie intégrante des CGV ; en cas de contradiction, le DPA prévaut sur les CGV pour ce qui concerne la protection des données personnelles.
Pour toute question relative au présent DPA, contactez notre DPO : dpo@devixo.fr.