Accord de sous-traitance (DPA)

Version 1.0 — Conforme à l'article 28 du Règlement (UE) 2016/679 (RGPD)

Préambule

Le présent Accord de sous-traitance (ci-après le « DPA » ou « Accord ») est conclu en application de l'article 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le « RGPD »).

Il complète et fait partie intégrante des Conditions Générales d'Utilisation et des Conditions Générales de Vente conclues entre les Parties.

Article 1 — Parties

Le Sous-traitant : SMART DATA PAY (SDP), Société par actions simplifiée au capital de 10 000 €, dont le siège social est situé Bureau 326, 78 avenue des Champs-Élysées, 75008 Paris, immatriculée au RCS de Paris sous le numéro 953 212 503, représentée par sa Présidente, dûment habilitée aux fins des présentes (ci-après « Smart Data Pay » ou « le Sous-traitant »).

Le Responsable de traitement : toute personne morale (cabinet d'expertise comptable, entreprise, association, profession libérale ou tout autre client professionnel) qui souscrit au service Smart Data Pay via l'acceptation en ligne du présent DPA, dûment représentée par une personne ayant pouvoir d'engager la personne morale (ci-après « le Client » ou « le Responsable de traitement »).

Article 2 — Objet et durée

Le présent Accord a pour objet de définir les conditions dans lesquelles Smart Data Pay s'engage à effectuer, pour le compte du Client, les opérations de traitement de données à caractère personnel décrites ci-après. Il s'applique pendant toute la durée d'exécution du Contrat principal et continue de produire ses effets pendant la durée nécessaire au respect des obligations post-contractuelles (restitution / suppression des données).

Article 3 — Description du traitement

3.1 Nature et finalité du traitement. Smart Data Pay traite les données à caractère personnel transmises par le Client aux fins exclusives de :

• fournir au Client les fonctionnalités de gestion de la paie, de simulation, de génération documentaire et d'assistance par intelligence artificielle ;
• héberger les données saisies, importées ou générées dans le cadre du service ;
• assurer le bon fonctionnement, la sécurité et l'évolution du service.

3.2 Catégories de données. Les catégories de données susceptibles d'être traitées comprennent : données d'identification (nom, prénom, date de naissance), données professionnelles (fonction, qualification, salaire, primes), données économiques (RIB, salaire, paiements), numéro de sécurité sociale, données contractuelles, et tout document RH transmis par le Client.

3.3 Catégories de personnes concernées. Salariés, anciens salariés, stagiaires, mandataires sociaux et toute personne physique dont les données sont traitées par le Client dans le cadre de sa gestion sociale et de paie.

3.4 Durée de conservation. Les données sont conservées pour la durée d'exécution du Contrat. À l'issue, les règles de l'article 12 ci-après s'appliquent.

Article 4 — Obligations de Smart Data Pay

Smart Data Pay s'engage à :

• a) traiter les données à caractère personnel uniquement pour les finalités décrites à l'article 3 et conformément aux instructions documentées du Client, sauf obligation légale contraire ;
• b) garantir la confidentialité des données traitées ; veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation contractuelle ou légale de confidentialité et reçoivent la formation nécessaire ;
• c) mettre en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD (cf. Annexe « Sécurité ») ;
• d) aider le Client à respecter ses obligations en matière d'exercice des droits des personnes concernées (articles 15 à 22 du RGPD) ;
• e) aider le Client dans la réalisation des analyses d'impact (AIPD) et dans la consultation préalable de l'autorité de contrôle si nécessaire (articles 35 et 36) ;
• f) notifier au Client toute violation de données à caractère personnel dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, en fournissant les informations exigées par l'article 33 du RGPD ;
• g) mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD ;
• h) ne procéder à aucun transfert de données en dehors de l'Union européenne.

Article 5 — Localisation des données & absence de transfert hors UE

Smart Data Pay s'engage de manière ferme à traiter et héberger l'ensemble des données du Client exclusivement au sein de l'Union européenne. Aucune donnée n'est transmise à un sous-traitant ultérieur situé hors UE, ni à un service d'intelligence artificielle tiers.

Le traitement par intelligence artificielle est réalisé sur une infrastructure souveraine hébergée en France, à partir d'un modèle déployé en interne par Smart Data Pay, sans recours à un service d'IA tiers (notamment OpenAI, Anthropic, Google, Meta).

Article 6 — Sous-traitants ultérieurs

Le Client autorise de manière générale Smart Data Pay à recourir aux sous-traitants ultérieurs listés sur la page /legal/sous-traitants (« Liste des sous-traitants »). Cette autorisation est conditionnée au respect par chaque sous-traitant ultérieur d'obligations équivalentes à celles définies au présent DPA.

Smart Data Pay informera le Client de toute évolution prévue concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, par email à l'adresse renseignée dans le compte Client, avec un préavis de 30 jours permettant au Client d'émettre une opposition motivée. À défaut d'opposition dans ce délai, le changement est réputé accepté.

Article 7 — Sécurité (Article 32 RGPD)

Smart Data Pay met en œuvre les mesures techniques et organisationnelles suivantes :

• Chiffrement en transit (TLS 1.3) et au repos (AES-256) ;
• Cloisonnement strict des données entre comptes clients (Row Level Security au niveau base de données) ;
• Authentification sécurisée, gestion des accès basée sur le moindre privilège, journalisation des accès aux données ;
• Sauvegardes régulières chiffrées, stockées dans l'UE, avec procédure de restauration testée ;
• Pseudonymisation et minimisation des données techniques (logs applicatifs sans PII identifiantes) ;
• Tests réguliers de sécurité (revue de code, dépendances, monitoring de vulnérabilités).

Article 8 — Confidentialité & absence d'entraînement de modèles d'IA

Smart Data Pay n'utilise jamais les données du Client à des fins d'entraînement, d'ajustement ou d'amélioration de modèles d'intelligence artificielle, qu'il s'agisse de modèles propres à Smart Data Pay ou à un tiers. Les contenus saisis par le Client ne servent qu'à produire la réponse demandée et restent strictement confidentiels.

Article 9 — Droits des personnes concernées

Le Client est et reste responsable de la gestion des demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, opposition, limitation, portabilité). Smart Data Pay assiste le Client dans la mise en œuvre de ces demandes en mettant à disposition les fonctionnalités d'export, de modification et de suppression au sein du service, et en répondant à toute requête écrite du Client sous un délai raisonnable.

Article 10 — Notification des violations de données

En cas de violation de données à caractère personnel, Smart Data Pay s'engage à notifier le Client dans les 72 heures suivant la prise de connaissance, par email à l'adresse administrative renseignée par le Client, en précisant la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.

Article 11 — Audit

Le Client peut, à ses frais et sous réserve d'un préavis raisonnable d'au moins 30 jours, procéder à un audit de la conformité de Smart Data Pay au présent DPA, soit directement, soit par l'intermédiaire d'un tiers indépendant soumis à confidentialité. L'audit ne doit pas perturber l'exploitation normale du service. Smart Data Pay peut, en lieu et place d'un audit sur site, fournir des certificats, rapports d'audit indépendants ou attestations équivalentes.

Article 12 — Sort des données en fin de Contrat

À la fin du Contrat, le Client peut, à sa discrétion :

• récupérer ses données via les fonctions d'export du service ;
• demander la suppression définitive de l'ensemble des données dans un délai maximum de 30 jours à compter de la résiliation, sauvegardes incluses sous 90 jours.

À défaut d'instruction du Client, Smart Data Pay procédera à la suppression automatique des données à l'expiration d'une période de conservation légale ou contractuelle applicable.

Article 13 — Responsabilité

Chaque Partie est responsable des dommages causés par un manquement à ses obligations issues du RGPD ou du présent DPA, dans les conditions prévues à l'article 82 du RGPD. La responsabilité de Smart Data Pay est plafonnée dans les conditions des Conditions Générales de Vente.

Article 14 — Acceptation en ligne & preuve

Le présent DPA est accepté en ligne par le Client via une procédure de signature électronique simple (« click-wrap ») depuis l'interface du service. La case d'acceptation, l'identifiant du compte Client, l'horodatage de l'acceptation, l'adresse IP, l'agent utilisateur (navigateur), ainsi que la version du DPA acceptée, sont consignés dans une trace d'audit conservée par Smart Data Pay et faisant foi entre les Parties, conformément aux articles 1366 et 1367 du Code civil.

Le Client garantit que la personne procédant à l'acceptation dispose du pouvoir d'engager la personne morale Cliente.

Article 15 — Évolution du DPA

Smart Data Pay peut faire évoluer le présent DPA pour tenir compte d'évolutions légales, réglementaires ou techniques. Toute modification substantielle est notifiée au Client par email avec un préavis de 30 jours et nécessite une nouvelle acceptation en ligne. À défaut d'acceptation dans ce délai, le Client est réputé refuser la nouvelle version, ce qui peut entraîner la résiliation du Contrat principal.

Article 16 — Loi applicable & juridiction

Le présent DPA est régi par le droit français. En cas de litige, les Parties s'efforceront de trouver une solution amiable. À défaut, les tribunaux du ressort de la Cour d'appel de Paris seront seuls compétents.

Annexe — Liste des sous-traitants ultérieurs

La liste à jour est consultable à l'adresse /legal/sous-traitants.

Contact

Toute question relative au présent DPA peut être adressée à support@smartdatapay.com.