Accord de traitement des données (DPA)
Dernière mise à jour : 20 avril 2026 — Version 1.0
Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales d'Utilisation et la Politique de confidentialité de PingPaid. Il est conclu entre :
- Le Responsable du traitement: l'utilisateur du service PingPaid (ci-après « le Client »)
- Le Sous-traitant : Enzo Boyrie, éditeur de PingPaid, micro-entrepreneur, Ris-Orangis 91130, email : contact@pingpaid.fr(ci-après « le Prestataire »)
au sens des articles 26 et 28 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (« RGPD »).
1. Objet et champ d'application
Le présent DPA définit les conditions dans lesquelles le Prestataire traite des données personnelles pour le compte du Client dans le cadre de la fourniture du service PingPaid (envoi de relances automatisées de factures impayées).
Le présent DPA fait partie intégrante des CGU. En cas de contradiction entre le DPA et les CGU, le DPA prévaut pour les questions relatives à la protection des données personnelles.
2. Données traitées
| Catégorie | Données | Personnes concernées |
|---|---|---|
| Coordonnées clients | Nom, email, téléphone, société, adresse | Clients / débiteurs du Client |
| Factures | N° facture, montant, dates, statut, devise, notes | Clients / débiteurs du Client |
| Relances | Contenu email, objet, date d'envoi, statut de livraison, date d'ouverture | Clients / débiteurs du Client |
Le Prestataire ne traite aucune donnée sensibleau sens de l'article 9 du RGPD. Le Client s'engage à ne pas saisir de telles données dans le Service.
3. Finalité et durée
Le traitement est effectué aux seules fins de fournir le service de relance automatisée décrit dans les CGU. Le Prestataire ne traite pas les données à d'autres fins et ne les utilise pas pour son propre compte.
La durée du traitement correspond à la durée de la relation contractuelle entre le Client et le Prestataire, plus les durées de conservation légales applicables (notamment 10 ans pour les données comptables — art. L.123-22 du Code de commerce).
4. Obligations du Prestataire
Conformément à l'article 28 du RGPD, le Prestataire s'engage à :
- Instructions documentées— Traiter les données uniquement sur instruction documentée du Client (la configuration des relances dans l'application constitue les instructions)
- Confidentialité— Garantir que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité ou sont soumises à une obligation légale appropriée
- Mesures de sécurité— Mettre en œuvre les mesures techniques et organisationnelles appropriées conformément à l'article 32 du RGPD (détaillées à l'article 8)
- Sous-traitance— Ne pas recruter de sous-traitant ultérieur sans l'information préalable du Client (les sous-traitants actuels sont listés à l'article 6)
- Droits des personnes— Assister le Client, par des mesures techniques et organisationnelles appropriées, dans l'exercice des droits des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation)
- Notification des violations— Notifier le Client dans un délai maximum de 72 heures après avoir pris connaissance d'une violation de données personnelles (art. 33 RGPD)
- Analyse d'impact (DPIA)— Assister le Client dans la réalisation d'analyses d'impact relatives à la protection des données si nécessaire (art. 35 RGPD)
- Consultation préalable — Assister le Client pour la consultation préalable de la CNIL si nécessaire (art. 36 RGPD)
- Suppression / restitution — Supprimer ou restituer les données à la fin du contrat, au choix du Client, et détruire les copies existantes sauf obligation légale de conservation
- Information et audit— Mettre à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits
- Alerte— Informer immédiatement le Client s'il estime qu'une instruction constitue une violation du RGPD ou d'autres dispositions relatives à la protection des données (art. 28.3 RGPD)
5. Obligations du Client
Le Client s'engage à :
- Disposer d'une base légale valable pour le traitement des données de ses propres clients (intérêt légitime pour le recouvrement de créances — art. 6.1.f du RGPD)
- Informer ses clientsde l'utilisation de PingPaid comme sous-traitant technique, conformément aux articles 13 et 14 du RGPD
- Ne pas saisir de données sensibles (santé, opinions politiques, données biométriques, etc.) dans le Service
- Répondre aux demandesd'exercice de droits de ses propres clients et, le cas échéant, solliciter l'assistance du Prestataire
- S'assurer que les données saisies sont exactes, à jour et pertinentes au regard de la finalité du traitement
- Réaliser une analyse d'impact(DPIA) si le traitement qu'il effectue via le Service est susceptible d'engendrer un risque élevé (art. 35 RGPD)
6. Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants suivants. En cas d'ajout ou de remplacement d'un sous-traitant, le Client sera informé par email au moins 30 jours à l'avance. Le Client dispose d'un délai de 15 jours pour s'y opposer par écrit. En cas d'opposition justifiée, le Prestataire s'efforcera de proposer une alternative ou permettra au Client de résilier sans pénalité.
| Prestataire | Traitement | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, authentification | UE (Francfort, Allemagne) | DPA signé, chiffrement AES-256, RLS |
| Vercel | Hébergement applicatif | États-Unis | DPF, SCC (2021/914) |
| Resend | Envoi d'emails de relance | États-Unis | DPF, SCC (2021/914) |
| Stripe | Paiements et facturation | États-Unis | DPF, SCC (2021/914), PCI DSS niveau 1 |
| Sentry | Monitoring d'erreurs (peut contenir des données dans les traces) | États-Unis | DPF, SCC (2021/914) |
Le Prestataire impose à chaque sous-traitant ultérieur des obligations substantiellement identiques à celles prévues au présent DPA, conformément à l'article 28.4 du RGPD.
7. Transferts hors UE
Les transferts de données vers les États-Unis sont encadrés par :
- Le EU-U.S. Data Privacy Framework (DPF), reconnu par la décision d'adéquation de la Commission européenne du 10 juillet 2023
- Les Clauses Contractuelles Types (SCC)adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne
Le Prestataire vérifie que chaque sous-traitant dispose de garanties adéquates au sens des articles 44 à 49 du RGPD. En cas d'invalidation du DPF ou des SCC, le Prestataire mettra en œuvre des mesures supplémentaires conformément aux recommandations du CEPD (Comité Européen de la Protection des Données).
8. Sécurité
Conformément à l'article 32 du RGPD, les mesures de sécurité techniques et organisationnelles mises en œuvre incluent :
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256)
- Authentification par JWT avec rotation des tokens
- Row Level Security (RLS) au niveau PostgreSQL — isolation des données par utilisateur
- Hachage des mots de passe (bcrypt avec salt)
- Sauvegardes automatiques quotidiennes avec rétention
- Monitoring et alertes en temps réel (Sentry)
- Vérification de signature des webhooks (Svix / HMAC-SHA256)
- Principe du moindre privilège pour l'accès aux données et aux systèmes
- Revue régulière des dépendances et correctifs de sécurité
9. Violation de données
En cas de violation de données personnelles au sens de l'article 4.12 du RGPD, le Prestataire :
- Notifie le Client par email dans un délai maximum de 72 heures après en avoir pris connaissance
- Décrit la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés
- Communique le nom et les coordonnées du point de contact
- Décrit les conséquences probables de la violation
- Communique les mesures prises ou proposées pour remédier à la violation, y compris pour en atténuer les effets négatifs
- Assiste le Client dans sa notification à la CNIL (art. 33 RGPD) et aux personnes concernées (art. 34 RGPD) si nécessaire
- Documente la violation dans un registre interne conformément à l'article 33.5 du RGPD
10. Audit
Le Client peut demander au Prestataire toute information nécessaire pour démontrer le respect du présent DPA. Le Prestataire s'engage à faciliter les audits et inspections raisonnables menés par le Client ou un auditeur mandaté par lui, sous réserve :
- D'un préavis écrit de 30 jours minimum
- De la confidentialité des données des autres clients
- D'une fréquence maximale d'un audit par an (sauf violation avérée)
- De la prise en charge des coûts de l'audit par le Client
11. Durée et fin du DPA
Le présent DPA prend effet à la date d'inscription du Client et reste en vigueur tant que le Prestataire traite des données personnelles pour le compte du Client.
À la fin du contrat, le Prestataire :
- Met à disposition du Client un export de ses données (JSON/CSV) pendant 30 jours
- Supprime les données dans un délai de 30 jours après la fin du contrat ou la demande du Client
- Détruit toutes les copies existantes, sauf obligation légale de conservation
- Confirme la suppression par écrit sur demande du Client
12. Droit applicable et litiges
Le présent DPA est régi par le droit français et par le RGPD. En cas de litige relatif au présent DPA, les parties s'efforceront de trouver une solution amiable. À défaut, les tribunaux compétents de Paris seront seuls compétents.
13. Divisibilité
Si une clause du présent DPA est déclarée nulle ou inapplicable, les autres clauses restent en vigueur. Les parties s'efforceront de remplacer la clause annulée par une disposition valable ayant un effet économique et juridique équivalent.
14. Modification du DPA
Le Prestataire peut modifier le présent DPA pour se conformer à l'évolution de la réglementation ou des pratiques. Le Client sera informé de toute modification substantielle par email au moins 30 jours avant son entrée en vigueur. En cas de désaccord, le Client peut résilier son compte conformément aux CGU.
15. Contact
Pour toute question relative au présent DPA : contact@pingpaid.fr