Accord de traitement des donnees (DPA)
Version v1.0 · Derniere mise a jour : 25 avril 2026 · Audience : Clients et partenaires
1. Objet et portee
Le present DPA complete le contrat principal (CGV, CGU, contrat SaaS) et encadre les traitements de donnees a caractere personnel effectues par TarifIA pour le compte du Client, conformement a l'article 28 du Reglement (UE) 2016/679 (« RGPD »).
2. Definitions
- Responsable de traitement
- Le Client, au sens de l'art. 4.7 du RGPD.
- Sous-traitant
- TarifIA SAS.
- Personnes concernees
- Collaborateurs du Client, interlocuteurs de ses fournisseurs, et toute personne physique identifiable dans les donnees injectees.
- Sous-traitants ulterieurs
- Prestataires de TarifIA listes en Annexe B.
3. Obligations du sous-traitant
TarifIA s'engage a :
- traiter les donnees uniquement sur instruction documentee du Client, y compris pour les transferts hors UE ;
- garantir la confidentialite par engagement contractuel de ses personnels ;
- mettre en place les mesures de securite decrites en Annexe C ;
- assister le Client dans le respect de ses obligations (AIPD, reponse aux droits, notifications) ;
- mettre a disposition du Client les informations necessaires pour demontrer la conformite ;
- a la fin du traitement, supprimer ou restituer les donnees selon choix du Client.
4. Obligations du responsable de traitement
Le Client :
- garantit la liceite des donnees qu'il injecte dans le Service ;
- informe les personnes concernees de l'existence du traitement ;
- definit les utilisateurs habilites et les durees de conservation de son perimetre ;
- s'abstient d'injecter des categories particulieres de donnees (art. 9) sans notification prealable a TarifIA.
5. Sous-traitance ulterieure
Le Client autorise TarifIA a recourir aux sous-traitants ulterieurs listes en Annexe B. Toute modification substantielle (ajout, remplacement) fera l'objet d'une notification prealable d'au moins trente (30) jours, laissant au Client le droit de s'y opposer pour motif legitime lie a la protection des donnees.
6. Transferts hors UE
Les traitements ont lieu dans l'UE. Tout transfert hors UE est encadre par les Clauses Contractuelles Types (decision 2021/914) et des mesures complementaires techniques et organisationnelles.
7. Mesures de securite
Les mesures techniques et organisationnelles sont detaillees en Annexe C. Elles sont revues periodiquement au regard de l'etat de l'art.
8. Assistance aux droits des personnes
TarifIA assiste le Client dans la reponse aux demandes d'acces, de rectification, d'effacement, de limitation, de portabilite et d'opposition, dans des delais compatibles avec les obligations du Client (art. 12 RGPD).
9. Violation de donnees
Toute violation de donnees affectant les donnees du Client est notifiee dans les meilleurs delais et, en tout etat de cause, dans un delai maximal de 48 h apres connaissance, avec description de l'incident, categories de donnees concernees, mesures prises et a prevoir.
10. Audit
Le Client peut, une fois par an civil et sous preavis raisonnable, proceder a un audit documentaire. Les audits sur site sont reserves aux cas de violation averee et sont realises dans des conditions preservant la confidentialite des autres clients et la continuite du Service. TarifIA peut satisfaire ces obligations par la fourniture d'attestations de conformite ou de rapports d'audit tiers (ex. ISO 27001, SOC 2) lorsqu'ils existent.
11. Fin du traitement
A la fin du contrat, TarifIA : (i) met a disposition du Client une copie exploitable de ses donnees brutes pendant 30 jours ; (ii) supprime ensuite les donnees en production et les sauvegardes selon le cycle standard, sauf obligation legale de conservation. Les donnees agregees et anonymisees issues du Service ne sont pas restituables par nature.
A. Annexe A — Description des traitements
- Finalite
- Analyse de factures fournisseurs, detection d'anomalies de prix, mercuriale dynamique, suivi RFA, tableaux de bord.
- Categories de donnees
- Identification pro, coordonnees, donnees d'achat (factures, lignes, fournisseurs, montants, dates).
- Categories de personnes
- Collaborateurs du Client, contacts chez ses fournisseurs.
- Nature des operations
- Collecte (import), structuration, enrichissement, consultation, conservation, restitution, effacement.
- Duree
- Duree du contrat + 30 jours (restitution / suppression). Obligations legales comptables : 10 ans pour les factures.
B. Annexe B — Liste des sous-traitants ulterieurs
Liste autorisee au {{date_liste_sous_traitants}}. La version a jour est disponible sur le portail Client ou sur demande a dpo@tarifia.fr.
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| {{st_hebergement}} | Hebergement applicatif | UE | ISO 27001, SOC 2 |
| {{st_db}} | Base de donnees manageе | UE | ISO 27001 |
| {{st_email}} | Envoi d'emails transactionnels | UE | Engagement RGPD |
| {{st_paiement}} | Paiement abonnements | UE | PCI-DSS |
| {{st_ocr}} | OCR / extraction | UE | Engagement contractuel |
| {{st_analytics}} | Mesure d'audience respectueuse | UE | Engagement RGPD, donnees non identifiantes |
| {{st_ia}} | Inference IA manageе | UE | Engagement contractuel, pas d'entrainement sur donnees Client |
C. Annexe C — Mesures techniques et organisationnelles (MTO)
- Chiffrement : TLS 1.2+ en transit, AES-256 au repos.
- Controle d'acces : authentification forte, MFA disponible, RBAC, revue des acces trimestrielle.
- Cloisonnement multi-tenant : isolation logique par
company_id, verifiee par tests automatises. - Sauvegardes : quotidiennes, chiffrees, conservation 30 jours, tests de restauration trimestriels.
- Journalisation: journaux d'acces et d'administration conserves 12 mois, correlation SIEM.
- Developpement securise : SDLC avec revue de code, scans SAST/DAST, gestion des dependances.
- Reponse incident : procedure formalisee, astreinte, notification 48 h.
- Confidentialite personnels : engagement contractuel, sensibilisation RGPD annuelle.