Accord de sous-traitance
Accord de Sous-Traitance (DPA)
download PDFVersion 1.0.0 — en vigueur depuis le 11/05/2026
⚠️ DOCUMENT EN COURS DE RÉDACTION — BROUILLON v1.0
Ce document est un projet soumis à la validation d'un avocat IT avant toute mise en production. Les champs entre crochets
◻ [...]sont des variables à remplir après immatriculation de la SAS.Date de rédaction : 11/05/2026
Accord de Sous-Traitance (DPA)
Version : 1.0 — Date d'effet : à définir
Annexe contractuelle obligatoire au titre de l'article 28 du RGPD.
1. Objet
Le présent Accord de Sous-Traitance (« DPA ») encadre le traitement par ◻ [NOM_SAS] (« l'Éditeur »), en qualité de sous-traitant au sens de l'article 28 du RGPD, des données à caractère personnel pour le compte du Client, responsable de traitement.
2. Description du traitement
| Élément | Description |
|---|---|
| Nature | Hébergement, stockage, mise à disposition, traitement applicatif |
| Finalité | Fourniture du Service Facstox |
| Catégories de personnes | Clients finaux du Client, fournisseurs, prospects, salariés (selon modules) |
| Catégories de données | Identification, coordonnées, données commerciales, données comptables, données RH (selon modules) |
| Durée | Durée du contrat + 30 jours de réversibilité |
3. Obligations de l'Éditeur (sous-traitant)
L'Éditeur s'engage à :
a) Traiter les données uniquement sur instruction documentée du Client, sauf obligation légale lui imposant un autre traitement (auquel cas l'Éditeur informe le Client avant le traitement).
b) Garantir la confidentialité : toute personne autorisée à traiter les données est soumise à une obligation de confidentialité légale ou contractuelle.
c) Mettre en œuvre les mesures de sécurité appropriées au sens de l'article 32 du RGPD (voir article 6 de la Politique de Confidentialité).
d) Encadrer le recours à des sous-traitants ultérieurs : autorisation générale du Client conformément à l'article 4. Information préalable de tout changement.
e) Aider le Client :
- À répondre aux demandes d'exercice de droits des personnes concernées
- À assurer la sécurité (notification de violation, analyse d'impact)
- À se conformer aux obligations RGPD
f) Notifier toute violation de données dans un délai maximal de 48 heures après en avoir pris connaissance.
g) Permettre des audits : sur demande raisonnable du Client, fournir toute information utile à la démonstration de la conformité (rapports d'audit existants, certifications). Audit sur site possible une fois par an, aux frais du Client, après préavis de 60 jours.
h) À la fin de la prestation : restituer les données au Client (réversibilité — voir CGV article 6) puis supprimer les copies, sauf obligation légale de conservation.
4. Sous-traitants ultérieurs
Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs listés à l'article 9 de la Politique de Confidentialité.
L'Éditeur informe le Client de tout changement (ajout, remplacement) au moins 30 jours avant sa mise en œuvre, par email ou notification dans l'application.
Le Client peut s'opposer pour motif légitime sérieux dans un délai de 15 jours suivant la notification. À défaut d'accord, le Client peut résilier le contrat sans pénalité.
L'Éditeur impose aux sous-traitants ultérieurs des obligations contractuelles de protection au moins équivalentes aux présentes.
5. Transferts hors UE
Tout transfert de données hors Union Européenne ou Espace Économique Européen est encadré :
- Soit par une décision d'adéquation de la Commission européenne
- Soit par les Clauses Contractuelles Types (décision 2021/914)
- Soit par tout autre mécanisme valide au sens du RGPD chapitre V
6. Responsabilité
La responsabilité de l'Éditeur au titre du présent DPA est plafonnée conformément aux dispositions des CGV. La présente annexe ne crée aucune responsabilité supplémentaire au-delà des obligations de l'article 28 du RGPD.
7. Loi applicable
Le présent DPA est régi par le droit français et l'interprétation harmonisée du RGPD au niveau européen.
Document rédigé par ◻ [NOM_SAS] — SIREN ◻ [en cours d'immatriculation] Éditeur du service Facstox — ◻ [URL_SITE] Contact : ◻ [EMAIL_CONTACT]