Accord de traitement des données (DPA)

Version 1.0 — Mise à jour : 28 avril 2026

Le présent accord de traitement des données (« DPA ») s'applique automatiquement et sans formalité à toute personne physique ou morale utilisant le service Facturer, dès la création d'un compte et l'acceptation des CGU. Il complète les CGU et la politique de confidentialité.

1. Parties

Sous-traitant : SARL JFC IMPORT REUNION (SIREN 538 334 624), 7 ALL DES SERINS, 97434 SAINT-PAUL, France, exploitant le service Facturer.

Responsable de traitement : la personne physique ou morale, professionnelle, titulaire d'un compte Facturer (ci-après « l'Utilisateur »).

2. Objet et durée

Le présent DPA encadre le traitement, par Facturer pour le compte de l'Utilisateur, des données personnelles nécessaires à la facturation, à la relation client, à la conservation des pièces comptables et à la transmission éventuelle vers les administrations fiscales (Plateformes Agréées DGFiP).

Le DPA s'applique tant que le compte est actif et pendant la durée légale de conservation des pièces comptables (10 ans).

3. Nature et finalités du traitement

• Hébergement et traitement des données de facturation (clients, produits, devis, factures, avoirs, paiements).
• Émission de PDF, envoi par email transactionnel, relances automatiques.
• Transmission optionnelle aux Plateformes Agréées (PA) dans le cadre de la réforme française de la facturation électronique 2026.
• Sauvegardes, journaux techniques, prévention des fraudes.

4. Catégories de données et de personnes concernées

• Personnes concernées : utilisateurs et leurs collaborateurs invités, clients facturés (personnes physiques ou représentants).
• Catégories de données : identité (nom, raison sociale), coordonnées (email, adresse, téléphone), données fiscales (SIREN, numéro de TVA), données financières (montants, IBAN du payeur le cas échéant). Aucune donnée sensible au sens de l'art. 9 RGPD n'est collectée.

5. Obligations de Facturer (sous-traitant)

• Ne traiter les données que sur instruction documentée de l'Utilisateur (utilisation du service, paramètres, suppression).
• Garantir la confidentialité par engagement contractuel de toute personne autorisée à traiter les données.
• Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites en section 7.
• Notifier toute violation de données à l'Utilisateur sans délai injustifié et au plus tard 72 heures après en avoir pris connaissance.
• Aider l'Utilisateur à répondre aux demandes d'exercice de droits (accès, portabilité, effacement) et aux contrôles CNIL.
• À la résiliation, restituer ou supprimer les données dans les délais indiqués en politique de confidentialité.

6. Sous-traitants ultérieurs autorisés

L'Utilisateur autorise expressément Facturer à recourir aux sous-traitants suivants, tous établis en Union Européenne :

• Supabase (Irlande) : hébergement de la base de données et authentification.
• Vercel (région Paris cdg1) : hébergement applicatif et CDN.
• Resend (Irlande) : envoi d'emails transactionnels.
• Stripe Payments Europe Ltd (Irlande) : traitement des paiements d'abonnement uniquement (les données de paiement client final n'y transitent pas).
• SuperPDP / Plateformes Agréées DGFiP : transmission optionnelle des factures aux administrations françaises (uniquement si activé par l'Utilisateur).

Toute évolution de cette liste sera notifiée par email avec un préavis de 30 jours, période durant laquelle l'Utilisateur peut s'opposer en résiliant son compte sans frais.

7. Mesures de sécurité

• Chiffrement des données en transit (TLS 1.2+) et au repos (AES-256 côté Supabase).
• Cloisonnement strict par société (Row Level Security PostgreSQL).
• Authentification par mot de passe haché (bcrypt) avec vérification email obligatoire.
• Journal d'audit immuable des actions sensibles (création, modification, émission, suppression).
• Sauvegardes automatiques quotidiennes avec rétention de 30 jours côté Supabase.
• Accès aux données restreint au personnel strictement nécessaire, soumis à clause de confidentialité.

8. Transferts hors Union Européenne

Aucun transfert de données personnelles hors Union Européenne n'est effectué. L'intégralité du traitement, du stockage et des sauvegardes est réalisée dans des centres de données situés dans l'UE (Irlande et France).

9. Audit et coopération

L'Utilisateur peut, à ses frais et avec un préavis raisonnable (15 jours minimum), demander à Facturer la documentation permettant de démontrer le respect des obligations du présent DPA. Les certifications et rapports d'audit des sous-traitants (Supabase SOC2, Vercel ISO 27001) peuvent être communiqués sur demande motivée.

10. Loi applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou son exécution relève de la compétence exclusive des tribunaux de Saint-Denis (La Réunion), nonobstant pluralité de défendeurs ou appel en garantie.

11. Contact

Pour toute question relative à ce DPA ou à l'exercice de vos droits : contact@facturer.eu.