Accord de traitement des données
Data Processing Agreement (DPA) — Article 28 du RGPD
En vigueur au 27 avril 2026
En bref : Lorsque vous utilisez DevisMatic pour gérer les données de vos clients (noms, adresses, emails, téléphones), vous êtes le responsable de traitement et DevisMatic agit en qualité de sous-traitant. Le présent accord encadre ce traitement conformément au RGPD.
Article 1 — Parties
Le Responsable de traitement : L'utilisateur de DevisMatic (ci-après « l'Artisan »), en sa qualité de professionnel collectant les données personnelles de ses propres clients dans le cadre de son activité.
Le Sous-traitant : DevisMatic, société par actions simplifiée à associé unique (SASU) au capital de 1 000,00 €, immatriculée au RCS de Toulouse sous le numéro 103 786 737, dont le siège social est situé au 5 chemin des Plantiers, 31270 Frouzins, représentée par Pierre Jouin, Président (ci-après « DevisMatic »).
Article 2 — Objet et durée
Le présent accord définit les obligations de DevisMatic en tant que sous-traitant des données personnelles que l'Artisan saisit dans la plateforme. Il entre en vigueur à la création du compte et reste applicable pendant toute la durée d'utilisation du service, puis pendant la durée de conservation légale applicable.
Article 3 — Nature et finalité du traitement
| Élément | Description |
|---|---|
| Finalité | Génération de devis, factures, gestion de clients et recouvrement d'impayés pour le compte de l'Artisan |
| Catégories de données | Nom, email, téléphone, adresse postale, SIRET des clients de l'Artisan ; montants et détails des devis/factures |
| Personnes concernées | Clients (particuliers et professionnels) de l'Artisan |
| Opérations | Collecte, stockage, consultation, génération de PDF, envoi d'email, traitement IA (assistance à la rédaction), suppression |
| Durée | Durée du compte + 10 ans pour les factures (obligation art. L123-22 C. com.), 5 ans pour les dossiers de recouvrement |
Article 4 — Obligations de DevisMatic
Conformément à l'article 28 du RGPD, DevisMatic s'engage à :
- Traiter les données uniquement sur instruction documentée de l'Artisan (via l'utilisation de la plateforme)
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (chiffrement TLS 1.3, chiffrement au repos AES-256, Row Level Security Supabase, authentification JWT)
- Ne pas faire appel à un autre sous-traitant sans l'autorisation préalable de l'Artisan (liste des sous-traitants ultérieurs ci-dessous)
- Aider l'Artisan à répondre aux demandes d'exercice de droits de ses clients (accès, rectification, effacement)
- Supprimer ou restituer les données au terme de la prestation, sauf obligation légale de conservation
- Mettre à disposition les informations nécessaires pour démontrer la conformité au RGPD
- Notifier l'Artisan dans un délai de 72 heures en cas de violation de données personnelles
Article 5 — Sous-traitants ultérieurs
L'Artisan autorise DevisMatic à recourir aux sous-traitants ultérieurs suivants pour l'exécution du service. En cas de changement, l'Artisan sera informé avec un préavis de 30 jours et pourra s'y opposer.
Supabase Inc.
Hébergement base de données, authentification, stockage fichiers
Union Européenne (eu-west)
DPA Supabase disponible sur supabase.com/legal
Vercel Inc.
Hébergement et diffusion du site web
Union Européenne (Edge)
DPA Vercel disponible sur vercel.com/legal/dpa
Railway Corp.
Hébergement du serveur applicatif
USA
Clauses contractuelles types (CCT)
Anthropic PBC
Traitement IA — assistance à la génération de devis
USA
Clauses contractuelles types (CCT)
Stripe Inc.
Traitement des paiements (données de carte non stockées par DevisMatic)
USA / UE
Data Privacy Framework + DPA Stripe
Resend Inc.
Envoi d'emails transactionnels (devis, factures, relances)
USA
Clauses contractuelles types (CCT)
Article 6 — Transferts hors UE
Certains sous-traitants ultérieurs sont situés aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) pour Anthropic, Railway et Resend
- Le Data Privacy Framework UE-USA pour Stripe
La base de données principale (Supabase) est hébergée en Union Européenne (région eu-west). Les données personnelles des clients de l'Artisan ne quittent l'UE que lorsqu'elles sont transmises à l'IA (Anthropic) pour la génération de devis, ou lors de l'envoi d'emails (Resend).
Article 7 — Sécurité
DevisMatic met en œuvre les mesures suivantes :
Chiffrement en transit
TLS 1.3 sur toutes les connexions
Chiffrement au repos
AES-256 (Supabase managed)
Contrôle d'accès
Row Level Security (RLS) PostgreSQL
Authentification
JWT avec expiration courte (~24h)
Protection anti-abus
Rate limiting (60 req/min global)
Masquage dans les logs
Emails masqués dans les journaux applicatifs
Article 8 — Violation de données
En cas de violation de données personnelles au sens de l'article 33 du RGPD, DevisMatic s'engage à notifier l'Artisan dans un délai de 72 heures après en avoir pris connaissance. La notification inclura la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.
Article 9 — Exercice des droits
Si un client de l'Artisan exerce ses droits (accès, rectification, effacement, portabilité) directement auprès de DevisMatic, nous en informerons l'Artisan dans un délai de 5 jours ouvrés. L'Artisan reste responsable de la réponse à donner à son client.
DevisMatic met à disposition de l'Artisan les outils suivants pour gérer les données de ses clients : consultation, modification et suppression des fiches clients depuis l'interface, export des données au format JSON.
Article 10 — Restitution et suppression
À la résiliation du compte, l'Artisan peut exporter l'intégralité de ses données au format JSON depuis les paramètres de son compte. Après suppression du compte, DevisMatic supprime les données personnelles dans un délai de 30 jours, à l'exception des données dont la conservation est imposée par la loi :
- Factures : 10 ans (art. L123-22 du Code de commerce) — conservées sous forme anonymisée
- Dossiers de recouvrement : 5 ans (prescription civile)
Article 11 — Droit applicable
Le présent accord est soumis au droit français et au Règlement (UE) 2016/679 (RGPD). En cas de litige, les parties s'engagent à rechercher une solution amiable avant toute action judiciaire. À défaut, le Tribunal de commerce de Toulouse sera compétent.
Contact : Pour toute question relative à cet accord, vous pouvez nous écrire à contact@devismatic.fr.
Dernière mise à jour : avril 2026