● MADE IN FRANCE FACTUR-X EN 16931

Accueil / DPA

Accord de traitement des données (DPA)

Dernière mise à jour : 5 juillet 2026 — Version 1.0

À qui s'adresse ce document ?

Le présent Accord de traitement des données (« DPA » — Data Processing Addendum) constitue une annexe aux Conditions générales d'utilisation et en fait partie intégrante. Il encadre la sous-traitance de traitement de données personnelles réalisée par RH Pro SAS (« le Sous-traitant ») pour le compte de l'utilisateur professionnel du Service (« le Responsable de traitement » ou « le Client »), au sens de l'article 28 du Règlement (UE) 2016/679 (« RGPD »).

Il ne concerne pas les données que RH Pro SAS traite en qualité de responsable de traitement (compte utilisateur, facturation de l'abonnement, prospection, sécurité) — voir la Politique de confidentialité.

1. Objet et champ d'application

Le présent DPA a pour objet de définir les conditions dans lesquelles RH Pro SAS, en qualité de sous-traitant au sens de l'article 4 (8) du RGPD, traite les données à caractère personnel que le Client, en qualité de responsable de traitement au sens de l'article 4 (7) du RGPD, saisit, importe ou fait générer dans le Service RH Pro BTP.

Il s'applique automatiquement dès l'acceptation des CGU et pour toute la durée d'utilisation du Service. Il prévaut sur les CGU pour toutes les questions relatives à la sous-traitance de traitement au sens de l'article 28 RGPD.

2. Définitions

Les termes en majuscules non définis dans le présent DPA ont le sens qui leur est donné dans les CGU ou, à défaut, dans le RGPD. Aux fins du présent DPA :

  • Données du Client : les données à caractère personnel que le Client saisit, importe ou fait traiter par le Service concernant ses clients, prospects, fournisseurs, sous-traitants, salariés et contacts professionnels.
  • Personnes concernées : les personnes physiques auxquelles se rapportent les Données du Client.
  • Sous-traitant ultérieur : tout tiers auquel le Sous-traitant fait appel pour l'exécution de tout ou partie des traitements, au sens de l'article 28 (2) et (4) RGPD.
  • Violation de données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données du Client, ou l'accès non autorisé à celles-ci (art. 4 (12) RGPD).
  • Autorité de contrôle : la Commission Nationale de l'Informatique et des Libertés (CNIL) pour la France.

3. Nature, finalité et durée des traitements

3.1 Nature des opérations

Le Sous-traitant réalise, pour le compte du Client, les opérations suivantes sur les Données du Client : collecte, enregistrement, structuration, conservation, consultation, extraction, communication par transmission (email, PDP), rapprochement, effacement.

3.2 Finalités

Les traitements sont exécutés aux seules finalités de fourniture du Service :

  • édition et gestion de devis, factures, avoirs, situations, attestations TVA ;
  • tenue d'un carnet clients / fournisseurs / sous-traitants ;
  • gestion de chantiers (planning, journal, marge, pointage) ;
  • envoi de documents commerciaux et transactionnels au destinataire désigné par le Client ;
  • transmission des factures électroniques via Iopole SAS, Plateforme Agréée (PA, anciennement PDP) immatriculée par la DGFiP, ou toute autre PA désignée par le Client ;
  • génération assistée par IA de devis/factures lorsque le Client active les fonctionnalités IA (cf. Conditions d'utilisation des outils IA).

3.3 Durée

Les traitements ont lieu pendant toute la durée du contrat conclu avec le Client (durée de l'abonnement au Service). À l'issue du contrat, le sort des Données du Client est régi par l'article 12 du présent DPA.

4. Catégories de données et de personnes concernées

4.1 Catégories de personnes concernées

  • Clients et prospects du Client (particuliers ou représentants de personnes morales) ;
  • Fournisseurs et sous-traitants du Client (personnes physiques ou représentants) ;
  • Salariés du Client (si le Client active la gestion d'équipe et le pointage) ;
  • Contacts professionnels enregistrés par le Client dans le Service.

4.2 Catégories de données

  • Données d'identification : nom, prénom, adresse postale, email, numéro de téléphone ;
  • Données professionnelles : raison sociale, SIRET/SIREN, forme juridique, TVA intracommunautaire, adresse de chantier ;
  • Données financières : montants facturés, échéances, IBAN de règlement, historique de paiements ;
  • Contenu utilisateur : descriptions de prestations, mentions manuscrites, photos de chantier importées, signatures électroniques manuscrites capturées ;
  • Le cas échéant, données de connexion des salariés du Client aux fonctions de pointage (identifiant, horodatage, position du chantier).

4.3 Données sensibles

Le Sous-traitant ne collecte ni ne traite volontairement de données sensibles au sens des articles 9 et 10 RGPD (santé, opinions politiques, convictions religieuses, orientation sexuelle, condamnations pénales, biométrie…). Le Client s'engage à ne pas saisir ce type de données dans le Service dans des champs qui n'y sont pas destinés (cf. article 5 ci-dessous).

5. Obligations du Client (Responsable de traitement)

Le Client, en sa qualité de responsable de traitement, s'engage à :

  • disposer d'une base légale valide au sens de l'article 6 RGPD pour chaque traitement qu'il confie au Sous-traitant ;
  • respecter, à l'égard des personnes concernées, ses propres obligations d'information (art. 12-14 RGPD), notamment en mentionnant RH Pro SAS comme sous-traitant dans son registre et sa propre politique de confidentialité ;
  • documenter par écrit toute instruction spécifique de traitement adressée au Sous-traitant, en complément du présent DPA ;
  • notifier au Sous-traitant, dans un délai raisonnable, toute demande d'exercice de droit reçue directement d'une personne concernée qui nécessiterait le concours du Sous-traitant ;
  • ne pas saisir dans le Service de données sensibles au sens des articles 9 et 10 RGPD dans des champs non prévus à cet effet, ni de données couvertes par une obligation de secret professionnel étrangère à l'activité BTP ;
  • tenir son registre des activités de traitement (art. 30 RGPD) et, le cas échéant, réaliser les analyses d'impact requises (art. 35 RGPD).

6. Obligations du Sous-traitant (RH Pro SAS)

Conformément à l'article 28 (3) RGPD, le Sous-traitant s'engage à :

  • (a) Traiter les Données du Client uniquement sur instruction documentée du Client — les CGU et le présent DPA constituant cette instruction — sauf obligation légale contraire, auquel cas le Sous-traitant en informe le Client avant le traitement, à moins que le droit applicable ne l'interdise pour des motifs importants d'intérêt public ;
  • (b) Veiller à ce que les personnes autorisées à traiter les Données du Client s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
  • (c) Prendre toutes les mesures techniques et organisationnelles appropriées requises par l'article 32 RGPD — voir article 10 du présent DPA et l'annexe « Mesures de sécurité » ;
  • (d) Respecter les conditions de sous-traitance ultérieure définies à l'article 7 du présent DPA ;
  • (e) Aider le Client, par des mesures techniques et organisationnelles appropriées, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées (art. 15 à 22 RGPD) — voir article 9 du présent DPA ;
  • (f) Assister le Client pour garantir le respect des obligations prévues aux articles 32 à 36 RGPD (sécurité, notification des violations, analyse d'impact, consultation préalable) compte tenu de la nature du traitement et des informations dont il dispose ;
  • (g) Selon le choix du Client, supprimer ou renvoyer toutes les Données à la fin de la prestation, et détruire les copies existantes, sauf obligation légale de conservation — voir article 12 ;
  • (h) Mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD, et permettre la réalisation d'audits, y compris des inspections — voir article 13 ;
  • (i) Informer immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou d'autres dispositions du droit de l'Union ou des États membres relatives à la protection des données.

7. Sous-traitance ultérieure

7.1 Autorisation générale

Le Client donne au Sous-traitant une autorisation générale pour recourir à des sous-traitants ultérieurs, dans les conditions de l'article 28 (2) et (4) RGPD. La liste des sous-traitants ultérieurs en vigueur à la date de signature figure en annexe (Politique de confidentialité §3).

7.2 Notification préalable des changements

Tout ajout ou remplacement de sous-traitant ultérieur est notifié au Client par email et/ou publication sur la page dédiée au moins 30 jours calendaires avant sa mise en œuvre effective. Pendant ce délai, le Client peut s'opposer à ce changement par email motivé à contact@rhpro-sas.fr.

7.3 Effets de l'opposition

Si le Client s'oppose et que le Sous-traitant maintient son choix, le Client peut résilier le Service sans pénalité, avec période d'export de 30 jours, dans les conditions de l'article 6 des CGU. À défaut d'opposition écrite dans le délai de 30 jours, le changement est réputé accepté.

7.4 Garanties imposées aux sous-traitants ultérieurs

Chaque sous-traitant ultérieur est lié par un contrat écrit qui impose les mêmes obligations en matière de protection des données que celles prévues au présent DPA, et notamment celles de fournir des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. En cas de manquement d'un sous-traitant ultérieur à ses obligations, le Sous-traitant demeure pleinement responsable à l'égard du Client de l'exécution par ce sous-traitant ultérieur de ses obligations.

8. Transferts hors Union européenne

Les Données du Client sont hébergées et traitées principalement sur le territoire de l'Union européenne. Certains sous-traitants ultérieurs (notamment Anthropic PBC et OpenAI LLC, uniquement en cas d'activation par le Client des fonctionnalités IA) peuvent impliquer des transferts vers les États-Unis d'Amérique.

Ces transferts sont encadrés, cumulativement :

  • par les Clauses Contractuelles Types (décision (UE) 2021/914 du 4 juin 2021), signées avec chaque sous-traitant concerné ;
  • lorsque applicable, par la certification du sous-traitant au EU-US Data Privacy Framework (décision d'adéquation (UE) 2023/1795 du 10 juillet 2023), vérifiable sur dataprivacyframework.gov ;
  • par des mesures techniques complémentaires : chiffrement des communications, non-utilisation des données pour l'entraînement des modèles, absence de conservation persistante des prompts/réponses.

Aucun transfert hors UE n'a lieu à défaut de garanties appropriées au sens du chapitre V du RGPD.

9. Assistance aux droits des personnes concernées

Le Sous-traitant met à disposition du Client les fonctionnalités techniques nécessaires pour lui permettre de répondre, dans les délais légaux, aux demandes des personnes concernées relatives à leurs droits d'accès (art. 15), rectification (art. 16), effacement (art. 17), limitation (art. 18), portabilité (art. 20) et opposition (art. 21).

Ces fonctionnalités incluent notamment : consultation, modification et suppression des fiches clients / fournisseurs / salariés depuis l'espace Client, export CSV / PDF / Factur-X de l'intégralité des données depuis Paramètres → Compte → Export.

Si le Sous-traitant reçoit directement une demande d'une personne concernée relative à des données saisies par un Client, il en informe le Client sans délai injustifié et ne répond pas à la demande sauf instruction contraire du Client ou obligation légale.

10. Sécurité des traitements

Le Sous-traitant met en œuvre, conformément à l'article 32 RGPD, les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Ces mesures comprennent notamment :

  • chiffrement des données en transit et au repos ;
  • authentification forte des utilisateurs, sessions à durée limitée, option 2FA ;
  • isolation stricte des données par client (multi-tenant), vérifiée à chaque requête ;
  • sauvegardes chiffrées quotidiennes avec procédure de restauration testée ;
  • traçabilité des accès administrateurs, principe du moindre privilège ;
  • procédures documentées de gestion des incidents et des violations de données.

Le détail des mesures techniques et organisationnelles est publié sur la page Sécurité & Conformité, mise à jour régulièrement.

11. Notification des violations de données

En cas de violation de données affectant les Données du Client, le Sous-traitant notifie le Client sans délai injustifié et, dans la mesure du possible, dans un délai maximum de 72 heures après en avoir pris connaissance, conformément à l'article 33 (2) RGPD.

La notification, adressée à l'email de contact du compte Client, comporte au minimum :

  • la nature de la violation et, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements touchés ;
  • les coordonnées du référent RGPD du Sous-traitant ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour y remédier et, le cas échéant, atténuer les éventuelles conséquences négatives.

Si toutes les informations ne peuvent pas être fournies en même temps, elles le sont de manière échelonnée sans délai injustifié. Le Sous-traitant assiste le Client dans l'accomplissement, le cas échéant, de son obligation de notification à l'autorité de contrôle (art. 33 RGPD) et de communication aux personnes concernées (art. 34 RGPD).

12. Restitution et suppression des Données

À la fin de la prestation de services relatifs au traitement (résiliation, expiration, non-renouvellement), le Sous-traitant, selon le choix du Client exprimé par écrit :

  • renvoie au Client, dans un format structuré et lisible par machine (CSV, PDF, Factur-X), l'intégralité des Données du Client ;
  • ou supprime les Données selon les modalités de l'article 6.1 des CGU (30 jours d'export → suppression production sous 7 jours → purge des sauvegardes sous 30 jours supplémentaires).

À défaut d'instruction écrite dans le délai de 30 jours à compter de la résiliation, la suppression est appliquée par défaut. Le Sous-traitant conserve toutefois les données strictement nécessaires au respect de ses propres obligations légales, notamment la conservation des factures émises par le Client via le Service (10 ans, art. L123-22 Code de commerce), stockées de manière isolée.

13. Audit et information

Le Sous-traitant met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 RGPD, notamment :

  • la page publique Sécurité & Conformité ;
  • sur demande écrite motivée : un questionnaire de sécurité complet (CAIQ v4 ou équivalent), les certifications des sous-traitants ultérieurs, un extrait du registre des activités de traitement en qualité de sous-traitant (art. 30 (2) RGPD) ;
  • lorsqu'ils seront disponibles, les rapports anonymisés de tests d'intrusion externes (programme en cours de mise en place), communicables après signature d'un accord de confidentialité.

Le Client peut demander la réalisation d'un audit, au maximum une fois par année civile, dans les conditions suivantes : préavis écrit de 30 jours minimum, portée limitée aux traitements réalisés pour son compte, réalisation par un tiers indépendant soumis à confidentialité, prise en charge intégrale des coûts par le Client (sauf s'il révèle une violation grave imputable au Sous-traitant, auquel cas les coûts sont pris en charge par le Sous-traitant).

14. Responsabilité

Chaque partie répond des dommages causés par le traitement lorsque le RGPD, tel qu'interprété par la jurisprudence, lui en fait porter la responsabilité (art. 82 RGPD). La responsabilité du Sous-traitant est limitée dans les conditions prévues à l'article 10 des CGU.

Le Sous-traitant ne peut être tenu pour responsable des dommages résultant : (i) du non-respect par le Client de ses obligations propres au titre du RGPD ou du présent DPA ; (ii) des instructions du Client contraires au RGPD ou au droit applicable ; (iii) d'un usage du Service non conforme à sa destination ou aux CGU.

15. Durée, modifications et fin

Le présent DPA prend effet à l'acceptation des CGU et demeure en vigueur pendant toute la durée d'utilisation du Service. Les obligations relatives à la confidentialité et à la restitution / suppression des Données survivent à la fin du DPA.

Le Sous-traitant peut modifier le présent DPA pour tenir compte de l'évolution de la réglementation, des lignes directrices du CEPD ou de la CNIL, ou du contenu du Service. Les modifications substantielles sont notifiées au Client par email au moins 30 jours calendaires avant leur entrée en vigueur. La poursuite de l'utilisation du Service après cette date vaut acceptation de la nouvelle version.

16. Droit applicable — Juridiction

Le présent DPA est régi par le droit français. Tout litige relatif à son interprétation ou à son exécution est soumis à la compétence exclusive du Tribunal de commerce de Versailles, sauf disposition d'ordre public contraire.

17. Documents et annexes de référence

18. Contact

Pour toute question relative au présent DPA : contact@rhpro-sas.fr — objet « DPA ». Par courrier : Référent RGPD — RH Pro SAS, 8 Route de Versailles, 78150 Le Chesnay-Rocquencourt.