ACCORD DE TRAITEMENT DE DONNÉES (DPA)
Article 28 du Règlement (UE) 2016/679 (RGPD)
Version : 1.0 Date d'entrée en vigueur : 1er juin 2026 Annexé aux CGV de la Plateforme api.jope.fr
ENTRE LES SOUSSIGNÉS
JOPE DEVELOPPEMENT, Société à Responsabilité Limitée (SARL) au capital de 100 euros, dont le siège social est situé 121 rue Victor Hugo, 54200 BRULEY, immatriculée au RCS de Nancy sous le numéro 833 221 872, SIRET 833 221 872 00017, TVA intracommunautaire FR72 833 221 872, représentée par Madame Perrine GONDARD, gérante, dûment habilitée aux fins des présentes,
ci-après dénommée le « Sous-traitant » ou « JOPE »,
D'UNE PART,
ET
Le Client (Tenant), tel qu'identifié dans son compte sur la Plateforme,
ci-après dénommé le « Responsable de traitement » ou le « Client »,
D'AUTRE PART,
Ensemble dénommées les « Parties ».
PRÉAMBULE
Dans le cadre de l'exécution des Conditions Générales de Vente (CGV) liant les Parties (ci-après le « Contrat principal »), le Sous-traitant est amené à traiter, pour le compte et selon les instructions du Responsable de traitement, des données à caractère personnel au sens du Règlement (UE) 2016/679 du 27 avril 2016 (ci-après le « RGPD »).
Conformément à l'article 28 du RGPD, les Parties ont décidé de formaliser par le présent Accord de Traitement de Données (ci-après « DPA ») les obligations respectives de chacune relativement à ces traitements.
ARTICLE 1 — OBJET DU TRAITEMENT
Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant traite, pour le compte du Responsable de traitement, les données à caractère personnel nécessaires à la fourniture des Utilitaires de la Plateforme api.jope.fr.
ARTICLE 2 — NATURE ET FINALITÉS DU TRAITEMENT
2.1 Nature
Les traitements effectués par le Sous-traitant consistent en :
- la réception, la transmission et le traitement technique des fichiers soumis par le Responsable de traitement aux Utilitaires de la Plateforme ;
- l'exécution des opérations propres à chaque Utilitaire (reconnaissance optique de caractères, transcription, analyse, conversion, extraction, anonymisation, calcul, etc.) ;
- la restitution des résultats au Responsable de traitement ;
- la conservation des journaux d'usage (UsageRecord) à des fins de facturation, de preuve et de conformité comptable et fiscale.
2.2 Finalités
Les traitements ont pour finalités exclusives :
- la fourniture des services contractuellement convenus dans le Contrat principal ;
- la facturation et le recouvrement des sommes dues ;
- le respect des obligations légales, réglementaires et fiscales pesant sur le Sous-traitant.
Le Sous-traitant s'interdit tout traitement à d'autres fins, et notamment toute exploitation commerciale, statistique non agrégée, ou entraînement de modèles d'intelligence artificielle à partir des données du Client.
ARTICLE 3 — CATÉGORIES DE DONNÉES TRAITÉES
Les catégories de données à caractère personnel susceptibles d'être traitées sont :
| Catégorie | Description | Origine |
|---|---|---|
| Contenu des fichiers | Toute donnée présente dans les fichiers soumis par le Client aux Utilitaires (texte, image, son, métadonnées) | Soumission par le Client |
| Métadonnées techniques | Adresse IP, horodatage, identifiant de session, jeton API, identifiant de l'Utilitaire appelé, taille et type de fichier | Génération automatique |
| Données de compte Utilisateur | Adresse électronique, mot de passe haché (bcrypt), rôle, journaux de connexion, secret 2FA TOTP (le cas échéant) | Inscription |
| Données de facturation | Dénomination du Tenant, SIRET, numéro de TVA, adresse, identifiant moyen de paiement (token Stripe — pas de PAN brut) | Inscription et usage |
Le Sous-traitant ne sollicite pas la communication de données dites « sensibles » au sens de l'article 9 du RGPD ni de données relatives à des condamnations pénales au sens de l'article 10 du RGPD. Si le Responsable de traitement soumet néanmoins de telles données dans les fichiers qu'il transmet, il en demeure seul responsable au regard du fondement juridique du traitement.
ARTICLE 4 — CATÉGORIES DE PERSONNES CONCERNÉES
Les personnes concernées par les traitements sont :
- les Utilisateurs rattachés au Tenant client (collaborateurs, salariés, prestataires) ;
- les personnes physiques dont les données figurent dans les fichiers soumis à la Plateforme par le Client (clients, fournisseurs, salariés ou tiers du Client).
ARTICLE 5 — DURÉE DE CONSERVATION
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Fichiers soumis aux Utilitaires | Vingt-quatre (24) heures maximum (purge automatique du dossier tmp/) | Stricte nécessité d'exécution |
| Résultats des traitements | Restitués immédiatement au Client puis non conservés | Stricte nécessité d'exécution |
| UsageRecord détaillés | Dix (10) ans | Obligation comptable (art. L. 123-22 C. com.) |
| UsageRecord agrégés | Treize (13) mois | Facturation et analyse |
| Données de compte Utilisateur | Durée du contrat + suppression dans les 30 jours suivant la clôture | Exécution du contrat |
| Données de facturation et Factures | Dix (10) ans | Obligation comptable et fiscale |
| Journaux de connexion et de sécurité | Douze (12) mois | Sécurité et preuve |
Les durées plus longues prévues par la loi (notamment en matière comptable et fiscale) priment sur les obligations de suppression contractuelles.
ARTICLE 6 — LIEU DE TRAITEMENT
Les traitements sont effectués principalement en France métropolitaine (hébergement OVHcloud, sites de Strasbourg ou Roubaix). Certains traitements impliquent des transferts vers d'autres pays au sein de l'Union européenne ou vers des pays tiers, selon le sous-traitant ultérieur concerné (cf. article 7).
Pour tout transfert vers un pays tiers ne bénéficiant pas d'une décision d'adéquation de la Commission européenne, le Sous-traitant garantit la mise en place de Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution (UE) 2021/914 du 4 juin 2021), complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires (chiffrement de bout en bout, contrôle d'accès, journalisation).
ARTICLE 7 — SOUS-TRAITANTS ULTÉRIEURS
Le Responsable de traitement autorise le Sous-traitant à recourir aux sous-traitants ultérieurs suivants pour l'exécution des traitements :
| Sous-traitant ultérieur | Pays / Lieu de traitement | Finalité | Cadre du transfert | Garanties spécifiques |
|---|---|---|---|---|
| Stripe Payments Europe Ltd. | Irlande (UE) | Traitement des paiements (CB, SEPA) | UE — Pas de transfert hors UE | Agrément établissement de paiement (Banque Centrale d'Irlande). Certification PCI-DSS niveau 1. DPA Stripe disponible. |
| Anthropic, PBC | États-Unis | LLM Claude — analyse de factures, extraction d'informations | Transfert hors UE encadré par CCT (Module 3) | Engagement contractuel « no training on customer data » (Commercial Terms). DPA Anthropic disponible. |
| OpenAI, L.L.C. | États-Unis | Whisper (transcription audio) et GPT-4o-mini (renommage intelligent) | Transfert hors UE encadré par CCT (Module 3) | Zero Data Retention sur API : attestation à obtenir auprès d'OpenAI [À COMPLÉTER]. DPA OpenAI disponible. |
| Mistral AI SAS | France (UE) | OCR de PDF et anonymisation de documents | UE — Pas de transfert hors UE | Attestation de Zero Day Retention obtenue auprès de Mistral AI (en possession de l'éditeur, communicable sur demande). DPA Mistral disponible. |
| OVHcloud (OVH SAS) | France (Strasbourg ou Roubaix) | Hébergement des serveurs de la Plateforme (IaaS) | UE — Pas de transfert hors UE | Certifications ISO 27001, HDS (le cas échéant). Statut : fournisseur d'infrastructure ; à mentionner par transparence bien que ne traitant pas activement les données. |
| pCloud AG | Suisse | Stockage des sauvegardes chiffrées (Borg + rclone) | Décision d'adéquation Suisse (décision (UE) 2000/518) | Chiffrement Borg côté client avant transfert : pCloud ne peut techniquement pas accéder aux données en clair. |
7.1 Information préalable
Toute modification de la liste des sous-traitants ultérieurs (ajout ou remplacement) est notifiée au Responsable de traitement par courrier électronique avec un préavis d'au moins trente (30) jours, lui permettant d'exercer un droit d'objection motivée. En cas d'objection légitime non résolue, chaque Partie peut résilier le contrat principal sans indemnité.
7.2 Chaîne contractuelle
Le Sous-traitant impose à chacun de ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA. Le Sous-traitant demeure pleinement responsable à l'égard du Responsable de traitement de l'exécution par le sous-traitant ultérieur de ses obligations.
ARTICLE 8 — OBLIGATIONS DU SOUS-TRAITANT
Conformément à l'article 28.3 du RGPD, le Sous-traitant s'engage à :
a) Ne traiter les données que sur instruction documentée du Responsable de traitement, y compris en ce qui concerne les transferts vers des pays tiers, sauf obligation légale particulière (auquel cas il en informe le Responsable de traitement avant le traitement, sauf interdiction légale) ;
b) Garantir la confidentialité des données traitées : toute personne autorisée par le Sous-traitant à accéder aux données est tenue à une obligation contractuelle ou légale de confidentialité ;
c) Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. article 9) pour garantir un niveau de sécurité adapté au risque ;
d) Respecter les conditions de recours à un sous-traitant ultérieur (cf. article 7) ;
e) Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriées, à donner suite aux demandes d'exercice des droits des personnes concernées (cf. article 10) ;
f) Aider le Responsable de traitement à se conformer à ses obligations en matière de sécurité, de notification des violations, d'analyses d'impact (AIPD) et de consultation préalable de l'autorité de contrôle ;
g) Supprimer ou restituer les données à la fin du contrat (cf. article 13) ;
h) Mettre à disposition du Responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD et permettre la réalisation d'audits (cf. article 12) ;
i) Informer immédiatement le Responsable de traitement si, à son avis, une instruction constitue une violation du RGPD ou de toute autre disposition relative à la protection des données.
ARTICLE 9 — SÉCURITÉ DU TRAITEMENT
Conformément à l'article 32 du RGPD, le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :
9.1 Mesures techniques
- Chiffrement des communications : TLS 1.2 minimum (TLS 1.3 préféré) pour toutes les communications entre les Utilisateurs, l'API et les sous-traitants ultérieurs.
- Chiffrement des sauvegardes : Borg avec chiffrement AES-256 côté client avant transfert vers pCloud.
- Hachage des mots de passe : bcrypt avec facteur de coût configuré au niveau de l'état de l'art (12 minimum).
- Authentification renforcée : 2FA TOTP disponible pour tout Utilisateur ; obligatoire pour les comptes administrateurs internes.
- Contrôle d'accès : RBAC fin sur l'ensemble des endpoints d'administration ; cloisonnement des données par
tenant_id. - Isolation tenant : chaque Tenant dispose d'un espace logique isolé ; aucune jointure inter-tenant n'est autorisée applicativement.
- Purge automatique : suppression des fichiers temporaires dans les 24 heures suivant le traitement.
- Supervision : monitoring continu (Prometheus + Grafana), alertes sur indicateurs de sécurité.
- Mises à jour de sécurité : application des correctifs dans des délais appropriés à la criticité.
9.2 Mesures organisationnelles
- Politique interne de sécurité des systèmes d'information.
- Limitation stricte des accès aux données aux seuls personnels habilités, sur la base du principe du moindre privilège.
- Engagement de confidentialité signé par tout collaborateur ou prestataire.
- Procédure documentée de gestion des incidents de sécurité.
- Sauvegarde quotidienne incrémentale chiffrée, avec rotation et tests de restauration périodiques.
- Plan de reprise d'activité (PRA) documenté, complété par les snapshots OVHcloud J-7.
ARTICLE 10 — DROITS DES PERSONNES CONCERNÉES
10.1 Information
Il appartient au Responsable de traitement de fournir aux personnes concernées l'information requise par les articles 13 et 14 du RGPD relativement aux traitements effectués par l'intermédiaire de la Plateforme.
10.2 Exercice des droits
Lorsque le Sous-traitant reçoit directement d'une personne concernée une demande d'exercice de droits (accès, rectification, effacement, limitation, portabilité, opposition), il :
- transmet la demande sans délai au Responsable de traitement ;
- ne donne pas suite directement à la demande, sauf instruction expresse du Responsable de traitement.
10.3 Assistance
Le Sous-traitant assiste le Responsable de traitement dans le traitement des demandes par la mise à disposition d'outils techniques (export, suppression ciblée) et par la communication des informations nécessaires.
10.4 Canal de contact
Toute demande peut être adressée à : contact@jope-developpement.fr — à l'attention de Madame Perrine GONDARD, gérante et déléguée à la protection des données (DPO) du Sous-traitant.
ARTICLE 11 — NOTIFICATION DES VIOLATIONS DE DONNÉES
Conformément à l'article 33.2 du RGPD, le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dont il aurait connaissance dans les meilleurs délais et au plus tard soixante-douze (72) heures après en avoir pris connaissance.
La notification comprend, dans la mesure des informations disponibles :
- la nature de la violation ;
- les catégories et le nombre approximatif de personnes et d'enregistrements concernés ;
- les conséquences probables ;
- les mesures prises ou envisagées pour remédier à la violation et atténuer ses effets.
Le Sous-traitant coopère avec le Responsable de traitement pour permettre à ce dernier de remplir ses propres obligations de notification (articles 33 et 34 du RGPD).
ARTICLE 12 — AUDITS
Le Responsable de traitement peut, à ses frais et une fois par période de douze (12) mois civils, faire procéder à un audit du respect par le Sous-traitant de ses obligations résultant du présent DPA.
Modalités :
- préavis écrit de trente (30) jours ;
- audit conduit pendant les heures ouvrées, sans perturbation excessive de l'activité du Sous-traitant ;
- auditeur indépendant signant un engagement de confidentialité préalable ;
- périmètre limité aux traitements effectués pour le compte du Responsable de traitement ;
- communication d'un rapport au Sous-traitant, qui dispose d'un droit de réponse.
À titre alternatif et sauf circonstances particulières (incident de sécurité avéré, demande d'une autorité de contrôle), le Sous-traitant peut satisfaire à son obligation par la communication de rapports d'audit existants (certifications, attestations SOC 2, ISO 27001, le cas échéant) couvrant le périmètre concerné.
ARTICLE 13 — SORT DES DONNÉES À LA FIN DU CONTRAT
À l'expiration du contrat principal, quelle qu'en soit la cause, le Sous-traitant :
- Permet l'export des données du Client dans un format structuré et couramment utilisé (CSV pour les UsageRecord, PDF/XML Factur-X pour les Factures, archive ZIP horodatée). L'export est mis à disposition gratuitement sur demande adressée pendant les six (6) mois suivant la résiliation.
- Supprime l'ensemble des données du Client dans un délai maximum de trente (30) jours à compter de la résiliation effective, à l'exception :
- des données soumises à des obligations légales de conservation (notamment les Factures et UsageRecord détaillés, conservés dix (10) ans) ;
- des sauvegardes périodiques qui seront purgées selon le cycle normal de rotation.
- Atteste par écrit de la suppression effective sur demande du Responsable de traitement.
ARTICLE 14 — RESPONSABILITÉ
Chaque Partie est responsable des dommages causés par le traitement dans les conditions prévues par l'article 82 du RGPD. La responsabilité du Sous-traitant au titre du présent DPA est limitée dans les conditions prévues à l'article 9 des CGV, sauf en cas de manquement direct par le Sous-traitant à des obligations spécifiquement mises à sa charge par le RGPD (article 82.2).
ARTICLE 15 — DURÉE — RÉSILIATION
Le présent DPA prend effet à la même date que le contrat principal et demeure en vigueur pour toute la durée de celui-ci. Il prend fin de plein droit en même temps que le contrat principal, sous réserve des stipulations qui survivent par nature (article 13 notamment).
ARTICLE 16 — DROIT APPLICABLE — JURIDICTION
Le présent DPA est régi par le droit français et soumis à la même clause attributive de juridiction que celle figurant à l'article 16 des CGV (Tribunal de Commerce de Nancy).
SIGNATURES
L'acceptation du présent DPA résulte de l'acceptation des CGV dont il fait partie intégrante. Sur demande expresse du Client, une version signée séparément peut être établie.
Pour le Sous-traitant : Madame Perrine GONDARD, gérante de JOPE DEVELOPPEMENT SARL Bruley, le 1er juin 2026
Pour le Responsable de traitement : [Acceptation électronique horodatée par l'Utilisateur habilité du Tenant]
Fin du DPA — Version 1.0 — 1er juin 2026 — JOPE DEVELOPPEMENT SARL