Préambule
Le présent accord de sous-traitance (ci-après « DPA ») est conclu entre :
- Le Responsable de traitement :le cabinet d'audit Client souscripteur de la plateforme Aleria (ci-après « le Client »)
- Le Sous-traitant :[À COMPLÉTER — raison sociale], société éditrice de la plateforme Aleria (ci-après « Aleria »)
Ce DPA fait partie intégrante du contrat d'abonnement et des Conditions Générales d'Utilisation. En cas de contradiction, le DPA prévaut pour les questions relatives à la protection des données personnelles.
1. Objet du traitement
Aleria traite des données personnelles pour le compte du Client dans le cadre exclusif de la fourniture du Service de plateforme d'audit. Le traitement porte sur :
| Élément | Détail |
|---|
| Finalité | Hébergement et traitement des données d'audit pour la réalisation des missions de commissariat aux comptes |
| Nature | Stockage, analyse, présentation, export de données comptables et documentaires |
| Catégories de personnes | Utilisateurs du cabinet (CAC, collaborateurs), tiers circularisés (clients, fournisseurs, banques de l'entité auditée) |
| Catégories de données | Données d'identification (email, nom), données comptables (FEC, balances, écritures), documents justificatifs, correspondances PBC |
| Durée | Durée du contrat d'abonnement + 90 jours (période d'export). Conservation par le Client conformément à ses obligations légales (10 ans — NEP) |
2. Obligations d'Aleria en tant que sous-traitant
Conformément à l'article 28 du RGPD, Aleria s'engage à :
- Instructions documentées :ne traiter les données qu'en conformité avec les instructions documentées du Client, sauf obligation légale contraire
- Confidentialité : garantir que les personnes autorisées à traiter les données se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité
- Mesures techniques et organisationnelles : mettre en oeuvre les mesures de sécurité appropriées (cf. article 4)
- Sous-traitance ultérieure : ne pas recruter de nouveau sous-traitant sans autorisation préalable écrite du Client. La liste des sous-traitants ultérieurs est disponible dans les Mentions Légales
- Assistance :aider le Client à répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité, etc.)
- Notification de violation :informer le Client dans un délai maximum de 48 heures après avoir pris connaissance d'une violation de données personnelles
- Suppression / restitution :à l'issue de la prestation, supprimer ou restituer l'ensemble des données personnelles selon le choix du Client, dans un délai de 90 jours
- Audit :mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations du présent DPA et pour permettre la réalisation d'audits
3. Sous-traitants ultérieurs autorisés
Le Client autorise le recours aux sous-traitants ultérieurs suivants :
| Sous-traitant | Traitement | Localisation | Garanties |
|---|
| Supabase Inc. | Base de données, authentification, stockage fichiers | UE (Irlande, eu-west-1) | DPA Supabase, SOC 2 Type II |
| Vercel Inc. | Hébergement applicatif | USA + edge UE | SCC (art. 46 RGPD) |
| OpenAI Inc. | Analyse IA — données anonymisées uniquement | USA | DPA OpenAI, zero-retention API, anonymisation préalable |
| Resend Inc. | Envoi d'emails transactionnels | USA | SCC (art. 46 RGPD) |
En cas de changement ou d'ajout de sous-traitant ultérieur, Aleria informera le Client au moins 30 jours à l'avance. Le Client pourra s'opposer à ce changement ; en cas de désaccord persistant, le Client pourra résilier le contrat sans pénalité.
4. Mesures techniques et organisationnelles
Aleria met en oeuvre les mesures de sécurité suivantes (article 32 du RGPD) :
Chiffrement
- TLS 1.3 pour toutes les communications en transit
- Chiffrement AES-256 au repos (base de données et stockage fichiers)
- HSTS activé avec max-age=31536000
Contrôle d'accès
- Authentification par email/mot de passe avec hash bcrypt
- Row-Level Security (RLS) sur toutes les tables — isolation stricte par portefeuille
- Tokens d'accès signés avec expiration pour les portails externes
- Rate limiting sur toutes les routes sensibles
Protection des données IA
- Anonymisation automatique avant transmission aux services IA (suppression SIRET, IBAN, noms, etc.)
- Journalisation de chaque appel IA (hash SHA-256 du payload)
- Blocage automatique en cas de détection de données sensibles résiduelles
Sécurité applicative
- En-têtes de sécurité : X-Frame-Options (DENY), X-Content-Type-Options (nosniff), Referrer-Policy, Permissions-Policy
- Requêtes paramétrées — aucune concaténation SQL
- Validation stricte des types de fichiers uploadés (whitelist)
- URLs signées avec expiration pour l'accès aux documents
Sauvegardes et continuité
- Sauvegardes quotidiennes automatiques de la base de données
- Point-in-time recovery disponible (Supabase Pro)
- Déploiement sur infrastructure redondante
5. Transferts de données hors UE
La base de données et le stockage de fichiers sont hébergés dans l'Union européenne (région Irlande). Les transferts vers les sous-traitants situés aux États-Unis sont encadrés par :
- Clauses contractuelles types (SCC) de la Commission européenne (décision 2021/914)
- EU-US Data Privacy Framework lorsque le sous-traitant est certifié
- Pour OpenAI : anonymisation préalable rendant les données non personnelles au sens du RGPD (considérant 26)
6. Notification de violation de données
En cas de violation de données personnelles au sens de l'article 4(12) du RGPD, Aleria s'engage à :
- Notifier le Client dans un délai maximum de 48 heures après en avoir pris connaissance
- Communiquer au minimum : la nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés, les conséquences probables, les mesures prises ou proposées
- Coopérer avec le Client pour la notification à la CNIL (article 33 RGPD) et, le cas échéant, aux personnes concernées (article 34 RGPD)
7. Assistance pour les droits des personnes
Aleria assiste le Client, par des mesures techniques et organisationnelles appropriées, pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Aleria s'engage à transmettre au Client toute demande reçue directement d'une personne concernée dans un délai de 5 jours ouvrés.
8. Droit d'audit
Le Client peut procéder, ou faire procéder par un auditeur tiers mandaté, à un audit de conformité du présent DPA, sous réserve de :
- Un préavis écrit de 30 jours, sauf en cas de violation avérée
- Un audit par an maximum, pendant les heures ouvrables
- Le respect de la confidentialité des informations d'Aleria et des autres clients
Les frais d'audit sont à la charge du Client, sauf si l'audit révèle un manquement d'Aleria à ses obligations.
9. Durée et sort des données
Le présent DPA entre en vigueur à la date d'inscription du Client et prend fin à la résiliation du contrat d'abonnement.
À l'issue du contrat, Aleria s'engage à :
- Maintenir l'accès en lecture et export pendant 90 jours
- Supprimer définitivement toutes les données personnelles et copies dans un délai de 30 jours après la période d'export, sauf obligation légale de conservation
- Fournir sur demande une attestation de suppression
10. Droit applicable
Le présent DPA est soumis au droit français et au Règlement Général sur la Protection des Données (UE 2016/679). En cas de litige relatif à l'interprétation ou l'exécution du présent DPA, compétence est attribuée aux tribunaux de [À COMPLÉTER — ex : Paris].
Acceptation
Le présent DPA est accepté par le Client lors de la souscription au Service Aleria. L'utilisation du Service vaut acceptation des termes du présent accord de sous-traitance.
Pour le Sous-traitant
[À COMPLÉTER — nom, qualité]
Aleria — [À COMPLÉTER — raison sociale]
Pour le Responsable de traitement
Accepté par l'inscription au Service