Accord de Sous-Traitance (DPA)
Version 1.0-draft · Dernière mise à jour le 28 mai 2026
Ce document est en cours de finalisation juridique. Une version définitive sera publiée avant l'ouverture publique. Pour toute question, contactez contact@sirapilot.fr.
Préambule
Le présent accord (« DPA ») est conclu entre :
- L'Abonné, agissant en qualité de responsable de traitement au sens du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), et
- Alexis Mouchon, micro-entrepreneur exerçant sous le nom commercial « Sira Development » (2 rue de l'Église, 28340 Boissy-lès-Perche, SIRET 103 624 292 00019), éditeur du Service Sirapilot, agissant en qualité de sous-traitant au sens du même règlement (ci-après désigné « l'Éditeur » ou indifféremment « Sira Development »).
Il complète les Conditions Générales d'Utilisation et les Conditions Générales de Vente applicables à l'Abonné, et encadre le traitement des données à caractère personnel confiées par l'Abonné à Sira Development dans le cadre de l'utilisation du Service.
Ce DPA est mis à la disposition de tout Abonné qui en fait la demande, sans coût additionnel.
1. Objet du traitement
Sira Development traite les données à caractère personnel pour le compte de l'Abonné dans le but exclusif de fournir le Service Sirapilot, conformément aux instructions documentées de l'Abonné, telles que matérialisées par les CGU/CGV et le paramétrage choisi par l'Abonné dans l'application.
2. Nature et finalités du traitement
| Catégorie de traitement | Finalité |
|---|---|
| Stockage et gestion d'un répertoire de clients | Permettre à l'Abonné de gérer sa base de clients |
| Émission et envoi de devis et factures | Génération de documents commerciaux et fiscaux + transmission électronique conforme EN 16931 |
| Encaissement par carte bancaire | Permettre aux clients de l'Abonné de payer en ligne |
| Envoi de relances automatiques par email | Rappel d'échéance et de paiement aux clients de l'Abonné |
| Prospection commerciale | Suivi des prospects et envoi d'emails de prospection |
3. Catégories de personnes concernées
- Clients (personnes physiques) de l'Abonné
- Représentants ou contacts professionnels chez les clients de l'Abonné
- Prospects et contacts commerciaux de l'Abonné
4. Types de données traitées
- Identité : nom, prénom, raison sociale, SIRET
- Coordonnées : email, téléphone, adresse postale
- Données économiques : montants facturés, statut de paiement
- Données techniques : adresse IP du payeur lors d'un paiement en ligne (collectée par Stripe)
Aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, santé, etc.) n'est traitée, sauf si l'Abonné en saisit volontairement (cas non couvert par le Service et fortement déconseillé).
5. Durée du traitement
Le traitement est effectué pendant toute la durée de l'abonnement de l'Abonné au Service. Au terme du contrat, les modalités de restitution et de suppression des données sont prévues à l'article 13 du présent DPA.
6. Obligations du sous-traitant
Sira Development s'engage à :
- Traiter les données conformément aux instructions documentées de l'Abonné, telles que résultant des CGU/CGV et du paramétrage choisi par l'Abonné
- Garantir la confidentialité des données et veiller à ce que les personnels autorisés à les traiter soient soumis à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 8 ci-après
- Assister l'Abonné dans la mise en œuvre de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées
- Notifier toute violation de données à caractère personnel à l'Abonné dans les meilleurs délais (cf. article 10)
- Aider l'Abonné à effectuer une analyse d'impact relative à la protection des données (AIPD), si nécessaire
- Restituer ou supprimer toutes les données à caractère personnel au terme de la prestation, selon le choix de l'Abonné
- Mettre à la disposition de l'Abonné toute information nécessaire pour démontrer le respect des obligations de l'article 28 RGPD
7. Obligations du responsable de traitement
L'Abonné s'engage à :
- Documenter par écrit toute instruction concernant le traitement des données par Sira Development
- Veiller au respect des obligations prévues par le RGPD en sa qualité de responsable de traitement (information des personnes concernées, base légale du traitement, etc.)
- Superviser, y compris par la réalisation d'audits et d'inspections, le traitement effectué par Sira Development
8. Mesures de sécurité
Sira Development met en œuvre les mesures techniques et organisationnelles décrites dans la Politique de confidentialité (section 8), notamment :
- Chiffrement TLS 1.3 des communications
- Chiffrement au repos des champs sensibles
- Isolation multi-tenant strictement vérifiée par des tests automatisés
- Authentification forte (2FA TOTP) disponible
- Sauvegardes journalières chiffrées
- Audit cybersécurité indépendant et durcissement régulier
- Hébergement en France (Scaleway) et dans l'Union Européenne pour les sous-traitants ultérieurs
9. Sous-traitants ultérieurs
L'Abonné autorise Sira Development à faire appel aux sous-traitants ultérieurs listés dans la Politique de confidentialité (section 6) pour mener certaines activités de traitement.
Sira Development informera l'Abonné de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, avec un préavis de 30 jours, permettant à l'Abonné d'émettre des objections motivées. En l'absence d'objection dans ce délai, l'Abonné est réputé avoir accepté le changement.
Sira Development reste pleinement responsable, à l'égard de l'Abonné, du respect par les sous-traitants ultérieurs des obligations prévues par le RGPD.
10. Notification de violation de données
En cas de violation de données à caractère personnel impliquant les données traitées pour le compte de l'Abonné, Sira Development notifiera l'Abonné dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai de 72 heures.
La notification précisera :
- La nature de la violation
- Les catégories et le nombre approximatif de personnes concernées
- Les conséquences probables
- Les mesures prises ou proposées pour y remédier
11. Droits des personnes concernées
Sira Development aide l'Abonné, dans la mesure du possible, à donner suite aux demandes des personnes concernées tendant à l'exercice de leurs droits (accès, rectification, effacement, portabilité, opposition).
Lorsque les demandes sont adressées directement à Sira Development, ce dernier les transmet à l'Abonné sans délai.
12. Audits
L'Abonné peut demander, une fois par année calendaire et après préavis raisonnable, la communication d'informations nécessaires pour démontrer le respect par Sira Development des obligations du présent DPA. La forme de cette communication (questionnaire, certification ISO 27001 lorsqu'applicable, rapport d'audit indépendant) sera arrêtée d'un commun accord.
13. Sort des données au terme du contrat
À l'expiration ou à la résiliation du contrat, et au choix de l'Abonné :
- Les données sont restituées à l'Abonné dans un format structuré (export disponible depuis l'application), puis supprimées dans un délai de 30 jours, OU
- Les données sont directement supprimées dans un délai de 30 jours.
Dans tous les cas, certaines données peuvent être conservées au-delà de cette période pour répondre aux obligations légales de Sira Development (notamment factures émises au profit de l'Abonné, durée 10 ans). Le détail figure dans la Politique de confidentialité.
14. Transferts hors UE
Sira Development s'efforce de maintenir l'ensemble des traitements au sein de l'Union Européenne. Tout transfert hors UE est encadré conformément aux articles 44 et suivants du RGPD (notamment Clauses Contractuelles Types). Le détail figure dans la Politique de confidentialité (section 7).
15. Durée et résiliation
Le présent DPA prend effet à compter de son acceptation par l'Abonné (qui résulte de l'acceptation des CGU/CGV) et reste en vigueur tant que Sira Development traite des données pour le compte de l'Abonné.
16. Droit applicable
Le présent DPA est soumis au droit français, en cohérence avec le RGPD.
17. Contact
Pour toute question relative au présent DPA : contact@sirapilot.fr.
Éditeur : Alexis Mouchon, micro-entrepreneur exerçant sous le nom commercial « Sira Development » — 2 rue de l'Église, 28340 Boissy-lès-Perche, France. SIRET 103 624 292 00019. Pour toute question, contactez contact@sirapilot.fr.
Anciennes versions disponibles sur demande. Un journal complet des modifications est tenu pour conformité.