Annexe RGPD — Accord de sous-traitance (DPA)

Version 2026-01. Article 28 du Règlement (UE) 2016/679.

La présente annexe fait partie intégrante des Conditions Générales de Vente et d'Utilisation. Elle régit les conditions dans lesquelles NUMO (ci-après « le Sous-traitant ») traite, pour le compte de l'Utilisateur agissant en qualité de Responsable de traitement (ci-après « le Client »), les données à caractère personnel relatives aux clients finaux du Client.

1. Objet et durée

Le Sous-traitant traite les données à caractère personnel pour la seule finalité de fourniture du Service NUMO (OCR de documents, calcul fiscal, stockage et export). La sous-traitance s'applique pendant toute la durée de l'abonnement et prend fin lors de la résiliation ou de la suppression du compte.

2. Nature et catégories de données

• Identification clients finaux : nom, adresse postale, éventuellement n° de TVA.
• Données financières : références et montants des devis et factures.
• Métadonnées techniques : dates, horodatages.

Aucune donnée de catégorie particulière (article 9 RGPD) n'est traitée par le Service.

3. Obligations du Sous-traitant

1. Ne traiter les données que sur instruction documentée du Client, y compris concernant les transferts hors UE.
2. Garantir la confidentialité des données (engagements des personnels habilités, formations régulières).
3. Mettre en œuvre les mesures techniques et organisationnelles appropriées (chiffrement au repos et en transit, isolation par RLS, journalisation, sauvegardes, gestion des accès à moindre privilège, revues de sécurité).
4. N'avoir recours qu'aux sous-traitants ultérieurs listés dans lapolitique de confidentialité, et informer le Client de tout ajout ou remplacement avec un préavis de 30 jours permettant d'exercer un droit d'objection raisonné.
5. Assister le Client dans la réponse aux demandes d'exercice de droits des personnes concernées (articles 15 à 22 du RGPD).
6. Assister le Client pour sa conformité aux articles 32 à 36 du RGPD (sécurité, notification de violation, AIPD).
7. Notifier au Client toute violation de données dans les 72 heures suivant sa connaissance, avec les informations requises par l'article 33.3 du RGPD.
8. À l'issue du contrat, supprimer ou restituer les données selon le choix du Client, dans un format structuré couramment utilisé.
9. Mettre à disposition du Client toutes informations nécessaires pour démontrer le respect de ses obligations, et permettre la réalisation d'audits, dans des conditions et un préavis raisonnables.

4. Obligations du Client

• Informer ses propres clients finaux du traitement effectué par l'intermédiaire du Service et recueillir, le cas échéant, leur consentement.
• Ne téléverser que des données nécessaires et exactes, en respectant le principe de minimisation.
• Répondre lui-même aux demandes des personnes concernées.

5. Localisation et transferts

L'hébergement primaire est situé en Union européenne. Les éventuels transferts hors UE (Anthropic, Vercel, Stripe) sont encadrés par les clauses contractuelles types de la Commission européenne (décision d'exécution (UE) 2021/914) et par des mesures techniques complémentaires (chiffrement, pseudonymisation lorsque possible).

6. Responsabilité

La responsabilité de chaque partie est répartie conformément à l'article 82 du RGPD. Chaque partie garantit l'autre des conséquences d'un manquement à ses propres obligations.

7. Contact DPO

Délégué à la protection des données : contact@numowork.com.