1. Parties et objet
Le présent DPA est conclu entre NUMMA SAS, sous-traitant au sens de l'article 4(8) du RGPD, et le Client, responsable de traitement au sens de l'article 4(7) du RGPD. Il complète les CGV et précise les obligations de chaque partie en matière de protection des données à caractère personnel.
2. Nature et finalités du traitement
NUMMA traite les données personnelles pour le compte exclusif du Client, aux fins suivantes :
- Hébergement et restitution des données comptables, salariales et bancaires
- Génération de documents légaux (factures, fiches de paie, déclarations fiscales)
- Transmission via PPF / PDP, télédéclarations, agrégation bancaire DSP2
- Support technique et fonctionnel
3. Catégories de données et de personnes concernées
Données : identité, coordonnées, données professionnelles, données salariales (NIR, salaire, congés), données bancaires (IBAN, transactions), données comptables.
Personnes : dirigeants, salariés, clients, fournisseurs, prospects du Client.
4. Durée du traitement
Le traitement dure tant que dure l'abonnement, complété par 90 jours de réversibilité après résiliation, et 10 ans pour les données comptables (obligation légale).
5. Obligations de NUMMA
- Ne traiter les données que sur instruction documentée du Client
- Garantir la confidentialité par engagement contractuel des collaborateurs
- Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. article 7)
- Informer le Client sans délai en cas de violation de données (≤ 24 h)
- Aider le Client à respecter ses obligations RGPD (DPIA, réponse aux personnes concernées, audit)
- Restituer ou supprimer les données au terme du contrat sur demande du Client
6. Sous-traitants ultérieurs autorisés
Le Client autorise NUMMA à recourir aux sous-traitants suivants, sous réserve d'engagements RGPD équivalents :
| Sous-traitant | Service | Localisation | Garanties |
|---|---|---|---|
| OVHcloud | Hébergement principal | France (Roubaix, Gravelines) | SecNumCloud, ISO 27001, HDS |
| Scaleway | Hébergement secondaire | France (Paris) | SecNumCloud, ISO 27001 |
| Stripe Payments Europe | Encaissement abonnements | Irlande (UE) | PCI-DSS Level 1, ISO 27001 |
| Bridge by Bankin' | Agrégation bancaire DSP2 | France | Agréée ACPR, ISO 27001 |
| SendGrid | Email transactionnel | UE (Dublin) | ISO 27001, SOC 2 |
Toute évolution de la liste est notifiée au Client par email avec un préavis de 30 jours, le Client peut s'y opposer en résiliant.
7. Mesures de sécurité
- Chiffrement TLS 1.3 en transit, AES-256 au repos
- Authentification forte (MFA), gestion fine des permissions
- Cloisonnement multi-tenant strict, journalisation des accès
- Sauvegardes chiffrées quotidiennes, retention 30 jours
- Tests d'intrusion annuels (pentest) par un tiers indépendant
- Plan de continuité d'activité (PCA) et de reprise (PRA)
- Politique de mots de passe robuste, rotation des secrets
8. Droits des personnes concernées
NUMMA met à disposition du Client les fonctionnalités nécessaires pour traiter les demandes d'accès, de rectification, d'effacement, d'opposition, de limitation et de portabilité dans les délais légaux. Une assistance peut être obtenue auprès de contact@numma.eu.
9. Transferts hors Union européenne
Aucune donnée personnelle n'est transférée hors UE par défaut. Si un transfert devenait nécessaire, il serait encadré par les Clauses Contractuelles Types de la Commission européenne (décision 2021/914) et par des garanties supplémentaires (chiffrement, pseudonymisation).
10. Audit
Le Client peut, après préavis raisonnable, auditer une fois par an la conformité de NUMMA, à ses frais, par le biais d'un tiers indépendant soumis à confidentialité. NUMMA met également à disposition les rapports de pentest et certifications.
11. Réversibilité et suppression
À la fin du contrat, le Client dispose de 90 jours pour exporter ses données (FEC, dump SQL chiffré, archives PDF). Au-delà, NUMMA procède à la suppression définitive et fournit, sur demande, une attestation de destruction.
12. Responsabilité
Chaque partie supporte sa propre responsabilité au regard du RGPD, dans les limites définies par les CGV et les articles 82 et 83 du Règlement.