devyz.
← Retour à l'accueil

Contrat de sous-traitance des données (DPA)

Version 2026.05.01 — Entrée en vigueur : 5 mai 2026

Le présent contrat est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD). Il encadre le traitement par Elginux (sous-traitant), via l'application Devyz, des données à caractère personnel pour le compte de l'artisan utilisateur (responsable de traitement). Son acceptation est requise lors de la création du compte (case dédiée du formulaire d'inscription).

1. Parties

Le sous-traitant : Laurent Jachimiak, entrepreneur individuel exploitant l'enseigne « Elginux », domicilié à Parentis-en-Born (40160), France, SIRET en cours d'attribution (reprise d'activité mai 2026), email privacy@elginux.fr— éditeur de l'application Devyz, ci-après « Devyz ».

Le responsable de traitement: la personne physique ou morale (artisan, indépendant ou TPE) ayant souscrit à l'application Devyz, ci-après « le Client », telle qu'identifiée par les informations fournies lors de la création du compte.

2. Objet

Le présent contrat a pour objet de définir les conditions dans lesquelles Devyz, en qualité de sous-traitant au sens de l'art. 4.8 RGPD, traite les données à caractère personnel pour le compte du Client dans le cadre de la fourniture de l'application Devyz.

Les données concernées sont notamment celles relatives aux clients finaux du Client (destinataires des devis et factures), saisies ou dictées par le Client dans l'application.

3. Description du traitement

3.1 Nature et finalité

  • Création, structuration, génération et envoi de devis et de factures par voie électronique au nom du Client ;
  • Transcription vocale du Client (dictée des postes de devis) et extraction structurée par modèle d'intelligence artificielle ;
  • Stockage durable des devis, factures et fiches clients du Client ;
  • Notification du Client lors des événements relatifs à un devis (ouverture, signature, refus).

3.2 Durée

Le présent contrat est conclu pour la durée de l'abonnement souscrit par le Client à l'application Devyz. Il prend fin à la résiliation effective du compte, sous réserve des obligations post-contractuelles définies à l'article 11.

3.3 Catégories de personnes concernées

  • Clients finaux du Client (particuliers ou professionnels destinataires des devis) ;
  • Le cas échéant, prospects du Client enregistrés dans le carnet d'adresses Devyz ;
  • Le cas échéant, salariés ou collaborateurs du Client habilités à utiliser l'application.

3.4 Catégories de données

  • Données d'identification : nom, prénom, raison sociale ;
  • Coordonnées : adresse postale, email, téléphone ;
  • Données économiques : intitulés et descriptions des prestations, quantités, prix unitaires, totaux, conditions, dates ;
  • Transcriptions vocales (transcript textuel — l'audio brut n'est pas conservé) ;
  • À compter de la version 2 de Devyz : photos de chantier transmises par le Client.

Aucune donnée sensible au sens de l'art. 9 RGPD (santé, opinions, biométrie, etc.) n'est traitée par Devyz. Le Client s'interdit de saisir de telles données dans l'application.

4. Obligations du sous-traitant (Devyz)

Devyz s'engage à :

  • traiter les données uniquement sur instruction documentée du Client (le présent contrat valant instruction initiale) et pour les seules finalités décrites à l'article 3, sauf obligation légale contraire dont il informera préalablement le Client si la loi l'y autorise ;
  • garantir la confidentialité des données traitées et veiller à ce que les personnes autorisées à les traiter soient soumises à une obligation de confidentialité ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 6 ;
  • respecter les conditions de recours à un autre sous-traitant prévues à l'article 5 ;
  • assister le Client, dans la mesure du possible et compte tenu de la nature du traitement, dans l'exercice des droits des personnes concernées (art. 15 à 22 RGPD) ;
  • aider le Client à respecter ses obligations en matière de sécurité, de notification de violations et d'analyses d'impact (art. 32 à 36 RGPD) ;
  • mettre à la disposition du Client toutes les informations nécessaires pour démontrer le respect du présent contrat et permettre la réalisation d'audits dans les conditions de l'article 8 ;
  • restituer ou supprimer les données dans les conditions de l'article 11 à l'issue du contrat.

5. Sous-traitants ultérieurs

Le Client autorise Devyz à recourir aux sous-traitants ultérieurs énumérés ci-dessous, dont la liste vaut autorisation écrite spécifique au sens de l'art. 28.2 RGPD :

Sous-traitant ultérieurService fourniLocalisationCadre transfert
Supabase Inc.Base de données, authentification, stockageFrankfurt (UE)UE
Vercel Inc.Hébergement web, exécution serveurFrankfurt (UE) — entité USASCC + EU-US DPF
Groq Inc.Extraction structurée IA (gpt-oss-120b)États-UnisSCC + DPA Groq
OpenAI, L.L.C.Transcription vocale (Whisper)États-UnisSCC + DPA OpenAI
ResendEnvoi d'emails transactionnelsUEUE
Stripe Payments Europe Ltd. (à compter de l'activation de l'abonnement payant)Encaissement de l'abonnementIrlande (UE) — réplications USA possiblesSCC + EU-US DPF

Devyz s'engage à imposer à chacun de ses sous-traitants ultérieurs des obligations en matière de protection des données équivalentes à celles du présent contrat (art. 28.4 RGPD), formalisées par un DPA signé entre Devyz et le sous-traitant concerné.

En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, Devyz informera le Client par email avec un préavis minimum de 30 jours, le Client disposant d'un droit d'objection motivé. À défaut d'objection dans ce délai, le changement est réputé accepté. En cas d'objection que les parties ne parviennent pas à résoudre, le Client pourra résilier l'abonnement sans pénalité et obtenir la restitution / suppression des données dans les conditions de l'article 11.

6. Mesures techniques et organisationnelles

Conformément à l'art. 32 RGPD, Devyz met en œuvre les mesures suivantes pour garantir un niveau de sécurité adapté au risque :

  • chiffrement des communications en transit (TLS 1.3) entre tous les composants ;
  • chiffrement au repos (AES-256) de la base de données PostgreSQL Supabase ;
  • cloisonnement strict des données par organisation via Row Level Security (RLS) PostgreSQL ;
  • authentification utilisateur par mot de passe haché (bcrypt) ou par lien magique à usage unique, avec recommandation de l'activation de l'authentification multifacteur (MFA) ;
  • journalisation horodatée des accès et des opérations sensibles ;
  • sauvegardes quotidiennes automatiques de la base de données (rétention 7 jours) ;
  • limitation des accès administratifs au seul personnel habilité (en pratique : le sous-traitant lui-même, en l'absence de salariés) ;
  • secrets et clés d'API conservés hors du code source dans un coffre-fort dédié ;
  • séparation des environnements de développement, de pré-production et de production ;
  • politique de gestion des correctifs et de mise à jour des dépendances logicielles.

Le Client est informé que la robustesse de ces mesures dépend également de son propre comportement (gestion des mots de passe, partage des identifiants, postes de travail). Il s'engage à mettre en œuvre les mesures de sécurité appropriées de son côté.

7. Notification des violations de données

Conformément à l'art. 33.2 RGPD, Devyz notifie au Client toute violation de données à caractère personnel le concernant dans un délai maximum de 72 heures ouvrées à compter de sa constatation effective. La notification précise :

  • la nature de la violation, et si possible, les catégories et le nombre approximatif de personnes et d'enregistrements concernés ;
  • le nom et les coordonnées du sous-traitant ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour remédier à la violation et atténuer ses effets.

Il appartient au Client, en sa qualité de responsable de traitement, de notifier la violation à la CNIL dans les 72 heures (art. 33 RGPD) et, le cas échéant, aux personnes concernées (art. 34 RGPD).

8. Audit

Conformément à l'art. 28.3.h RGPD, le Client peut demander, par écrit avec un préavis de 30 jours, la réalisation d'un audit du respect du présent contrat. L'audit s'effectue dans les conditions suivantes :

  • une demande d'audit par an au maximum, sauf incident de sécurité avéré ;
  • réalisation par le Client lui-même ou par un tiers indépendant mandaté, soumis à une obligation de confidentialité ;
  • périmètre et modalités convenus préalablement entre les parties ;
  • frais de l'audit à la charge du Client. En cas de seconde demande dans la même année, ou en cas d'audit révélant un manquement substantiel du sous-traitant, les frais raisonnablement engagés par Devyz pour répondre à l'audit pourront être facturés (en cas de seconde demande) ou pris en charge par Devyz (en cas de manquement substantiel constaté).

À titre alternatif, Devyz pourra fournir au Client les rapports d'audit ou attestations des sous-traitants ultérieurs (Supabase SOC 2, Vercel SOC 2, etc.) dont il dispose, lorsque ces documents permettent de répondre à la demande.

9. Coopération avec les autorités

Devyz coopère avec la CNIL et les autres autorités de contrôle dans l'exercice de leurs missions. Il informe le Client sans délai de toute requête contraignante d'une autorité publique, dans la mesure où la loi ne le lui interdit pas.

10. Obligations du Client (responsable de traitement)

Le Client s'engage à :

  • fournir à Devyz des données licites, adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité du traitement ;
  • informer les personnes concernées (notamment ses propres clients finaux) des traitements mis en œuvre, conformément aux art. 13 et 14 RGPD ;
  • obtenir, lorsque cela est requis, le consentement des personnes concernées ;
  • tenir le registre des traitements dont il est responsable (art. 30 RGPD) ;
  • répondre aux demandes des personnes concernées exerçant leurs droits sur les données traitées par Devyz pour son compte, en s'appuyant sur l'assistance prévue à l'article 4 ;
  • ne pas saisir dans l'application de données sensibles au sens de l'art. 9 RGPD ;
  • conserver ses identifiants de manière confidentielle et notifier à Devyz toute utilisation non autorisée.

11. Sort des données en fin de contrat

À l'issue de la prestation, et au choix du Client formulé par écrit, Devyz s'engage à :

  • restituer au Client l'ensemble des données traitées pour son compte, sous la forme d'un export JSON structuré, dans un délai maximum de 30 jours à compter de la résiliation effective du compte ;
  • puis supprimer ces données des systèmes de Devyz et de ses sous-traitants ultérieurs, sous un délai maximum de 90 jours à compter de la restitution ou, en l'absence de demande de restitution, de la résiliation effective.

Par dérogation, les données soumises à une obligation légale de conservation (notamment factures et registres comptables — art. L. 123-22 du Code de commerce, durée 10 ans) seront conservées par Devyz jusqu'à l'échéance de cette obligation, dans un environnement d'archivage à accès restreint, puis supprimées.

À l'issue de cette procédure, Devyz fournit au Client un certificat de suppression sur simple demande.

12. Responsabilité

Chacune des parties répond des dommages causés par le non-respect de ses obligations au titre du RGPD et du présent contrat dans les conditions prévues par l'art. 82 RGPD. Aucune limitation de responsabilité ne s'applique aux préjudices résultant d'un manquement du sous-traitant à ses propres obligations en sa qualité de sous-traitant.

13. Acceptation et preuve

Le Client accepte expressément le présent contrat lors de la création de son compte Devyz, en cochant la case dédiée du formulaire d'inscription. Cette acceptation est horodatée et conservée par Devyz, avec la version du contrat (numéro et empreinte cryptographique du contenu), l'adresse IP et le user-agent utilisés. Cette trace fait foi entre les parties à titre de preuve de l'acceptation.

En cas d'évolution substantielle du contrat (ajout d'un sous-traitant, modification d'une finalité, modification des mesures de sécurité), le Client sera invité à accepter la nouvelle version selon les modalités prévues à l'article 5.

14. Loi applicable et juridiction

Le présent contrat est régi par le droit français et le RGPD. Tout litige relatif à son interprétation ou à son exécution sera, à défaut d'accord amiable, soumis à la compétence des tribunaux français compétents.

15. Contact

Pour toute question relative au présent contrat de sous-traitance : privacy@elginux.fr.