Accord de sous-traitance des données (DPA)
Le présent accord encadre le traitement, par The Cooking Company (l’« Éditeur », sous-traitant), des données personnelles pour lesquelles l’utilisateur (le « Client », responsable de traitement) le mandate dans le cadre du Service Ma Ptite Paperasse, conformément à l’article 28 du RGPD. Il complète les CGU et la politique de confidentialité, et fait partie intégrante du contrat.
Objet, durée et rôles
L’Éditeur traite, pour le compte et sur instructions du Client, les données personnelles que ce dernier saisit ou dépose (écritures, pièces, documents), lesquelles peuvent concerner des tiers (clients, fournisseurs, salariés). Le Client est responsable de traitement, l’Éditeur est sous-traitant. Le traitement dure le temps de l’abonnement.
Nature et finalité du traitement
Hébergement, structuration, catégorisation, calcul, reconnaissance de caractères (OCR), assistance conversationnelle et restitution des données comptables, aux seules fins de fournir le Service.
Instructions documentées
L’Éditeur ne traite les données que sur instructions documentées du Client (dont l’utilisation du Service en constitue une). Il informe le Client s’il estime qu’une instruction constitue une violation du RGPD.
Confidentialité et sécurité
L’Éditeur veille à ce que les personnes autorisées à traiter les données s’engagent à la confidentialité. Il met en œuvre les mesures techniques et organisationnelles appropriées (article 32 du RGPD) : isolation des données par entreprise, cloisonnement des accès, sécurisation des sessions, hébergement en France.
Sous-traitants ultérieurs
Le Client autorise l’Éditeur à recourir aux sous-traitants ultérieurs listés dans la politique de confidentialité (notamment OVH, Stripe, les fournisseurs d’authentification, Resend, Mistral AI et Anthropic). L’Éditeur impose à ces sous-traitants des obligations de protection équivalentes et informe le Client de tout changement, lui laissant la possibilité de s’y opposer.
Assistance au responsable de traitement
Dans la mesure du possible, l’Éditeur aide le Client à répondre aux demandes d’exercice des droits des personnes concernées, à assurer la sécurité, à notifier les violations de données et à réaliser, le cas échéant, une analyse d’impact (AIPD). L’Éditeur notifie au Client toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance.
Transferts hors Union européenne
Tout transfert de données en dehors de l’Union européenne (notamment vers Anthropic, États-Unis) est encadré par des garanties appropriées, en particulier les clauses contractuelles types de la Commission européenne.
Sort des données en fin de contrat
À l’issue de la prestation, le Client peut exporter l’ensemble de ses données (FEC et documents). Les données sont ensuite supprimées dans un délai de 6 mois, sauf obligation légale de conservation. Il incombe au Client d’exporter les pièces qu’il doit conserver au titre de ses obligations légales (10 ans pour les documents comptables).
Documentation et audit
L’Éditeur met à la disposition du Client les informations nécessaires pour démontrer le respect de ses obligations et permet la réalisation d’audits, dans des conditions raisonnables et proportionnées.
Pour toute demande relative au présent accord : direction@thecookingcompany.fr.