Dernière mise à jour : 12 septembre 2025

Rôles des parties

Le marchand est responsable de traitement pour les données de ses clients finaux; DevisExpress SAS est sous‑traitant.

Objet et durée

Traitements nécessaires à la génération de devis/factures, envoi d’emails, liens de paiement et exploitation des bots. Durée : pendant l’abonnement puis suppression/archivage légal.

Nature et finalité des traitements

• Collecte, hébergement, organisation, consultation, export, suppression.
• Génération de documents (PDF), envoi via email/messageries.
• Paiements via Stripe (Connect).

Catégories de données

Identité/coordonnées, informations commerciales, références, historique, données de transaction (hors données complètes de carte).

Obligations du sous‑traitant

• Traiter selon les instructions documentées du responsable.
• Confidentialité du personnel, mesures de sécurité appropriées.
• Notification des violations de données sans retard injustifié.
• Assistance pour l’exercice des droits, DPIA si nécessaire.
• Suppression/restauration/retour des données en fin de contrat.
• Tenue d’un registre des sous‑traitants ultérieurs et droit d’audit raisonnable.

Sous‑traitants ultérieurs

Stripe, hébergeur interne (auto‑hébergement Raspberry Pi), Cloudflare (Tunnel/reverse‑proxy), fournisseur SMTP, Telegram, WhatsApp Business Platform (Meta Cloud API ou prestataire), outils de monitoring/backups. La liste à jour peut être consultée sur demande.

Transferts hors UE

Le cas échéant, recours aux Clauses Contractuelles Types/accords de transfert adéquats. Les prestataires clés (ex. Stripe) mettent à disposition des addendums de transfert et DPAs.

Instructions interdites

Le responsable garantit que ses instructions respectent le droit applicable et n’impliquent pas de catégories particulières sans base légale.