Accord de sous-traitance des données (DPA)
Accord au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD) · Dernière mise à jour : juin 2026
1. Parties
Le présent accord est conclu entre :
- Responsable de traitement: tout client (entreprise ou cabinet d'expertise comptable) utilisant le service VSMEpass pour traiter des données personnelles ou des données comptables de ses propres clients ou salariés.
- Sous-traitant : EUDOYU SARL-S, n°10151674, 303 rue de Neudorf, L-2994 Luxembourg (opérateur de vsmepass.com).
2. Objet et finalité du traitement
EUDOYU SARL-S traite, pour le compte du responsable de traitement, les données suivantes aux fins exclusives de fourniture du service VSMEpass :
- Données comptables issues des fichiers FEC (Fichier des Écritures Comptables)
- Données d'identification d'entreprise (SIREN, raison sociale, NAF)
- Réponses au questionnaire VSME B1–B11
- Données sociales agrégées (effectifs, accidents, parité)
- Données de contact du représentant légal ou du cabinet mandataire
Le traitement a pour finalité la génération de passeports fournisseurs VSME-alignés et le calcul des émissions carbone Scope 1, 2 et 3. Aucune utilisation à des fins commerciales, publicitaires ou analytiques tierces n'est réalisée.
3. Durée
Le présent accord prend effet à la date d'activation du compte et reste valable pendant toute la durée de la relation contractuelle. À résiliation, les données sont supprimées dans un délai de 90 jours, sauf obligation légale de conservation.
4. Obligations du sous-traitant
EUDOYU SARL-S s'engage à :
- Traiter les données uniquement sur instruction documentée du responsable de traitement (utilisation du service).
- Garantir la confidentialité des données par des mesures techniques appropriées (chiffrement en transit TLS 1.3, isolation par Row-Level Security en base de données, hachage des noms de tiers dans les données FEC avant tout traitement IA).
- Ne pas recruter de sous-traitants ultérieurs sans en informer le responsable de traitement (voir §5 ci-dessous).
- Aider le responsable de traitement à répondre aux demandes d'exercice des droits des personnes concernées.
- Notifier toute violation de données dans un délai de 72 heures à l'adresse de contact fournie lors de l'inscription.
- Mettre à disposition les informations nécessaires pour démontrer le respect des obligations de l'article 28 RGPD.
- Supprimer ou restituer les données à l'issue de la prestation, au choix du responsable de traitement.
5. Sous-traitants ultérieurs
EUDOYU SARL-S fait appel aux sous-traitants ultérieurs suivants, tous soumis à des obligations contractuelles équivalentes au présent accord :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase (EU region) | Base de données, authentification, stockage FEC | UE — Francfort (AWS eu-central-1) | DPA Supabase, données UE |
| Vercel (CDG1) | Hébergement application web, edge functions | UE — Paris (CDG1) | DPA Vercel, serveurs France |
| Anthropic (Claude Haiku) | Classification des lignes FEC (données anonymisées uniquement — noms tiers hachés) | USA | CCT UE–USA signées |
| Polar.sh | Gestion des abonnements et paiements (email + montant uniquement) | USA | CCT UE–USA signées |
| Resend | Envoi d'e-mails transactionnels (confirmation, lien magique) | USA | CCT UE–USA signées |
CCT = Clauses Contractuelles Types de l'UE (Décision d'exécution 2021/914). En cas d'ajout d'un nouveau sous-traitant, le responsable de traitement en est informé par email avec un préavis de 30 jours.
6. Mesures de sécurité
- Chiffrement en transit (TLS 1.3 minimum) sur l'ensemble des flux
- Chiffrement au repos des données en base (AES-256 géré par Supabase/AWS)
- Isolation par Row-Level Security (RLS) au niveau base de données
- Anonymisation des noms de tiers dans les fichiers FEC avant tout traitement IA
- Accès administrateur restreint et journalisé
- Authentification à deux facteurs pour l'accès aux consoles d'hébergement
- Sauvegardes chiffrées quotidiennes conservées 30 jours en UE
7. Transferts hors UE
Les données comptables (FEC) et les réponses au questionnaire VSME sont stockées exclusivement au sein de l'Union européenne (Supabase EU, Vercel CDG1).
Les seuls transferts hors UE concernent (i) les lignes FEC anonymisées transmises à Anthropic pour classification carbone, (ii) les données de paiement transmises à Polar.sh, et (iii) les adresses email transmises à Resend pour l'envoi d'e-mails transactionnels. Ces transferts sont couverts par des Clauses Contractuelles Types (Décision 2021/914).
8. Contact DPA
Pour toute question relative au présent accord ou pour exercer vos droits en tant que responsable de traitement, contactez :
EUDOYU SARL-S — DPA303 rue de Neudorf, L-2994 Luxembourg
contact@vsmepass.com