Accord de traitement des données (DPA)

1. Parties et définitions

Le présent Accord de traitement des données (ci-après « DPA ») est conclu entre :

• Le Responsable du traitement : le Client, à savoir l'organisation utilisant la plateforme eyeot ERP, telle qu'identifiée par les coordonnées de l'Utilisateur administrateur principal au moment de l'inscription (ci-après le « Client » ou le « Responsable du traitement »).
• Le Sous-traitant : eyeot, éditeur de la plateforme eyeot ERP — coordonnées juridiques complètes dans les Mentions légales (ci-après « eyeot » ou « le Sous-traitant »).

Les termes définis dans le RGPD (« données à caractère personnel », « traitement », « personne concernée », « violation de données », « sous-traitant ultérieur », etc.) s'entendent au sens de l'article 4 du Règlement.

Le présent DPA s'applique automatiquement à toute organisation Cliente qui utilise le Service en mode multi-utilisateurs professionnel et complète les Conditions Générales d'Utilisation acceptées à l'inscription.

2. Objet du DPA

Le présent DPA a pour objet d'encadrer juridiquement le traitement des Données à caractère personnel effectué par eyeot, en sa qualité de sous-traitant, pour le compte du Client, en sa qualité de responsable de traitement, dans le cadre de la fourniture du Service eyeot ERP. Il définit les obligations réciproques des parties pour garantir la conformité au RGPD.

3. Durée

Le DPA prend effet à la date d'inscription du Client au Service et reste en vigueur tant que le Client utilise le Service. Il prend fin automatiquement à la résiliation du contrat principal (CGU/CGV), sans préjudice des obligations qui survivent (confidentialité, restitution / suppression).

4. Description du traitement

4.1 Finalités

eyeot traite les Données à caractère personnel exclusivement pour les finalités suivantes :

• Fournir au Client le Service eyeot ERP : CRM, prospection, gestion des stocks, achats, maintenance, IoT, projets, ITSM, ressources humaines, finance et comptabilité, GED, conformité RGPD, intelligence métier ;
• Assurer la sécurité du Service (audit log, détection des anomalies, sauvegardes) ;
• Apporter un support technique au Client à sa demande ;
• Se conformer à toute obligation légale applicable (article L.34-1 CPCE, factures comptables).

Le Sous-traitant n'utilise les Données pour aucune autre finalité, notamment commerciale ou statistique propre, sauf consentement explicite du Client.

4.2 Nature et catégories de données traitées

• Données d'identification : nom, prénom, email, téléphone, fonction, photo de profil.
• Données de connexion : adresse IP, user-agent, horodatage des sessions, données TOTP de double authentification.
• Données métier saisies par le Client : clients, prospects, fournisseurs, contrats, devis, factures, commandes, stocks, équipements, interventions, projets, employés, fiches de paie (le cas échéant), tickets, documents.
• Données de communication : emails de publipostage, notifications, logs d'audit.

Le Sous-traitant ne traite pas de catégories particulières de données au sens de l'article 9 RGPD ni de données pénales (article 10) sauf si le Client en saisit explicitement dans les modules RH ou GED ; dans ce cas, le Client demeure seul responsable de la base légale et de la licéité de ce traitement.

4.3 Durée du traitement

La durée du traitement correspond à la durée du contrat principal, augmentée de la période de restitution / suppression prévue à la section 5.10.

5. Obligations du Sous-traitant

5.1 Traitement sur instruction documentée

Le Sous-traitant traite les Données uniquement sur instruction documentée du Client, y compris en ce qui concerne les transferts hors UE, sauf obligation légale particulière. Les présentes CGV, CGV/CGU et le DPA constituent les instructions écrites documentées. Toute instruction complémentaire pourra être adressée à dpo@eyeot.fr. Le Sous-traitant informe immédiatement le Client si une instruction lui paraît contraire au RGPD ou à la législation européenne ou nationale applicable.

5.2 Confidentialité

Le Sous-traitant garantit que toute personne autorisée à traiter les Données (employés, prestataires, sous-traitants ultérieurs) s'est engagée à respecter la confidentialité ou est soumise à une obligation légale appropriée de confidentialité. L'accès aux Données est limité aux seules personnes ayant un besoin opérationnel.

5.3 Sécurité du traitement (article 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

• Chiffrement en transit : TLS 1.2+ sur toutes les communications (HTTPS), HSTS activé, certificats Let's Encrypt renouvelés automatiquement.
• Chiffrement au repos applicatif : credentials d'intégrations tierces et sauvegardes externes chiffrés via Fernet (AES-128 CBC + HMAC SHA-256), clé conservée en France et distincte de la clé d'application.
• Hachage des mots de passe : Argon2id (paramètres time_cost=3, memory_cost=64 MiB, parallelism=4) — conforme aux recommandations OWASP 2024.
• Authentification forte : TOTP (RFC 6238) disponible et obligatoire pour les Comptes administrateurs ; vérification automatique des mots de passe contre la base HIBP (Have I Been Pwned).
• Contrôle d'accès basé sur les rôles (RBAC) : permissions granulaires module:action, séparation stricte des privilèges, principe du moindre privilège.
• Cloisonnement multi-tenant : chaque organisation cliente est isolée par filtre organization_id appliqué automatiquement à toutes les requêtes (refactor multi-org finalisé en 2026, audit cyber sans non-conformité).
• Sauvegardes : sauvegardes complètes quotidiennes de la base PostgreSQL avec rétention 30 jours, copie offsite (Backblaze B2) chiffrée Fernet avant envoi.
• Audit log applicatif : toute opération sensible (création / modification / suppression de Données personnelles) est journalisée avec acteur, horodatage, IP, action, ressource ; consultable et exportable depuis le module Compliance pendant 5 ans.
• Hébergement certifié : OVH SAS — France (Roubaix) — ISO/IEC 27001, 27017, 27018, HDS, SOC 2 Type II.
• Supervision et journalisation : monitoring applicatif, alertes sur tentatives de connexion anormales, journalisation 12 mois (article L.34-1 CPCE).
• Mise à jour de sécurité : revue régulière des dépendances, déploiement prioritaire des correctifs critiques (SLA < 72 h pour les CVE de score CVSS ≥ 9).

5.4 Sous-traitance ultérieure

Le Client autorise le Sous-traitant à recourir aux sous-traitants ultérieurs listés en Annexe 1 (section 14). En cas d'ajout ou de remplacement d'un sous-traitant ultérieur, le Sous-traitant en informe le Client par email et bandeau dans l'application avec un préavis raisonnable (au minimum 30 jours), permettant au Client de s'y opposer pour des motifs légitimes liés à la protection des Données. En cas d'opposition, les parties rechercheront une solution alternative ; à défaut, le Client pourra résilier le contrat sans frais.

Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations de protection des données équivalentes à celles du présent DPA, par contrat écrit. Le Sous-traitant demeure pleinement responsable, à l'égard du Client, du respect par ses sous-traitants ultérieurs de leurs obligations.

5.5 Notification de violation de Données

Le Sous-traitant notifie au Client toute violation de Données dans un délai maximal de 72 heures après en avoir pris connaissance, par email à l'adresse de l'administrateur principal de l'Organisation Cliente (article 33.2 RGPD).

La notification précise : (i) la nature de la violation, (ii) les catégories et le nombre approximatif de personnes concernées et d'enregistrements de Données concernés, (iii) les conséquences probables, (iv) les mesures prises ou proposées pour remédier à la violation et atténuer ses effets négatifs, (v) les coordonnées du DPO d'eyeot.

Le Sous-traitant assiste le Client dans la mise en œuvre des obligations qui lui incombent en matière de notification à la CNIL (article 33) et aux personnes concernées (article 34).

5.6 Assistance dans l'exercice des droits des personnes

Le Sous-traitant met à disposition du Client les outils techniques nécessaires pour répondre, dans la mesure du possible, aux demandes d'exercice des droits des personnes concernées :

• Droit d'accès (Art. 15) : export structuré (JSON / CSV) depuis Paramètres > Sécurité > Confidentialité.
• Droit de rectification (Art. 16) : modification directe via les écrans de gestion des Utilisateurs, contacts, employés, etc.
• Droit à l'effacement (Art. 17) : anonymisation et suppression sur demande RGPD validée par un administrateur du Client.
• Droit à la limitation (Art. 18) : désactivation / verrouillage d'un Compte ou d'un enregistrement.
• Droit à la portabilité (Art. 20) : export structuré JSON / CSV de l'ensemble des Données du Client.
• Droit d'opposition (Art. 21) : opt-out publipostage automatique (lien d'unsubscribe per-recipient JWT signé), désabonnement notifications.

Lorsque le Sous-traitant reçoit directement une demande d'exercice des droits émanant d'une personne concernée, il en informe le Client sans délai et n'y donne pas suite, sauf instruction contraire du Client.

5.7 Assistance pour la conformité (Art. 32 à 36 RGPD)

Le Sous-traitant assiste le Client, compte tenu de la nature du traitement et des informations à sa disposition, pour garantir le respect des obligations relatives à la sécurité, aux notifications de violation, aux analyses d'impact (AIPD) et aux consultations préalables. Sur demande raisonnable, le Sous-traitant fournit la documentation nécessaire (registre des activités de traitement, mesures de sécurité, certifications).

5.8 Registre des activités de traitement (Art. 30.2)

Le Sous-traitant tient à disposition du Client un registre des catégories d'activités de traitement effectuées pour son compte, conforme à l'article 30.2 RGPD, accessible depuis le module Conformité > Registre RGPD de la plateforme.

5.9 Coopération avec l'autorité de contrôle

Le Sous-traitant coopère, sur demande, avec la Commission Nationale de l'Informatique et des Libertés (CNIL) ou toute autre autorité de contrôle compétente dans l'exercice de ses missions.

5.10 Sort des Données à la fin de la prestation

À la fin de la prestation de service, et au choix du Client exprimé par écrit, le Sous-traitant procède :

• soit à la restitution des Données au Client, sous forme d'export JSON / CSV structuré, mis à disposition pendant 30 jours ;
• soit à la suppression définitive de toutes les Données, dans un délai maximal de 90 jours.

À défaut d'instruction du Client, le Sous-traitant procède à la suppression. Cette obligation s'applique également aux copies existantes, sauf obligation légale contraire de conservation (notamment factures comptables : 10 ans, article L.123-22 du Code de commerce ; logs de connexion : 12 mois, article L.34-1 CPCE). Une attestation de suppression est délivrée sur demande à dpo@eyeot.fr.

6. Audit

Le Client peut, à ses frais et après préavis raisonnable de 30 jours, faire procéder, par un auditeur indépendant qu'il mandate, à un audit du Sous-traitant afin de vérifier le respect du présent DPA. L'audit est limité aux aspects strictement liés au traitement des Données du Client et est soumis à un engagement de confidentialité écrit. La fréquence est limitée à un audit par an, sauf incident de sécurité avéré.

Le Sous-traitant peut proposer en alternative la fourniture de ses certifications (ISO/IEC 27001 le cas échéant), des rapports d'audit de ses sous-traitants ultérieurs (SOC 2 de Stripe, ISO 27001 d'OVH), ou tout autre élément probant équivalent.

7. Transferts hors UE

Les Données sont stockées et traitées par défaut en France (datacenter OVH Roubaix). Certains sous-traitants ultérieurs (cf. Annexe 1) impliquent un transfert vers les États-Unis, encadré comme suit :

• Décision d'adéquation EU-US Data Privacy Framework (10 juillet 2023) pour les sous-traitants certifiés (Stripe, Google) ;
• Clauses contractuelles types (SCC) de la Commission européenne (décision 2021/914) pour Backblaze, avec chiffrement applicatif Fernet AES-128 + HMAC réalisé en France avant tout envoi (la clé ne quitte pas le territoire) ;
• Analyse d'impact des transferts (TIA) réalisée pour chaque sous-traitant conformément aux recommandations 01/2020 de l'EDPB.

Aucun transfert n'est effectué sans l'une de ces garanties. La liste à jour est accessible en Annexe 1.

8. Responsabilité

La responsabilité du Sous-traitant ne pourra être engagée que pour les manquements à ses obligations propres au titre du RGPD ou du présent DPA. Les limitations de responsabilité prévues à l'article 17 des CGV s'appliquent intégralement, sous réserve des dispositions impératives de l'article 82 RGPD.

Le Client demeure seul responsable de la légalité du traitement (base juridique, finalités, durée de conservation, information des personnes concernées) et de la nature des Données qu'il fait traiter par le Sous-traitant.

9. Obligations du Responsable du traitement (Client)

Le Client s'engage à :

• Disposer, au moment de la collecte, d'une base légale valide pour chaque traitement (article 6 RGPD) ;
• Informer les personnes concernées dans les conditions des articles 13 et 14 RGPD ;
• Documenter les traitements et tenir un registre conforme à l'article 30.1 (le module Compliance d'eyeot fournit les outils nécessaires) ;
• Ne saisir dans le Service que les Données strictement nécessaires aux finalités déclarées (principe de minimisation) ;
• Réaliser, le cas échéant, une analyse d'impact relative à la protection des données (AIPD, article 35 RGPD) ;
• Désigner un point de contact (Utilisateur administrateur ou DPO) pour les notifications de violation et les demandes de coopération.

10. Modifications du DPA

Le Sous-traitant peut être amené à modifier le présent DPA pour refléter l'évolution de la réglementation, des pratiques sectorielles ou des sous-traitants ultérieurs. Toute modification substantielle est notifiée au Client par email et bandeau dans l'application avec un préavis minimal de 30 jours, et nécessite, le cas échéant, une nouvelle acceptation explicite. À défaut, le Client pourra résilier le contrat sans frais.

11. Loi applicable et juridiction

Le présent DPA est régi par le droit français et par le RGPD. Tout litige relatif à son interprétation ou à son exécution sera de la compétence exclusive du Tribunal de commerce de Lille Métropole, conformément à l'article 21 des CGV.

12. Contact DPO

Pour toute question relative au présent DPA, à la protection des données personnelles ou à l'exercice des droits :

• Email : dpo@eyeot.fr
• Délégué à la protection des données : M. Amine KHEDIMALLAH
• Courrier : adresse postale précisée dans les Mentions légales.

En cas de désaccord persistant, le Client ou la personne concernée peut introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés, www.cnil.fr).

Annexe 1 — Liste des sous-traitants ultérieurs autorisés

Liste à jour au 15 mai 2026 :

Annexe 2 — Mesures techniques et organisationnelles

Synthèse des mesures de sécurité décrites en section 5.3 :

• Chiffrement TLS 1.2+ en transit (HSTS).
• Hachage Argon2id des mots de passe.
• Double authentification TOTP (RFC 6238) obligatoire admin.
• Vérification HIBP des mots de passe.
• RBAC granulaire + isolation multi-tenant.
• Chiffrement applicatif Fernet (AES-128 + HMAC SHA-256) des credentials d'intégrations et sauvegardes externes.
• Sauvegardes complètes quotidiennes, rétention 30 jours, copie offsite chiffrée.
• Audit log (acteur / action / horodatage / IP) avec rétention 5 ans.
• Monitoring + alerting sur tentatives anormales.
• Hébergement OVH France (ISO 27001/27017/27018/HDS, SOC 2).
• Mise à jour de sécurité prioritaire (SLA < 72 h pour CVE CVSS ≥ 9).
• Politique de gestion des accès (revue trimestrielle des Comptes, rotation des secrets, principe du moindre privilège).

Annexe 3 — Signature

Le présent DPA est conclu par voie électronique. Son acceptation résulte de la création du Compte administrateur principal de l'Organisation Cliente sur le Service eyeot ERP, conformément à l'article 1366 du Code civil. Le Client peut imprimer et archiver le présent document à des fins de preuve.

Document fourni à valeur contractuelle dans le cadre du Service eyeot ERP. Pour toute exigence contractuelle spécifique (DPA personnalisé pour grand compte, clauses additionnelles, AIPD conjointe), contactez-nous à contact@eyeot.fr.