Accord de Traitement des Données (DPA)
Conforme au Règlement (UE) 2016/679 (RGPD) — Art. 28 — Version 1.0 — En vigueur au 22 mars 2026
À qui s'adresse ce document ?
Cet accord s'applique à tout Client utilisant la plateforme DeviaSaaS. En créant un compte, le Client accepte les termes du présent DPA et reconnaît agir en qualité de Responsable de traitement vis-à-vis des données personnelles de ses Prospects, DeviaSaaS agissant en qualité de Sous-traitant au sens de l'article 28 du RGPD.
1. Parties
Responsable de traitement :
Le Client (toute entreprise ou entrepreneur ayant souscrit à DeviaSaaS), dont les coordonnées sont renseignées lors de la création du compte.
Sous-traitant :
Bastien Chapelot EI (Entrepreneur Individuel), exploitant la plateforme DeviaSaaS — SIRET 99200107300012 — Yvelines (78), France — contact@deviasaas.com
2. Objet et durée
Le présent accord définit les conditions dans lesquelles DeviaSaaS (le « Sous-traitant ») traite des données à caractère personnel pour le compte du Client (le « Responsable de traitement ») dans le cadre de la fourniture du Service DeviaSaaS.
Il prend effet à compter de la création du compte et reste en vigueur pendant toute la durée de la relation contractuelle entre les parties.
3. Nature et finalité du traitement
| Élément | Détail |
|---|---|
| Nature | Collecte, stockage, analyse automatisée (classification IA), génération de devis PDF, envoi par email |
| Finalité | Fourniture du service de génération automatique de devis pour le compte du Client |
| Catégories de personnes concernées | Prospects du Client (personnes ayant soumis un formulaire de demande de devis) |
| Catégories de données traitées | Nom, prénom, adresse email, adresse postale, numéro de téléphone, réponses au formulaire de devis, coordonnées GPS, montant du devis généré |
4. Obligations de DeviaSaaS (Sous-traitant)
4.1 — Traitement sur instruction documentée
DeviaSaaS traite les données personnelles des Prospects uniquement sur instruction documentée du Client, telle qu'elle résulte de l'utilisation du Service et de la configuration de ses formulaires et grilles tarifaires. DeviaSaaS ne traitera pas ces données à d'autres fins.
4.2 — Confidentialité
DeviaSaaS s'engage à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité appropriée.
4.3 — Sécurité (Art. 32 RGPD)
DeviaSaaS met en œuvre les mesures techniques et organisationnelles suivantes : chiffrement des données en transit (TLS) et au repos, isolation des données par Row Level Security (RLS) sur la base de données, authentification sans mot de passe (OTP), monitoring des erreurs avec masquage des données formulaire (Sentry).
4.4 — Sous-traitance ultérieure
Le Client autorise expressément DeviaSaaS à faire appel aux sous-traitants ultérieurs listés dans la Politique de confidentialité (Section 8). DeviaSaaS s'assure que chaque sous-traitant ultérieur présente des garanties suffisantes au titre du RGPD. DeviaSaaS informera le Client de tout ajout ou remplacement d'un sous-traitant ultérieur.
4.5 — Assistance au Client
DeviaSaaS aidera le Client, dans la mesure du raisonnablement possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Prospects (accès, rectification, effacement, portabilité). Le Client peut faire appel à DeviaSaaS pour ces demandes via contact@deviasaas.com.
4.6 — Notification de violation de données
DeviaSaaS notifiera le Client dans les meilleurs délais après avoir pris connaissance d'une violation de données à caractère personnel le concernant, afin de lui permettre de remplir ses obligations de notification auprès de la CNIL (Art. 33 et 34 RGPD).
5. Obligations du Client (Responsable de traitement)
En utilisant DeviaSaaS, le Client s'engage à :
- Disposer d'une base légale valide pour collecter et traiter les données personnelles de ses Prospects (consentement, intérêt légitime, exécution d'un contrat, etc.) ;
- Informer ses Prospects du traitement de leurs données et de l'utilisation de DeviaSaaS, conformément à l'article 13 du RGPD ;
- Ne collecter via les formulaires DeviaSaaS que les données strictement nécessaires à l'établissement d'un devis (principe de minimisation, Art. 5(1)(c) RGPD) ;
- Ne pas configurer de champs collectant des données sensibles au sens de l'Art. 9 du RGPD (santé, religion, origine ethnique, etc.).
6. Sort des données à l'issue de la relation contractuelle
À l'issue de la relation contractuelle (résiliation, suppression du compte), les données des Prospects sont maintenues dans la base de données jusqu'à ce que le Client formule une demande explicite de suppression.
Le Client peut à tout moment exporter ses données (CRM → Export CSV) ou demander leur suppression définitive en contactant contact@deviasaas.com. La suppression est irréversible et entraîne la suppression en cascade de toutes les données liées au compte (Prospects, Devis, PDFs).
Exception : les données de facturation (factures Stripe) sont conservées pendant 10 ans conformément aux obligations légales de conservation comptable (Art. L123-22 du Code de commerce).
Note : DeviaSaaS ne procède à aucune suppression automatique programmée après résiliation. La conservation des données jusqu'à demande explicite est volontairement favorable au Client, lui permettant de réactiver son compte et de retrouver ses données en cas de réabonnement.
7. Transferts hors Union Européenne
Certains sous-traitants ultérieurs (OpenAI, Stripe, Resend, Sentry, Cloudflare) sont établis aux États-Unis. Ces transferts sont encadrés par :
- Des Clauses Contractuelles Types (SCC) approuvées par la Commission européenne ;
- Et/ou l'adhésion au Data Privacy Framework UE-États-Unis (DPF), successeur du Privacy Shield.
Les données hébergées par Supabase (base de données principale) sont stockées dans la région eu-central-1 (Francfort, Allemagne), au sein de l'Union Européenne.
8. Droit applicable et juridiction
Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution relève de la compétence exclusive du Tribunal de Commerce de Versailles (Yvelines, France).
9. Contact
Pour toute question relative au présent accord ou à l'exercice de vos droits RGPD :
Email : contact@deviasaas.com
Politique de confidentialité complète : deviasaas.com/rgpd
DeviaSaaS — Bastien Chapelot EI (Entrepreneur Individuel) — SIRET 99200107300012 — Yvelines, France
CGV / CGUPolitique de confidentialitéMentions légalesContact