Document contractuel

Accord de sous-traitance RGPD (DPA)

Accord de sous-traitance RGPD construit autour des exigences de l'article 28. Il encadre les traitements réalisés par l'Éditeur pour le compte du Client, selon le contrat applicable.

Version : 2026-07-11Mise à jour : 2026-07-11
Ce DPA s'applique pendant la durée du contrat principal, puis selon les obligations légales applicables. En cas de contradiction, le présent DPA prévaut pour les traitements de données personnelles.

Parties & rôles

PartieClient
RôleResponsable du traitement
DéfinitionEntité professionnelle souscrivant au Service, qui détermine les finalités et moyens du traitement.
PartiePIXELIKA (Éditeur)
RôleSous-traitant
DéfinitionPIXELIKA, SARL, au capital de 8000,00 €, RCS Evry 484 479 894, TVA FR36484479894, siège social : 32 Rue Mère Marie Pia, 91480 Quincy-sous-Sénart, France, traitant les données pour le compte du Client sur instructions documentées.

Définitions clés

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable.
  • Sous-traitant ultérieur : prestataire intervenant pour le compte de l'Éditeur (voir Annexe 3).
  • Service : solution SaaS de facturation et d'exports. Lorsque le mode connecté est contractuellement et techniquement activé, le Service peut échanger avec une plateforme agréée (PA, ex‑PDP) sans devenir lui-même une PA.

Objet et durée

Le présent accord encadre le traitement des données personnelles réalisé par l'Éditeur pour le compte du Client dans le cadre de la fourniture du Service (logiciel de facturation B2B).

Il s'applique pendant la durée du contrat principal. À son terme, les données métier traitées pour le compte du Client sont restituées ou supprimées selon ses instructions, sauf si le droit de l’Union ou d’un État membre impose spécifiquement à l’Éditeur de les conserver. Les obligations fiscales ou comptables du Client ne créent pas, à elles seules, une obligation de conservation à la charge de l’Éditeur. Pixelika conserve séparément ses propres pièces fiscales et comptables liées à l’abonnement PixFacture pendant les durées qui lui sont légalement applicables.

Instructions documentées

L'Éditeur traite les données personnelles uniquement sur instructions documentées du Client, y compris pour les éventuels transferts hors EEE.

Si une instruction imposée par le Client est contraire au RGPD ou à d'autres dispositions légales applicables, l'Éditeur en informe le Client sans délai.

L’activation volontaire d’un connecteur Seqino ou Chorus constitue une instruction documentée limitée à la préparation, la transmission, la réception et au suivi des flux activés. Elle ne remplace ni le mandat réglementaire ou contractuel requis, ni les conditions propres à la plateforme concernée. Seul un représentant habilité du Client peut accepter le mandat depuis l’espace d’administration.

Confidentialité

Le personnel habilité de l'Éditeur est soumis à une obligation de confidentialité (contractuelle ou légale) et n'accède aux données personnelles que dans la stricte limite du besoin pour accomplir sa mission.

Sécurité — Annexe 2 (Mesures techniques et organisationnelles)

L'Éditeur met en place des mesures techniques et organisationnelles appropriées (TOMs) pour assurer un niveau de sécurité adapté au risque :

Chiffrement des flux en transit (TLS)
Segmentation logique par entreprise et isolation des données
Contrôle des accès (RBAC) et moindre privilège
Journalisation et traces techniques avec minimisation des données
Sauvegardes et procédures de restauration
Gestion des correctifs et vulnérabilités
Gestion des secrets et rotation si applicable
Double authentification disponible selon configuration
Monitoring et détection d'incidents
Tests automatisés (CI) et durcissement des headers applicatifs

Pour le détail complet, consulter la page sécurité.

Prestataires techniques et destinataires — Annexe 3

La liste des sous-traitants ultérieurs est maintenue à jour. Le Client est informé de toute modification significative et peut s'opposer pour motif légitime dans un délai raisonnable. En cas d'opposition, les parties recherchent une solution alternative ou peuvent convenir de la résiliation de la fonctionnalité concernée.

Certains organismes peuvent intervenir comme destinataires ou opérateurs indépendants et non comme sous-traitants au sens de l’article 28 du RGPD. C’est notamment le cas potentiel de l’AIFE pour Chorus Pro via PISTE ; la qualification dépend du flux et des textes applicables.

NomOVHcloud
QualificationSous-traitant ultérieur
FinalitéHébergement applicatif et bases de données
LocalisationFrance (UE/EEE)
GarantiesMécanisme annoncé par le fournisseur, à archiver et tenir à jour dans le dossier contractuel : Contrat fournisseur et mesures de sécurité applicables
NomBrevo
QualificationSous-traitant ultérieur
FinalitéEnvoi d’emails transactionnels (notifications, factures)
LocalisationFrance / UE
GarantiesMécanisme annoncé par le fournisseur, à archiver et tenir à jour dans le dossier contractuel : DPA / contrat fournisseur
NomStripe
QualificationSous-traitant ultérieur
FinalitéPaiement en ligne et gestion des abonnements
LocalisationIrlande (UE) + États-Unis
GarantiesMécanisme annoncé par le fournisseur, à archiver et tenir à jour dans le dossier contractuel : Clauses contractuelles types (SCC)
NomSentry
QualificationSous-traitant ultérieur
FinalitéMonitoring applicatif et gestion des erreurs (selon activation)
LocalisationÉtats-Unis (transfert possible)
GarantiesMécanisme annoncé par le fournisseur, à vérifier contractuellement avant activation : Clauses contractuelles types (SCC)
NomSeqino, connecteur PA partenaire
QualificationSous-traitant ultérieur selon activation et contrat applicable
FinalitéTransmission réglementaire via plateforme agréée selon contrat, mandat et statut officiel applicable (selon activation)
LocalisationFrance
GarantiesGaranties à vérifier et documenter dans le contrat applicable avant activation
NomAIFE — Chorus Pro via PISTE
QualificationDestinataire et opérateur public ; qualification distincte d’un sous-traitant selon le flux
FinalitéDépôt et suivi des factures destinées au secteur public (B2G) lorsque le canal Chorus est activé (selon activation)
LocalisationFrance (administration française)
GarantiesGaranties à vérifier et documenter dans le contrat applicable avant activation

Dernière mise à jour : 10/07/2026. Cette liste peut évoluer ; notification via email en cas de changement substantiel.

Assistance

L'Éditeur fournit une assistance raisonnable au Client pour :

  • Les demandes d'exercice de droits des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation).
  • La réalisation d'une analyse d'impact relative à la protection des données (DPIA) si nécessaire.
  • Les mesures de sécurité et la gestion des incidents.

Contact support public : info@pixelika.fr.

Violation de données

L'Éditeur notifie le Client sans délai indu après la découverte d'une violation de données personnelles, au plus tard dans les délais légaux applicables.

La notification comprend, dans la mesure du possible :

  • La nature de l'incident et les catégories de données concernées.
  • Le nombre approximatif de personnes et d'enregistrements concernés.
  • Les impacts potentiels et les mesures correctives prises ou envisagées.

Il appartient ensuite au Client (Responsable du traitement) de notifier la CNIL si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes.

Audit

Le Client peut auditer l'Éditeur dans des conditions raisonnables :

  • Préavis raisonnable (typiquement 30 jours sauf urgence).
  • Périmètre limité aux données et traitements couverts par ce DPA.
  • Respect des obligations de confidentialité.

Les coûts excessifs ou répétés peuvent être à la charge du Client.

Sort des données en fin de contrat

Au terme du contrat, l'Éditeur procède, au choix du Client, à la restitution ou à la suppression des données personnelles traitées pour son compte, sauf si le droit de l’Union ou d’un État membre impose spécifiquement à l’Éditeur de les conserver. Les obligations de conservation propres au Client ne justifient pas, à elles seules, une conservation supplémentaire par l’Éditeur.

Une restitution supplémentaire (export ZIP) peut être fournie sur demande dans un délai raisonnable (ex. 30 jours après résiliation). Les données personnelles dans les journaux techniques sont masquées. Les pièces fiscales et comptables émises ou reçues par Pixelika pour facturer l’abonnement PixFacture sont distinctes des données métier du Client et restent conservées selon les obligations propres à Pixelika.

Transferts hors EEE

Par défaut, les données sont hébergées via OVHcloud — France.

Avant tout transfert hors EEE, l’Éditeur identifie et documente le pays, le destinataire et le mécanisme juridique effectivement applicable au contrat concerné. Le transfert n’est activé que si les garanties requises ont été vérifiées, par exemple une décision d’adéquation, le cadre UE–États-Unis lorsqu’il est applicable ou des clauses contractuelles types (SCC) complétées, si nécessaire, par des mesures additionnelles. La seule mention d’un fournisseur ou d’une SCC dans cette page ne prouve pas qu’elle est en vigueur pour le contrat du Client.

Contact RGPD : info@pixelika.fr. Objet : demandes RGPD, exercice des droits, incidents.

Annexe 1 — Description des traitements

Finalités du traitement

  • Facturation et gestion des clients
  • Génération de documents (PDF, Factur‑X) et exports
  • Support client et assistance technique
  • Sécurité, prévention des abus, journalisation et audit

Catégories de données

  • Identités et coordonnées professionnelles (utilisateurs, contacts)
  • Données de facturation (clients, fournisseurs, montants, références)
  • Données potentiellement personnelles dans les factures et documents joints
  • Logs techniques (identifiants, adresses IP, événements de sécurité)

Personnes concernées

  • Employés et utilisateurs du Client
  • Clients et fournisseurs du Client
  • Utilisateurs finaux habilités par le Client

Durée

Données métier : pendant le contrat, puis restitution ou suppression selon les instructions du Client, sauf obligation légale imposant spécifiquement leur conservation à l’Éditeur. Les pièces propres à la facturation de l’abonnement PixFacture sont traitées séparément selon les obligations de Pixelika.