Cadre légal : Règlement Général sur la Protection des Données (RGPD - UE 2016/679), notamment article 28 « Sous-traitant ».

Préambule

Lorsqu’un client professionnel (ci-après le « Responsable de traitement » ou le « Client ») utilise le Service Selvyon pour gérer ses propres clients, prospects, partenaires (création de fiches client, émission de factures, suivi de paiements, etc.), il traite des données personnelles concernant ces tiers (ci-après les « Personnes concernées »).

Dans cette configuration, le Client est le Responsable de traitement au sens du RGPD, et Selvyon SASU est le Sous-traitant au sens du RGPD.

Le présent accord de sous-traitance (ci-après le « DPA ») définit les obligations respectives des parties pour assurer la conformité au RGPD article 28.

Le DPA est intégré aux Conditions Générales de Vente (CGV) par référence et fait partie intégrante du contrat liant les parties.

1. Définitions

Les termes utilisés dans le présent DPA ont la signification définie par le RGPD :

Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (RGPD art. 4.1).
Traitement : toute opération ou ensemble d’opérations effectuées sur des données personnelles (RGPD art. 4.2).
Responsable de traitement : la personne ou entité qui détermine les finalités et les moyens du traitement (RGPD art. 4.7) — dans le cadre du présent DPA, le Client.
Sous-traitant : la personne ou entité qui traite des données personnelles pour le compte du Responsable de traitement (RGPD art. 4.8) — dans le cadre du présent DPA, Selvyon SASU.
Personnes concernées : personnes physiques dont les données sont traitées (RGPD art. 4.1) — dans le cadre du présent DPA, les clients, prospects, fournisseurs ou partenaires du Client.
Violation de données : violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles (RGPD art. 4.12).

2. Description du traitement

2.1 Nature et finalité du traitement

Selvyon SASU traite, en tant que Sous-traitant, les données personnelles confiées par le Client dans le cadre de l’utilisation du Service Selvyon, aux finalités suivantes :

Stockage et hébergement des données saisies par le Client (chez Scaleway, France).
Mise à disposition des fonctionnalités du Service (gestion clients, devis, factures, projets, transactions).
Génération de documents (factures, devis, exports) à la demande du Client.
Sécurité et sauvegarde des données.
Support technique et résolution d’incidents.

2.2 Catégories de Personnes concernées

Les Personnes concernées dont les données sont traitées par Selvyon SASU en tant que Sous-traitant peuvent être :

Clients du Client (personnes physiques ou contacts au sein de personnes morales).
Prospects du Client.
Partenaires commerciaux du Client.
Fournisseurs du Client (le cas échéant pour le suivi des dépenses).

2.3 Catégories de données personnelles traitées

Les données traitées peuvent inclure (selon utilisation effective du Service par le Client) :

Identité : nom, prénom, dénomination sociale.
Coordonnées : adresse, email, téléphone.
Données professionnelles : SIRET, RCS, fonction, secteur d’activité.
Données contractuelles : références de devis, factures, montants, dates.
Données de communication : notes, historique d’échanges, correspondance.
Données financières : informations de paiement (références de virement, statuts de paiement — sans collecte de RIB complet sauf import explicite par le Client).
Données bancaires d’agrégation DSP2 (pour les Clients connectant leurs comptes bancaires via GoCardless Bank Account Data) : libellés, montants, dates des transactions, lecture seule, mandat utilisateur.

Selvyon SASU ne traite aucune donnée sensible (données de santé, opinion politique ou religieuse, orientation sexuelle, etc.) au sens du RGPD art. 9. Si le Client souhaite traiter de telles données via le Service, il doit en informer préalablement Selvyon SASU pour que les garanties appropriées soient mises en place.

2.4 Durée du traitement

Le traitement est effectué pendant toute la durée de l’abonnement du Client au Service Selvyon, augmentée des durées de conservation post-résiliation prévues par les CGU et la Politique de confidentialité (réversibilité 30 jours, obligations légales de conservation 10 ans pour pièces comptables).

3. Obligations de Selvyon SASU (Sous-traitant)

Selvyon SASU s’engage à :

3.1 Traiter les données conformément aux instructions documentées du Client

Selvyon SASU traite les données personnelles uniquement pour les finalités décrites dans le présent DPA et selon les instructions du Client matérialisées par l’utilisation des fonctionnalités du Service.

Selvyon SASU informe immédiatement le Client si, à son avis, une instruction constitue une violation du RGPD ou d’une autre réglementation applicable en matière de protection des données.

3.2 Garantir la confidentialité

Toute personne ayant accès aux données personnelles dans le cadre de l’exécution du Service est soumise à une obligation de confidentialité, soit légale (salariés), soit contractuelle (prestataires externes).

3.3 Mettre en œuvre des mesures de sécurité appropriées

Selvyon SASU met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque (RGPD art. 32), notamment :

Chiffrement des données en transit (HTTPS/TLS) et au repos (selon la nature de la donnée).
Authentification et habilitations strictes (principe du moindre privilège).
Sauvegardes régulières chiffrées.
Surveillance et détection d’intrusions (Sentry).
Procédures de récupération en cas d’incident.
Audits de sécurité périodiques.
Hébergement chez Scaleway certifié ISO 27001 + HDS.
Assurance Responsabilité Civile Professionnelle Stoïk avec couverture cyber-risques.

Les mesures détaillées sont documentées dans la Politique de confidentialité, section 7.

3.4 Recourir à des sous-traitants ultérieurs sous conditions

Selvyon SASU peut recourir à des sous-traitants ultérieurs (sous-traitants de second rang) pour la fourniture du Service. La liste exhaustive et actualisée des sous-traitants ultérieurs en cours d’utilisation est disponible publiquement sur selvyon.com/sous-traitants.

Liste actuelle des sous-traitants ultérieurs (à jour au 28/04/2026) :

Sous-traitant ultérieur	Localisation	Finalité	Garanties RGPD
Scaleway SAS	France (région PAR)	Hébergement applicatif et bases de données PostgreSQL, Object Storage, CDN	DPA Scaleway + ISO 27001 + HDS
Stripe Payments Europe Limited	Irlande (UE) + USA	Traitement des paiements (CB / SEPA)	DPA Stripe + DPF + PCI-DSS niveau 1 + CCT
Resend	UE (Allemagne) ou USA selon plan	Email transactionnel	DPA Resend + CCT
Sentry	UE ou USA selon plan	Monitoring d’erreurs applicatives	DPA Sentry + CCT
PostHog	UE ou USA selon plan	Analytics produit (neutralisé en DEV, opt-in en PROD)	DPA PostHog + CCT
GoCardless Bank Account Data	UE (Lituanie) + EEE	Agrégation bancaire DSP2 (AISP, lecture seule, mandat utilisateur)	DPA GoCardless + agrément AISP Lituanien (passport européen via FCA → ACPR)
Anthropic PBC	USA	LLM externe (Claude Sonnet) pour signaux IA, briefs, assistant IA Maîtrise	DPA Anthropic + CCT + Data Privacy Framework + Enterprise no training guarantee
API SIRENE INSEE	France	Vérification SIRET / SIREN (service public)	Service public administratif, pas de contrat sous-traitance

Selvyon SASU s’engage à :

Imposer aux sous-traitants ultérieurs des obligations équivalentes à celles du présent DPA.
Maintenir la liste à jour publiquement sur selvyon.com/sous-traitants.
Notifier le Client par écrit (email ou bannière dans le Service) au moins 30 jours avant tout changement substantiel de la liste des sous-traitants ultérieurs (ajout, remplacement, suppression).

Droit d’opposition pour motifs légitimes : le Client peut s’opposer au recours à un sous-traitant ultérieur pour des motifs légitimes liés à sa situation particulière (notamment : profession réglementée imposant une localisation de données spécifique, secteur sensible incompatible avec un transfert hors UE, contrainte contractuelle préexistante avec un client final du Client). L’opposition doit être motivée par écrit dans un délai de 30 jours suivant la notification.

Les parties échangeront de bonne foi afin de proposer une solution alternative (par exemple : désactivation du périmètre fonctionnel concerné, configuration spécifique, calendrier différé). À défaut de solution mutuellement acceptable dans un délai raisonnable, le Client pourra résilier le contrat sans pénalité ni indemnité, avec remboursement au prorata temporis des sommes versées au-delà de la date d’effet de la résiliation.

3.5 Aider le Client dans l’exercice des droits des Personnes concernées

Selvyon SASU met à disposition du Client les fonctionnalités nécessaires pour répondre aux demandes des Personnes concernées (accès, rectification, effacement, portabilité, opposition, limitation), notamment :

Export des données client en format JSON / CSV.
Modification ou suppression d’une fiche client / d’une facture (sous réserve des contraintes de conservation comptable).
Mise à disposition d’un journal d’audit des modifications.

Si une Personne concernée s’adresse directement à Selvyon SASU pour exercer ses droits, Selvyon SASU transmet la demande au Client dans un délai raisonnable. Le Client reste responsable du traitement de la demande.

3.6 Notification de violation de données

En cas de violation de données personnelles affectant les données traitées pour le compte du Client, Selvyon SASU :

Notifie le Client sans délai injustifié et au plus tard 72 heures après en avoir pris connaissance.
Fournit toutes les informations nécessaires à la documentation et à la notification éventuelle à la CNIL et aux Personnes concernées (RGPD art. 33 et 34) :
- Nature de la violation
- Catégories et nombre approximatif de Personnes concernées
- Catégories et volume approximatif de données concernées
- Conséquences probables
- Mesures prises ou proposées pour remédier à la violation
Coopère avec le Client pour la notification CNIL et l’information des Personnes concernées.

3.7 Aider le Client à effectuer une analyse d’impact (AIPD)

Si le Client doit réaliser une analyse d’impact relative à la protection des données (AIPD / DPIA — RGPD art. 35), Selvyon SASU fournit, sur demande raisonnable, les informations nécessaires à cette analyse.

3.8 Restituer ou supprimer les données à la fin du contrat

À l’issue de la prestation (résiliation, expiration, cession), Selvyon SASU, au choix du Client :

Restitue les données personnelles dans un format structuré et exploitable (export complet RGPD), pendant une période de 30 jours.
Supprime les données personnelles à l’issue de la période de réversibilité.

Toutefois, Selvyon SASU conserve les données dont la conservation est imposée par une obligation légale (notamment pièces comptables — 10 ans selon Code de commerce art. L123-22) en archivage passif (sans accès actif), jusqu’à expiration des durées légales, puis suppression définitive.

3.9 Mettre à disposition la documentation nécessaire à la démonstration de conformité

Selvyon SASU tient à la disposition du Client :

Le présent DPA signé.
La liste des sous-traitants ultérieurs (page publique selvyon.com/sous-traitants).
La description des mesures de sécurité techniques et organisationnelles.
Les certifications éventuelles (Scaleway ISO 27001 + HDS sous-jacents, autres certifications Selvyon en cours d’évaluation pour V2).

Selvyon SASU autorise et contribue à des audits, y compris des inspections, réalisés par le Client ou par un auditeur mandaté par le Client (RGPD art. 28.3.h), sous réserve d’un préavis raisonnable (minimum 30 jours), de la signature d’un accord de confidentialité, et de la limitation à 1 audit par an sauf incident grave.

4. Obligations du Client (Responsable de traitement)

Le Client s’engage à :

4.1 Disposer d’une base légale valide

Le Client s’assure de disposer d’une base légale valide pour traiter les données personnelles des Personnes concernées (RGPD art. 6) :

Exécution d’un contrat (par exemple : contrat client en cours).
Intérêt légitime (par exemple : prospection commerciale dans le cadre d’une relation pré-contractuelle).
Consentement (par exemple : newsletter).
Obligation légale (par exemple : conservation pièces comptables).

4.2 Informer les Personnes concernées

Le Client informe les Personnes concernées du traitement de leurs données conformément au RGPD art. 13 et 14, en mentionnant notamment :

L’identité du Responsable de traitement (le Client).
Les finalités du traitement.
Le recours à un sous-traitant (Selvyon SASU).
Les durées de conservation.
Les droits des Personnes concernées et les modalités d’exercice.
L’éventuelle existence de transferts hors UE (notamment vers Stripe USA et Anthropic USA dans le cadre de l’utilisation de Selvyon).

4.3 Respecter les droits des Personnes concernées

Le Client est responsable du traitement des demandes d’exercice des droits des Personnes concernées (accès, rectification, effacement, etc.). Il peut s’appuyer sur les fonctionnalités du Service pour répondre.

4.4 Garantir la qualité et la légalité des données saisies

Le Client garantit que les données qu’il saisit ou importe dans le Service sont :

Exactes, à jour et pertinentes par rapport aux finalités.
Collectées et traitées conformément à la loi.
Non couvertes par un secret impératif (sauf accord exprès).
Compatibles avec l’usage des fonctionnalités IA externe (Anthropic) si le Client utilise ces fonctionnalités sur les Plans Pilotage / Maîtrise.

4.5 Notifier Selvyon SASU en cas d’évolution

Le Client notifie Selvyon SASU de toute évolution substantielle de son traitement (changement de finalité, ajout de catégories de Personnes concernées ou de données, etc.) susceptible d’affecter les obligations du Sous-traitant.

5. Transferts internationaux

Selvyon SASU s’engage à ne pas transférer les données personnelles hors de l’Union Européenne sans :

Une décision d’adéquation de la Commission européenne, ou
Les Clauses Contractuelles Types (CCT) de la Commission européenne, ou
D’autres garanties appropriées au sens du RGPD art. 46.

Transferts hors UE actuels (à jour 28/04/2026) :

Sous-traitant	Pays	Garanties
Stripe Payments Europe Limited	Irlande (UE) + USA	DPF + CCT
Anthropic PBC	USA	DPF + CCT + Enterprise no training guarantee
Sentry	UE ou USA selon plan	CCT
PostHog	UE ou USA selon plan	CCT
Resend	UE ou USA selon plan	CCT

La liste actualisée et les garanties associées sont documentées dans la Politique de confidentialité, section 6, ainsi que sur la page publique selvyon.com/sous-traitants.

6. Durée et fin du DPA

Le présent DPA prend effet à la date de souscription du contrat principal (CGV) et reste en vigueur tant que Selvyon SASU traite des données personnelles pour le compte du Client.

À la fin du contrat principal :

Selvyon SASU restitue ou supprime les données conformément à l’article 3.8.
Le présent DPA reste applicable pour les obligations de confidentialité, d’archivage légal et d’aide à la défense en cas de contentieux.

7. Responsabilité

Chaque partie est responsable des manquements à ses propres obligations issues du RGPD et du présent DPA.

En cas de réclamation ou de sanction infligée à l’une des parties par une autorité de contrôle (CNIL ou autre) ou par une Personne concernée, et résultant d’un manquement de l’autre partie à ses obligations, la partie défaillante indemnise l’autre partie des dommages directs subis, dans la limite du plafond de responsabilité prévu par les CGV (cf article 9.2 des CGV — plafond 12 mois d’abonnement).

8. Droit applicable et juridiction

Le présent DPA est régi par le droit français et soumis à la juridiction définie dans les CGV — Tribunal de Commerce de [En cours d’immatriculation SASU : information disponible à partir de mai 2026].

9. Contact

Pour toute question relative au présent DPA :

Email RGPD : privacy@selvyon.com
Adresse postale : [En cours d’immatriculation SASU : information disponible à partir de mai 2026]

Annexe — Liste actualisée des sous-traitants ultérieurs

Référence permanente : selvyon.com/sous-traitants

État au 28 avril 2026 :

Sous-traitant	Date d’entrée en service	Date de fin (le cas échéant)	Localisation	Finalité
Scaleway SAS	[Contrat en cours de signature]	—	France	Hébergement
Stripe Payments Europe Limited	[Contrat en cours de signature]	—	Irlande + USA	PSP paiements
Resend	[Contrat en cours de signature]	—	UE / USA	Email transactionnel
Sentry	[Contrat en cours de signature]	—	UE / USA	Monitoring erreurs
PostHog	[Contrat en cours de signature]	—	UE / USA	Analytics produit
GoCardless Bank Account Data	[Contrat en cours de signature]	—	UE (Lituanie)	Agrégation bancaire DSP2
Anthropic PBC	[Contrat en cours de signature]	—	USA	LLM externe (Claude Sonnet)
API SIRENE INSEE	Service public continu	—	France	Vérification SIRET

Toute évolution future de cette liste est tracée dans cette annexe et publiée sur selvyon.com/sous-traitants avec préavis 30 jours par email aux clients.

Changelog

v1.0 — 28 avril 2026 — Validation finale avocat acquise (cf NOTE-VALIDATION-FINALE-AVOCAT.md). Statut : « Validé ». Annexe contractuelle fournie sur demande aux clients B2B. Liste exhaustive sous-traitants à publier en parallèle sur selvyon.com/sous-traitants.

v0.3 — 28 avril 2026 — Intégration ajustement obligatoire #3 note de validation avocat v0.2 : ajout §3.4 « Droit d’opposition pour motifs légitimes » conformément à l’article 28.2 RGPD et jurisprudence CJUE/CEPD. Le Client peut s’opposer pour motifs légitimes liés à sa situation particulière, échange de bonne foi pour solution alternative, résiliation sans pénalité à défaut. Le mécanisme du plan B reste hors contrat (arbitrage commercial interne au cas par cas).

v0.2 — 28 avril 2026 — Liste exhaustive 8 sous-traitants finale (Scaleway / Stripe / Resend / Sentry / PostHog / GoCardless BAD / Anthropic / INSEE) avec garanties détaillées. Référence page publique selvyon.com/sous-traitants. Section transferts hors UE explicite. Réversibilité 30 jours canon. Annexe listage avec dates d’entrée en service à compléter post-déploiement.

v0.1 — 28 avril 2026 — Création initiale.