Retour à l'accueil

Documents Légaux

MyFacturo - Conformité RGPD et ePrivacy

Accord de Traitement des Données (DPA)

MyFacturo - Data Processing Agreement conforme RGPD

Dernière mise à jour : 18 juillet 2025

Objet et portée

Le présent Accord de Traitement des Données (DPA) définit les conditions dans lesquellesWallontech traite les données personnelles pour le compte de ses clients utilisateurs de MyFacturo, conformément au Règlement Général sur la Protection des Données (RGPD).

📋 Article 28 RGPD : Contrat entre responsable de traitement et sous-traitant

Responsable de traitement : Le Client utilisateur de MyFacturo

Sous-traitant : Wallontech, éditeur de MyFacturo

Données concernées : Données clients, factures, informations commerciales

Nature et finalité du traitement

🎯 Finalités du traitement

  • Fourniture du service de facturation électronique MyFacturo
  • Gestion et stockage des données clients et commerciales
  • Envoi de factures via réseau Peppol et email
  • Support technique et assistance utilisateur
  • Sauvegarde et archivage des données

📊 Types de données traitées

Données d'identification
  • Noms et prénoms
  • Raisons sociales
  • Adresses postales
  • Adresses email
  • Numéros de téléphone
Données commerciales
  • Numéros TVA
  • Informations bancaires
  • Factures et devis
  • Historique des paiements
  • Notes commerciales

👥 Catégories de personnes concernées

  • Clients professionnels (B2B) du responsable de traitement
  • Clients particuliers (B2C) du responsable de traitement
  • Contacts et représentants des entreprises clientes
  • Utilisateurs de la plateforme MyFacturo

Obligations de Wallontech

🔒 Sécurité des données

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Authentification multi-facteurs pour les accès administrateur
  • Contrôles d'accès basés sur les rôles (RBAC)
  • Surveillance continue et détection d'intrusions
  • Sauvegardes chiffrées quotidiennes avec rétention 30 jours

👨‍💼 Personnel autorisé

  • Accès limité aux seules personnes habilitées
  • Formation RGPD obligatoire pour tous les employés
  • Clauses de confidentialité dans tous les contrats de travail
  • Principe du moindre privilège appliqué
  • Audit régulier des accès et permissions

📋 Assistance au responsable de traitement

  • Mise à disposition d'outils d'export des données
  • Assistance pour les demandes d'exercice des droits
  • Support pour les analyses d'impact (AIPD)
  • Notification des violations de données sous 24h
  • Documentation technique et juridique

Sous-traitants ultérieurs

Wallontech fait appel aux sous-traitants suivants pour la fourniture du service MyFacturo :

🗄️ Hébergement et infrastructure

Supabase (PostgreSQL)

Localisation : Francfort, Allemagne (UE)

Certifications : SOC 2 Type II, ISO 27001

Vercel (Hébergement web)

Localisation : Irlande (UE) avec CDN global

Certifications : Data Privacy Framework (DPF)

🔐 Authentification et sécurité

Clerk (Authentification)

Localisation : États-Unis

Certifications : Data Privacy Framework (DPF)

💳 Paiements et communications

Stripe (Paiements)

Localisation : Irlande (UE) et États-Unis

Certifications : PCI DSS Level 1, DPF

Resend (Emails transactionnels)

Localisation : États-Unis

Certifications : Data Privacy Framework (DPF)

🤖 Intelligence artificielle

Mindee (OCR/IA)

Localisation : France et États-Unis

Certifications : SOC 2 Type II, RGPD compliant

🇧🇪 Facturation électronique Peppol

Ademico Software (Sous-traitant Peppol)

Localisation : Leuven, Belgique (Union Européenne)

Hébergement : AWS Irlande (UE)

Certifications : RGPD compliant, mesures de sécurité techniques

Contrat : Accord de sous-traitance RGPD Article 28

Avantage : Localisation belge = Même juridiction RGPD, aucun transfert international de données

⚖️ Garanties : Tous les sous-traitants sont liés par des accords de traitement des données conformes au RGPD et offrent des garanties appropriées en matière de sécurité et de protection des données.

Transferts internationaux

🇪🇺 Données dans l'UE

  • Base de données principale : Supabase (Francfort, Allemagne)
  • Hébergement web : Vercel (Irlande)
  • Paiements : Stripe Europe (Irlande)
  • OCR/IA : Mindee (France)

🇺🇸 Transferts vers les États-Unis

Mécanisme : Data Privacy Framework (DPF)

Successeur du Privacy Shield, approuvé par la Commission européenne

Services concernés :

  • Clerk (authentification) - Certifié DPF
  • Stripe (paiements) - Certifié DPF + SCC
  • Resend (emails) - Certifié DPF
  • Vercel (CDN global) - Certifié DPF

🛡️ Mesures de protection supplémentaires

  • Chiffrement de bout en bout pour tous les transferts
  • Clauses Contractuelles Types (SCC) en complément du DPF
  • Audits de sécurité réguliers des sous-traitants
  • Possibilité de rapatriement des données sur demande

Durée de conservation et suppression

⏱️ Durées de conservation

  • Données actives : Pendant toute la durée du contrat
  • Sauvegardes : 30 jours après suppression
  • Logs de sécurité : 12 mois maximum
  • Données de facturation : 10 ans (obligation légale belge)

🗑️ Suppression des données

  • Suppression automatique 30 jours après résiliation du contrat
  • Possibilité d'export des données avant suppression
  • Suppression sécurisée selon standards NIST 800-88
  • Certificat de destruction sur demande

📤 Restitution des données

À la fin du contrat, Wallontech s'engage à restituer toutes les données personnelles au responsable de traitement dans un format structuré et couramment utilisé, ou à les supprimer selon les instructions du client.

Gestion des violations de données

🚨 Procédure de notification

  • Notification au responsable de traitement sous 24 heures
  • Information détaillée sur la nature de la violation
  • Évaluation des risques pour les personnes concernées
  • Mesures prises et recommandations

📋 Informations communiquées

  • Date et heure de la violation
  • Catégories et nombre de personnes concernées
  • Types de données personnelles affectées
  • Conséquences probables de la violation
  • Mesures prises ou envisagées pour remédier à la violation

🛡️ Mesures préventives

  • Plan de continuité d'activité et de reprise après sinistre
  • Tests de sécurité et audits réguliers
  • Formation continue du personnel
  • Mise à jour des mesures de sécurité

Audits et contrôles

🔍 Droit d'audit du responsable de traitement

  • Inspection des mesures de sécurité sur préavis de 30 jours
  • Accès à la documentation technique et organisationnelle
  • Possibilité de mandater un auditeur tiers
  • Rapport d'audit remis dans les 30 jours

📊 Audits internes de Wallontech

  • Audit de sécurité annuel par un tiers indépendant
  • Tests de pénétration semestriels
  • Revue des accès et permissions trimestrielle
  • Certification ISO 27001 en cours d'obtention

📋 Documentation disponible

  • Politique de sécurité des systèmes d'information
  • Procédures de gestion des incidents
  • Registre des traitements
  • Rapports d'audits et certifications

Contact et réclamations

Pour toute question relative au présent DPA ou pour signaler un incident de sécurité :

Délégué à la Protection des Données (DPO) :

Email : mathieu@myfacturo.be

Société : Wallontech

Réponse garantie sous 72 heures

Autorité de contrôle compétente :

Autorité de protection des données (APD)

Rue de la Presse 35, 1000 Bruxelles

contact@apd-gba.be | +32 2 274 48 00

Entrée en vigueur : 18 juillet 2025

Durée : Pendant toute la durée du contrat MyFacturo

Ces documents sont conformes au RGPD (Règlement UE 2016/679) et à la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Wallontech - Contact : mathieu@myfacturo.be