Accord de traitement des données
Dernière mise à jour : mars 2026
Le présent Accord de traitement des données (l'« ATD » ou « DPA ») est incorporé par référence aux Conditions générales de Fides IT, exerçant sous le nom commercial Utisha, et en fait partie intégrante. En acceptant les Conditions générales, le Responsable du traitement accepte également les dispositions du présent Accord.
Sous-traitant : Fides IT, exerçant sous le nom commercial Utisha Établi à Amsterdam, Pays-Bas Numéro de Chambre de commerce (KvK) : 57282196 Contact vie privée : privacy@utisha.com Contact DPA : dpa@utisha.com
Responsable du traitement : Le cabinet comptable ou d'administration qui a accepté les Conditions générales pour l'utilisation de la plateforme Utisha afin de traiter des documents financiers dans le cadre de la préparation des déclarations de TVA de ses clients.
Le Sous-traitant et le Responsable du traitement sont collectivement désignés par les termes « les Parties ».
Article 1. Définitions
1.1. « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, ainsi que toute législation nationale de mise en œuvre applicable, notamment la loi néerlandaise UAVG.
1.2. « Données personnelles », « Traitement », « Personne concernée », « Violation de données à caractère personnel » et « Autorité de contrôle » ont la signification qui leur est donnée dans le RGPD.
1.3. « Services » désigne la plateforme Utisha pour le traitement de documents financiers en vue de la préparation des déclarations trimestrielles de TVA, disponible en tant que service cloud géré ou en déploiement auto-hébergé.
1.4. « Sous-traitant ultérieur » désigne tout tiers engagé par le Sous-traitant pour traiter des données personnelles pour le compte du Responsable du traitement. La liste actualisée des sous-traitants ultérieurs figure à l'Annexe 3.
1.5. « Traitement automatisé » désigne le traitement de documents financiers au moyen de technologies d'intelligence artificielle, à savoir l'analyse, l'extraction, la classification et le rapprochement automatisés de factures et de relevés bancaires via un grand modèle de langage (LLM). Le traitement automatisé est utilisé uniquement comme outil d'aide au comptable ; le comptable prend toutes les décisions finales après contrôle humain.
Article 2. Objet et durée
2.1. Le présent Accord régit les conditions dans lesquelles le Sous-traitant traite des données personnelles pour le compte et sur instruction du Responsable du traitement, dans le cadre de la fourniture des Services.
2.2. L'objet du traitement porte sur le traitement de documents financiers — notamment les factures, notes de crédit et relevés bancaires — aux fins de la préparation des déclarations trimestrielles de TVA des clients du Responsable du traitement. Ces documents contiennent des données personnelles des catégories décrites aux Articles 4 et 5.
2.3. Le présent Accord est en vigueur pour la durée de l'abonnement tel que défini dans les Conditions générales. Il prend fin lorsque l'abonnement se termine pour quelque raison que ce soit, sous réserve des dispositions relatives aux délais légaux de conservation à l'Article 11.
Article 3. Nature et finalité du traitement
3.1. Le Sous-traitant ne traite des données personnelles qu'aux fins suivantes, telles que détaillées à l'Annexe 1 :
(a) Extraction de documents : Lecture et extraction de données provenant de factures, notes de crédit et relevés bancaires soumis (y compris les fichiers MT940 et CAMT.053), notamment par reconnaissance optique de caractères (OCR) pour les documents numérisés de qualité limitée ;
(b) Classification automatisée : Classification automatisée des transactions selon les catégories de TVA (1a, 1b, 1c, 1d, 2a, 3a, 3b, 3c, 4a, 4b, 5b) et suggestion de comptes du grand livre sur la base du contenu extrait des documents, à l'aide de technologies d'intelligence artificielle ;
(c) Rapprochement bancaire : Mise en correspondance automatique des lignes de relevés bancaires avec les factures et les écritures comptables ;
(d) Intégration Exact Online : Transmission des écritures approuvées par le comptable au logiciel de comptabilité Exact Online du Responsable du traitement.
3.2. Le Sous-traitant ne traite pas les données personnelles à d'autres fins. Le traitement à des fins d'entraînement de modèles ou d'amélioration de l'IA est expressément interdit, comme prévu à l'Article 13.
3.3. Tous les résultats générés par le traitement automatisé ont une valeur purement consultative. Le comptable examine et approuve tous les résultats de l'IA avant que toute écriture soit finalisée ou transmise à Exact Online. Aucune décision n'est prise sans contrôle humain.
Article 4. Catégories de données personnelles
4.1. Dans le cadre de la fourniture des Services, le Sous-traitant traite les catégories suivantes de données personnelles pour le compte du Responsable du traitement :
(a) Données d'identification : Noms de personnes physiques et de personnes de contact, adresses (professionnelle et de correspondance), raisons sociales ;
(b) Données financières : Numéros IBAN, montants de factures (TVA incluse), soldes bancaires, données de transaction (montant, date, description, contrepartie), écritures comptables ;
(c) Numéros d'identification fiscale : Numéros de TVA, numéros de la Chambre de commerce (KvK) ;
(d) Coordonnées : Adresses e-mail et numéros de téléphone, tels qu'ils figurent sur les factures ou dans le portail ;
(e) Données d'utilisation : Horodatages de connexion au portail, date et heure de chargement des documents, adresse IP lors de la connexion, actions des utilisateurs dans la plateforme (données du journal d'audit).
4.2. Le Sous-traitant ne traite pas de catégories particulières de données personnelles au sens de l'article 9 du RGPD, sauf si de telles données se trouvent inopinément dans des documents soumis par le Responsable du traitement. Le Responsable du traitement est responsable de l'identification de telles situations et d'en informer le Sous-traitant.
Article 5. Catégories de personnes concernées
5.1. Les catégories suivantes de personnes concernées font l'objet du traitement :
(a) Clients du Responsable du traitement (utilisateurs finaux) : Entrepreneurs et PME ayant un contrat de prestation de services avec le Responsable du traitement pour la préparation des déclarations de TVA, dans la mesure où leurs données personnelles figurent sur des factures, des relevés bancaires ou dans le portail client ;
(b) Salariés des clients : Employés et personnes de contact des clients du Responsable du traitement, dans la mesure où leurs noms, adresses e-mail ou numéros de téléphone figurent sur des factures, des relevés bancaires ou dans le portail ;
(c) Fournisseurs et clients des clients : Personnes physiques agissant en tant que fournisseurs ou clients du client, dont le nom, l'adresse, le numéro IBAN ou les coordonnées figurent sur une facture ou un relevé bancaire ;
(d) Personnes de contact auprès du Responsable du traitement : Personnes de contact au sein même du Responsable du traitement, dans la mesure où leurs données sont traitées dans le cadre de la gestion des utilisateurs de la Plateforme.
Article 6. Obligations du Sous-traitant
6.1. Traitement uniquement sur instruction. Le Sous-traitant ne traite des données personnelles que sur la base d'instructions documentées du Responsable du traitement, sauf obligation légale contraire. Dans ce cas, le Sous-traitant informe le Responsable du traitement avant le traitement, sauf si la loi l'interdit.
6.2. Confidentialité. Le Sous-traitant veille à ce que toutes les personnes autorisées à traiter les données personnelles se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
6.3. Sécurité. Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, telles que décrites à l'Annexe 2. Ces mesures sont révisées au moins une fois par an.
6.4. Sous-traitants ultérieurs. Le Sous-traitant ne fait appel à des sous-traitants ultérieurs qu'en suivant la procédure prévue à l'Article 7. La liste actualisée des sous-traitants ultérieurs approuvés figure à l'Annexe 3. Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations au moins équivalentes à celles prévues par le présent Accord.
6.5. Assistance pour les droits des personnes concernées. Le Sous-traitant assiste le Responsable du traitement dans l'exécution de ses obligations de réponse aux demandes d'exercice des droits des personnes concernées en vertu des articles 15 à 22 du RGPD. Toute demande reçue directement par le Sous-traitant est transmise sans délai au Responsable du traitement.
6.6. Assistance pour l'AIPD. Le Sous-traitant assiste le Responsable du traitement dans la réalisation d'une analyse d'impact relative à la protection des données (AIPD) en vertu de l'article 35 du RGPD, notamment en fournissant des informations pertinentes sur les activités de traitement, les mesures de sécurité et les sous-traitants ultérieurs.
6.7. Suppression ou restitution après la fin du contrat. À la fin des Services, le Sous-traitant supprime ou restitue, au choix du Responsable du traitement, l'ensemble des données personnelles et supprime les copies existantes, sauf obligation légale de conservation. Le Sous-traitant fournit une confirmation écrite de la suppression dans les 30 jours suivant la fin du contrat. L'obligation de conservation fiscale prévue à l'Article 11 s'applique séparément.
6.8. Information et audit. Le Sous-traitant met à disposition toutes les informations nécessaires pour démontrer la conformité au présent Accord et coopère aux audits prévus à l'Article 10.
6.9. Signalement d'instructions contraires. Si le Sous-traitant estime qu'une instruction du Responsable du traitement enfreint le RGPD ou la législation applicable en matière de protection des données, il en informe sans délai le Responsable du traitement et peut suspendre l'exécution de l'instruction jusqu'à ce que ce dernier la confirme ou la retire.
Article 7. Sous-traitants ultérieurs
7.1. En acceptant le présent Accord, le Responsable du traitement accorde une autorisation écrite générale pour les sous-traitants ultérieurs figurant à l'Annexe 3, conformément à l'article 28(2) du RGPD.
7.2. Le Sous-traitant informe le Responsable du traitement par écrit au moins 30 jours avant toute modification prévue des sous-traitants ultérieurs, notamment l'ajout de nouveaux sous-traitants ultérieurs ou le remplacement de sous-traitants ultérieurs existants.
7.3. Le Responsable du traitement peut s'opposer à une modification envisagée dans les 30 jours suivant la réception de la notification. L'opposition doit être formulée par écrit avec motifs, adressée à dpa@utisha.com.
7.4. Si le Responsable du traitement s'oppose dans les délais impartis et que les Parties ne parviennent pas à une résolution dans les 30 jours suivant l'opposition, l'une ou l'autre des Parties peut résilier le présent Accord dans la mesure où il se rapporte à l'activité de traitement concernée. La résiliation sur ce fondement n'ouvre pas droit à indemnisation.
7.5. Le Sous-traitant impose à chaque sous-traitant ultérieur des obligations de protection des données au moins équivalentes à celles prévues par le présent Accord. Le Sous-traitant reste pleinement responsable envers le Responsable du traitement de l'exécution des obligations du sous-traitant ultérieur.
7.6. L'Annexe 3 précise quels sous-traitants ultérieurs s'appliquent de manière conditionnelle selon le type de déploiement (cloud géré ou auto-hébergé).
Article 8. Transferts internationaux de données
8.1. Le Sous-traitant ne transfère pas les données personnelles vers des pays situés en dehors de l'Espace économique européen (EEE). Tous les sous-traitants ultérieurs figurant à l'Annexe 3 traitent les données personnelles au sein de l'UE/EEE.
8.2. AWS Bedrock traite les données dans la région UE eu-central-1 (Francfort, Allemagne). Google Cloud Vertex AI traite les données dans la région UE europe-west1 (Belgique). Microsoft Azure Document Intelligence traite les données dans la région UE Ouest Europe (Amsterdam). Hetzner Online GmbH est établie en Allemagne. Aucune donnée personnelle n'est transférée en dehors de l'EEE.
8.3. Dans un déploiement auto-hébergé avec routage LLM configuré sur self_hosted_only, aucune donnée personnelle ne quitte l'infrastructure du Responsable du traitement pour le traitement automatisé. Les dispositions relatives aux transferts concernant AWS Bedrock ne s'appliquent pas dans cette configuration.
8.4. Si des modifications futures entraînent un transfert en dehors de l'EEE, le Sous-traitant veille à ce que des garanties appropriées au titre de l'article 46 du RGPD soient en place avant le début du transfert, et suit la procédure de modification prévue à l'Article 7.
Article 9. Notification des violations de données
9.1. Le Sous-traitant notifie le Responsable du traitement sans délai indu — avec pour objectif dans les 24 heures — après avoir pris connaissance d'une violation de données à caractère personnel affectant les données soumises par le Responsable du traitement.
9.2. La notification comprend, dans la mesure où ces informations sont disponibles au moment de la notification : la nature de la violation ; les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données concernés ; le point de contact pour de plus amples informations ; les conséquences probables ; et les mesures prises ou envisagées.
9.3. Si toutes les informations ne sont pas disponibles simultanément, la notification initiale peut être limitée. Le Sous-traitant fournit les informations supplémentaires dès qu'elles sont disponibles.
9.4. Le Sous-traitant assiste le Responsable du traitement dans l'exécution de son obligation de notification à l'autorité de contrôle compétente en vertu de l'article 33 du RGPD (délai de 72 heures) et, le cas échéant, dans la communication aux personnes concernées en vertu de l'article 34 du RGPD.
Article 10. Droits d'audit
10.1. Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'article 28 du RGPD, et coopère aux audits, y compris les inspections, menés par le Responsable du traitement ou un auditeur mandaté par ce dernier.
10.2. Le Responsable du traitement informe le Sous-traitant par écrit au moins 30 jours à l'avance d'un audit prévu, en précisant l'objectif, le périmètre et la date envisagée.
10.3. Les audits se déroulent pendant les heures normales d'ouverture du Sous-traitant et sont menés de manière à perturber le moins possible les activités. Sauf violation ou obligation réglementaire, le Responsable du traitement a droit à un audit par année civile au maximum.
10.4. Les coûts de l'audit sont à la charge du Responsable du traitement, sauf si l'audit révèle des manquements imputables au Sous-traitant.
10.5. Tout auditeur tiers doit signer un accord de confidentialité avec le Sous-traitant avant le début de l'audit.
Article 11. Conservation et suppression des données
11.1. Les documents financiers (factures, notes de crédit, relevés bancaires, écritures comptables, résultats d'extraction et journaux d'audit) faisant partie de l'administration fiscale sont conservés pendant la durée légale de conservation fiscale en vertu de l'article 52 de la loi générale néerlandaise sur les impôts (AWR) : sept ans à compter de la fin de l'exercice fiscal auquel les données se rapportent.
11.2. À l'expiration de la durée légale de conservation, toutes les données conservées sont définitivement supprimées, sauf obligation légale contraire imposant une conservation plus longue.
11.3. Sur demande du Responsable du traitement, le Sous-traitant met les données conservées à disposition dans un format d'export standard, afin de permettre au Responsable du traitement ou à ses ayants droit de satisfaire à d'éventuelles obligations d'inspection fiscale.
11.4. Les données personnelles non fiscales sont supprimées ou restituées dans les 30 jours suivant la fin du contrat, avec confirmation écrite.
Article 12. Obligations du Responsable du traitement
12.1. Le Responsable du traitement garantit :
(a) qu'il dispose d'une base juridique valide pour le traitement des données personnelles dans le cadre du présent Accord (exécution du contrat, article 6(1)(b) du RGPD) ;
(b) qu'il a dûment informé les personnes concernées conformément aux articles 13 et 14 du RGPD, notamment sur l'engagement du Sous-traitant et des sous-traitants ultérieurs figurant à l'Annexe 3 ;
(c) qu'il tient un registre des activités de traitement conformément à l'article 30(1) du RGPD ;
(d) que toutes les instructions données au Sous-traitant sont licites et conformes au RGPD ;
(e) qu'il informe sans délai le Sous-traitant de tout changement dans la nature ou le périmètre du traitement susceptible d'affecter les obligations du Sous-traitant.
12.2. Le Responsable du traitement garantit le Sous-traitant contre les réclamations des personnes concernées, des autorités de contrôle ou de tiers résultant du non-respect des obligations prévues au présent article.
Article 13. Traitement automatisé et dispositions relatives à l'IA
13.1. Interdiction absolue d'utilisation à des fins d'entraînement. Les données personnelles traitées dans le cadre du présent Accord ne sont en aucun cas utilisées pour entraîner, affiner ou améliorer des modèles d'intelligence artificielle, que ce soit par le Sous-traitant ou par tout sous-traitant ultérieur. Cette interdiction est absolue et s'applique que les données soient anonymisées ou pseudonymisées.
13.2. Application contractuelle aux sous-traitants ultérieurs. Le Sous-traitant fait respecter l'interdiction d'entraînement contractuellement auprès des sous-traitants ultérieurs impliqués dans le traitement automatisé :
Amazon Web Services EMEA SARL (AWS Bedrock) : En vertu des Conditions d'utilisation des services AWS et de l'Addendum de traitement des données AWS, les données client traitées via AWS Bedrock ne sont pas utilisées pour entraîner des modèles d'IA. Le traitement s'effectue dans la région UE
eu-central-1(Francfort). Les données ne quittent pas l'UE.Google Cloud EMEA Limited (Google Cloud Vertex AI) : En vertu de l'Addendum de traitement des données Google Cloud (§5.2), les données client traitées via Vertex AI ne sont pas utilisées pour entraîner des modèles d'IA. Le traitement s'effectue dans la région UE
europe-west1(Belgique). Les données ne quittent pas l'UE.Microsoft Corporation (Azure Document Intelligence) : En vertu des conditions de traitement des données de Microsoft, les données client traitées via Azure Document Intelligence ne sont pas utilisées pour entraîner des modèles Microsoft.
13.3. Ce qui est transmis aux prestataires d'IA. Pour le traitement automatisé, le Sous-traitant transmet uniquement le contenu textuel des documents (lignes de factures, descriptions, lignes de relevés bancaires) aux prestataires d'IA (AWS Bedrock ou Google Cloud Vertex AI). Les éléments suivants ne sont expressément pas transmis : mots de passe du portail ou jetons d'authentification ; données appartenant à d'autres clients du Responsable du traitement ; données administratives internes ne faisant pas partie du document traité.
13.4. Ce que les prestataires d'IA retournent. Le prestataire d'IA ne renvoie que des résultats de classification structurés (catégorie de TVA, compte du grand livre, résultat de rapprochement). Aucun contenu de document n'est conservé au-delà de la durée de l'appel API.
13.5. Contrôle humain. Tous les résultats générés par le traitement automatisé ont une valeur purement consultative. Le comptable examine et approuve tous les résultats de l'IA avant que toute écriture soit finalisée ou transmise à Exact Online.
13.6. Obligation de migration en cas de changement de politique d'entraînement. Si un sous-traitant ultérieur impliqué dans le traitement automatisé modifie ou annonce une modification de sa politique d'utilisation des données client pour l'entraînement de modèles, le Sous-traitant en informe sans délai le Responsable du traitement par écrit et achève la migration vers un sous-traitant ultérieur alternatif conforme dans les 90 jours suivant l'annonce ou la date d'entrée en vigueur du changement. Jusqu'à la migration complète, le Sous-traitant suspend le traitement automatisé concerné, sauf accord écrit du Responsable du traitement pour poursuivre.
13.7. Droit au traitement sans technologie d'IA. Le Responsable du traitement peut à tout moment demander que des documents spécifiques ou des catégories de documents soient traités sans technologie d'IA (traitement manuel). Le Sous-traitant honore cette demande dans un délai raisonnable. Si le traitement manuel implique un effort substantiellement plus important, le Sous-traitant peut facturer un supplément sur la base des tarifs convenus dans les Conditions générales.
Article 14. Déploiement auto-hébergé
14.1. La Plateforme est disponible en déploiement auto-hébergé dans lequel le routage LLM peut être configuré sur self_hosted_only. Dans cette configuration, toutes les activités de traitement — y compris le traitement automatisé — sont effectuées exclusivement par des modèles d'IA locaux (tels qu'Ollama ou vLLM) fonctionnant au sein de la propre infrastructure du Responsable du traitement.
14.2. Avec le routage self_hosted_only, aucune donnée personnelle ne quitte l'infrastructure du Responsable du traitement pour le traitement automatisé. Dans ce cas, AWS Bedrock et Google Cloud Vertex AI tels que mentionnés à l'Annexe 3 ne s'appliquent pas aux activités de traitement du Responsable du traitement.
14.3. Exact Group B.V. (Exact Online) est un responsable du traitement indépendant avec lequel le Responsable du traitement entretient une relation contractuelle directe. Utisha agit en tant qu'intermédiaire et traite les données dans Exact uniquement sur instruction du Responsable du traitement, à l'aide de l'autorisation API fournie par ce dernier.
14.4. Dans un déploiement auto-hébergé où le Responsable du traitement exploite l'intégralité de l'infrastructure — bases de données, stockage d'objets et serveurs d'applications inclus — au sein de son propre environnement, Hetzner Online GmbH en tant que sous-traitant ultérieur ne s'applique pas. Le Responsable du traitement est alors responsable de la sécurité de sa propre infrastructure.
Article 15. Responsabilité
15.1. La responsabilité des Parties dans le cadre du présent Accord est régie par les Conditions générales.
15.2. Les règles de responsabilité spécifiques du RGPD — notamment l'article 82 du RGPD — s'appliquent pleinement, même si les Conditions générales pourraient limiter la responsabilité à un niveau inférieur.
15.3. Lorsque les deux Parties sont responsables du préjudice causé par le traitement, elles sont solidairement responsables envers la personne concernée, avec répartition interne selon le degré de responsabilité de chaque Partie.
Article 16. Droit applicable et juridiction compétente
16.1. Le présent Accord est régi par le droit des Pays-Bas.
16.2. Les litiges découlant du présent Accord sont soumis à la compétence exclusive des tribunaux compétents d'Amsterdam, conformément à la clause attributive de juridiction des Conditions générales.
Article 17. Dispositions diverses
17.1. Le présent Accord remplace tout accord de traitement des données précédemment conclu entre les Parties portant sur les mêmes activités de traitement.
17.2. Les modifications ne sont valables que si elles sont convenues par écrit. Utisha peut modifier unilatéralement le présent Accord si cela s'avère nécessaire en raison de modifications du RGPD, de la législation d'application, des orientations des autorités de contrôle ou des Services, en donnant un préavis d'au moins 30 jours. En cas d'opposition du Responsable du traitement, la procédure prévue à l'Article 7.4 s'applique par analogie.
17.3. Si une disposition du présent Accord est nulle ou inapplicable, cela ne remet pas en cause la validité des autres dispositions.
Annexe 1 : Description du traitement
| Aspect | Description |
|---|---|
| Objet du traitement | Traitement de documents financiers (factures, notes de crédit, relevés bancaires) aux fins de la préparation des déclarations trimestrielles de TVA des clients du Responsable du traitement |
| Finalité du traitement | (1) Extraction automatisée de données de transaction à partir de factures et de relevés bancaires ; (2) classification selon la catégorie de TVA et suggestion de compte du grand livre ; (3) rapprochement bancaire par mise en correspondance des lignes de relevés bancaires avec les factures ; (4) transmission des écritures approuvées à Exact Online |
| Nature du traitement | Traitement automatisé au moyen de technologies d'intelligence artificielle (OCR, extraction et classification via grand modèle de langage), suivi d'un examen et d'une approbation par le comptable |
| Catégories de données personnelles | Noms, adresses, raisons sociales, numéros IBAN, montants de factures, soldes bancaires, données de transaction, numéros de TVA, numéros KvK, adresses e-mail, numéros de téléphone, horodatages de connexion au portail, dates et heures de chargement des documents, données du journal d'audit de la plateforme |
| Catégories de personnes concernées | (1) Clients du Responsable du traitement (entrepreneurs et PME) ; (2) salariés des clients, tels que mentionnés sur les documents ; (3) fournisseurs et clients des clients, tels que mentionnés sur les factures ou les relevés bancaires ; (4) personnes de contact auprès du Responsable du traitement |
| Durée du traitement | La durée de l'abonnement aux Services tel que défini dans les Conditions générales, plus la période de conservation fiscale de sept ans en vertu de l'article 52 de la loi AWR pour les documents financiers |
| Lieu de traitement | Principal : UE (Hetzner Online GmbH, Gunzenhausen, Allemagne) pour l'hébergement géré. Traitement automatisé : UE (AWS Bedrock, eu-central-1, Francfort, Allemagne ; Google Cloud Vertex AI, europe-west1, Belgique). Pour les déploiements auto-hébergés : la propre infrastructure du Responsable du traitement. Aucune donnée personnelle n'est transférée en dehors de l'EEE. |
Annexe 2 : Mesures techniques et organisationnelles
Le Sous-traitant applique les mesures suivantes pour garantir un niveau de sécurité approprié. Ces mesures sont révisées au moins une fois par an.
Chiffrement
| Mesure | Détail |
|---|---|
| Données au repos | Toutes les informations d'identification d'intégration et les données de configuration sensibles sont chiffrées avec AES-256-GCM. Le stockage des documents utilise le chiffrement côté serveur. |
| Données en transit | Toutes les communications utilisent exclusivement TLS 1.3. Les connexions HTTP sont automatiquement redirigées vers HTTPS. |
| Sauvegardes | Les sauvegardes sont stockées chiffrées ; les clés de chiffrement sont gérées par le Sous-traitant. |
Contrôle d'accès
| Mesure | Détail |
|---|---|
| Gestion des identités | Keycloak Single Sign-On (SSO) avec OpenID Connect (OIDC) pour tous les utilisateurs de la plateforme. |
| Rôles et permissions | Contrôle d'accès basé sur les rôles (RBAC) avec cinq rôles : platform-admin, group-admin, contributor, viewer, auditor. Principe du moindre privilège. |
| Isolation multi-tenant | Séparation stricte des données par organisation via le filtrage par orgId dans toutes les requêtes de base de données. Les données d'un Responsable du traitement ne sont pas accessibles depuis le contexte d'un autre. |
| Accès du personnel | Accès aux données client limité au personnel sur la base du besoin d'en connaître, consigné dans le registre d'accès. |
Authentification
| Mesure | Détail |
|---|---|
| Vérification des jetons | Vérification JWT à chaque requête API nécessitant une authentification. |
| Protection CSRF | Protection contre la falsification de requête intersites (CSRF) via l'en-tête X-Requested-With pour toutes les requêtes modifiant l'état. |
Journalisation et audit
| Mesure | Détail |
|---|---|
| Journal d'audit de la plateforme | Piste d'audit complète de toutes les actions de la plateforme, y compris la création, la modification et l'approbation des résultats de traitement, avec horodatage, utilisateur et action. |
| Journal des transactions automatisées | Enregistrement de toutes les transactions de traitement automatisé (type de document, modèle, résultat, horodatage) pour la conformité au règlement UE sur l'IA et l'audit interne. |
| Conservation | Les journaux d'audit sont conservés pendant la durée de l'obligation légale de conservation fiscale (7 ans) sous forme de journalisation immuable. |
Infrastructure
| Mesure | Détail |
|---|---|
| Hébergement | Hébergement géré via Hetzner Online GmbH, Gunzenhausen, Allemagne (UE). Toutes les données de production sont stockées sur le territoire de l'UE. |
| Sécurité des conteneurs | Les conteneurs Docker fonctionnent en tant qu'utilisateur non root. Images de base officielles avec mises à jour régulières. |
| Segmentation réseau | Les services internes ne sont pas directement accessibles depuis Internet ; tout le trafic passe par Traefik comme proxy inverse. |
Gestion des vulnérabilités
| Sévérité | Délai de réponse |
|---|---|
| Critique (CVSS ≥ 9,0) | Dans les 24 heures suivant la découverte |
| Élevée (CVSS 7,0–8,9) | Dans les 72 heures suivant la découverte |
| Moyenne (CVSS 4,0–6,9) | Dans les 30 jours |
Sauvegardes
Sauvegardes quotidiennes automatisées de toutes les données de production (base de données et stockage d'objets), stockées chiffrées dans un emplacement distinct de l'environnement de production. La capacité de restauration est testée au moins une fois par trimestre.
Annexe 3 : Sous-traitants ultérieurs approuvés
Dernière mise à jour : mars 2026
| Sous-traitant ultérieur | Localisation | Finalité du traitement | Garantie de non-entraînement | Applicable lorsque |
|---|---|---|---|---|
| Amazon Web Services EMEA SARL (AWS Bedrock) | UE — eu-central-1 (Francfort, DE) |
Traitement automatisé : extraction de documents, classification TVA, suggestion de comptes du grand livre, rapprochement bancaire via grands modèles de langage | Oui — les données client ne sont pas utilisées pour l'entraînement de modèles (Conditions d'utilisation AWS et Addendum de traitement des données) | Déploiement cloud géré uniquement. Non applicable avec le routage self_hosted_only. |
| Google Cloud EMEA Limited (Vertex AI) | UE — europe-west1 (Belgique) |
Traitement automatisé : extraction de documents, classification TVA, suggestion de comptes du grand livre, rapprochement bancaire via grands modèles de langage (Gemini) | Oui — les données client ne sont pas utilisées pour l'entraînement de modèles (Google Cloud Data Processing Addendum, §5.2) | Déploiement cloud géré uniquement. Non applicable avec le routage self_hosted_only. |
| Microsoft Corporation (Azure Document Intelligence) | UE — Ouest Europe (Amsterdam, NL) | Prétraitement OCR des documents numérisés | Oui — les données client ne sont pas utilisées pour entraîner des modèles Microsoft | Lorsque la fonctionnalité OCR est utilisée |
| Hetzner Online GmbH | DE (Gunzenhausen / Nuremberg) | Hébergement d'infrastructure : serveurs, bases de données, stockage d'objets | S.O. — hébergement d'infrastructure uniquement | Hébergement géré par le Sous-traitant uniquement. Non applicable en déploiement auto-hébergé. |
Remarque concernant Exact Online : Exact Group B.V. (Exact Online) n'est pas un sous-traitant ultérieur d'Utisha. Le Responsable du traitement entretient une relation contractuelle directe avec Exact en tant que responsable du traitement indépendant. Utisha agit comme intermédiaire et traite les données dans Exact uniquement sur instruction du Responsable du traitement, en utilisant l'autorisation API fournie par ce dernier.
Procédure de modification :
Le Sous-traitant donne au moins 30 jours de préavis écrit pour toute modification prévue des sous-traitants ultérieurs (ajout, remplacement ou modification substantielle). La notification est effectuée par e-mail à l'adresse enregistrée auprès du compte du Responsable du traitement et via une notification dans le tableau de bord de la plateforme.
Le Responsable du traitement peut s'opposer par écrit dans les 30 jours suivant la réception de la notification, en adressant son opposition motivée à dpa@utisha.com. Si aucune résolution n'est trouvée dans les 30 jours supplémentaires, l'une ou l'autre des Parties peut résilier le présent Accord dans la mesure où il se rapporte à l'activité de traitement concernée.
Pour toute question concernant le présent Accord de traitement des données, veuillez contacter : dpa@utisha.com