Annexe 1 — Convention de Traitement des Données à Caractère Personnel Compthello

Préambule

1. Qualification des Parties au regard du RGPD

1.1 — Entreprise en qualité de responsable de traitement

L'Entreprise est responsable de traitement, au sens de l'article 4.7 du RGPD, des Données à Caractère Personnel la concernant et concernant ses Associés, ses dirigeants, ses salariés, ses partenaires commerciaux, ses fournisseurs et ses Tiers invités, qu'elle transmet à la Plateforme ou qui sont collectées via la Plateforme dans le cadre de son utilisation de Compthello.

L'Entreprise identifie et documente, pour chaque finalité de traitement mise en œuvre via la Plateforme, la base légale applicable au sens de l'article 6 du RGPD.

1.2 — Compthello en qualité de sous-traitant

Compthello intervient en qualité de sous-traitant, au sens de l'article 4.8 du RGPD, des Données à Caractère Personnel décrites à l'Appendice 1 de la présente DPA. Compthello ne traite ces Données à Caractère Personnel que pour le compte et selon les instructions documentées de l'Entreprise, telles que résultant des CGS Compthello, des CGU Compthello et de la présente DPA.

1.3 — Cabinet en qualité de responsable de traitement distinct

Lorsque l'Entreprise invite son Cabinet à utiliser la Plateforme, le Cabinet intervient en qualité de responsable de traitement distinct des Données à Caractère Personnel le concernant et concernant son propre personnel, dans le cadre de la relation cabinet-client. Le Cabinet et l'Entreprise organisent entre eux, en dehors de la présente DPA et conformément à leur propre relation contractuelle, les modalités de leur coopération en matière de protection des données à caractère personnel.

Compthello n'intervient pas comme l'arbitre des obligations RGPD pesant entre l'Entreprise et son Cabinet.

1.4 — Compthello en qualité de responsable de traitement autonome

Pour certaines opérations de traitement déterminées, et notamment la gestion du Compte de l'Entreprise, la facturation, la gestion des incidents de sécurité, la prévention de la fraude, la journalisation d'audit avec adresse IP et user-agent (article 8.2 des CGU Compthello), et le respect de ses obligations légales, Compthello intervient en qualité de responsable de traitement autonome. Ces traitements relèvent de la Politique de confidentialité accessible à l'adresse compthello.com/confidentialite et ne sont pas régis par la présente DPA.

2. Bases légales des traitements

2.1 — Identification des bases légales par l'Entreprise

L'Entreprise, en sa qualité de responsable de traitement, identifie et documente, pour chaque finalité de traitement mise en œuvre via la Plateforme, la base légale applicable au sens de l'article 6 du RGPD. Compthello ne se substitue pas à l'Entreprise dans le choix des bases légales.

2.2 — Bases légales typiquement applicables

À titre indicatif, les bases légales typiquement applicables aux traitements mis en œuvre via la Plateforme sont les suivantes :

• l'exécution du contrat conclu entre l'Entreprise et ses partenaires commerciaux, fournisseurs ou Tiers invités, ou l'exécution de mesures précontractuelles prises à la demande de ces derniers, au sens de l'article 6.1.b du RGPD ;
• le respect d'une obligation légale à laquelle l'Entreprise est soumise, et notamment les obligations de tenue comptable, de déclarations fiscales et sociales, au sens de l'article 6.1.c du RGPD ;
• la poursuite des intérêts légitimes de l'Entreprise, au sens de l'article 6.1.f du RGPD, notamment dans le cadre du pilotage de son activité et de la gestion de sa relation avec son Cabinet et ses Tiers invités ;
• le consentement de la personne concernée, au sens de l'article 6.1.a du RGPD, lorsque celui-ci constitue la base légale appropriée, et notamment pour les communications transmises aux Tiers invités via le mécanisme d'Invitations de tiers.

2.3 — Catégories particulières de Données à Caractère Personnel

La Plateforme n'est pas conçue pour traiter des Données à Caractère Personnel relevant des catégories particulières au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données concernant la santé, etc.). L'Entreprise s'interdit de transmettre de telles Données à Caractère Personnel à la Plateforme et garantit Compthello contre toute conséquence d'un manquement à cette interdiction.

3. Instructions documentées

En concluant les CGS Compthello et la présente DPA, l'Entreprise donne instruction à Compthello de traiter les Données à Caractère Personnel exclusivement pour les finalités suivantes :

• la fourniture de la Plateforme et de l'ensemble de ses fonctionnalités ;
• la connexion sécurisée aux comptes bancaires professionnels de l'Entreprise via le prestataire GoCardless Bank Account Data, conformément à la réglementation européenne sur les services de paiement (DSP2) ;
• la réception et l'exploitation des Données comptables transmises par le Cabinet via les connecteurs natifs aux logiciels de production comptable ;
• la production de signaux, d'alertes, d'Indicateurs et de Tableaux de bord à partir des Données traitées ;
• la mise en œuvre du module Compthello IA pour la fourniture d'explications pédagogiques contextualisées sur les seules Données de l'Entreprise ;
• l'hébergement et le stockage chiffré des Données à Caractère Personnel sur les infrastructures cloud sous-traitées ;
• la fourniture du module de paiement Stripe pour le règlement des prestations Cabinet ;
• la fourniture du module de signature électronique avancée Yousign pour les Dossiers de financement et les lettres de mission ;
• la mise en œuvre du mécanisme d'Invitations de tiers, incluant la gestion des accès, l'horodatage, la traçabilité et la révocation ;
• l'onboarding via l'API Pappers, aux fins de récupération automatique des informations légales d'identification de l'Entreprise ;
• toute autre opération expressément autorisée par écrit, et reconnue comme telle par Compthello.

Compthello s'interdit de traiter, transférer, modifier, dévoiler ou utiliser les Données à Caractère Personnel pour toute autre finalité, sauf si une obligation légale l'y contraint, auquel cas elle en informera l'Entreprise préalablement, sauf interdiction légale de notification.

4. Confidentialité multi-associés

4.1 — Principe du cloisonnement strict

Le principe du cloisonnement strict entre Associés, énoncé à l'article 5.3 des CGU Compthello, constitue une caractéristique essentielle de la Plateforme et une mesure technique et organisationnelle de protection au sens de l'article 32 du RGPD.

Compthello met en œuvre les mesures techniques et organisationnelles appropriées pour garantir qu'aucune Donnée à Caractère Personnel d'un Associé n'est jamais partagée avec un autre Associé sans accord explicite et préalable de l'Associé concerné, et notamment :

• les réponses individuelles au Profil enrichi ;
• les conversations Compthello IA ;
• les notes, annotations et brouillons personnels ;
• les préférences et configurations personnelles ;
• l'historique de navigation au sein de la Plateforme.

4.2 — Sécurisation technique

Le cloisonnement strict est mis en œuvre par isolation logique au niveau de la base de données, des règles d'autorisation Firestore et des règles de sécurité des Cloud Functions, avec audit régulier de l'effectivité du cloisonnement.

5. Confidentialité du personnel de Compthello

Compthello met en œuvre les mesures organisationnelles raisonnables pour que toute personne autorisée à traiter les Données à Caractère Personnel pour son compte soit soumise à une obligation contractuelle de confidentialité au moins équivalente à celle prévue dans la présente DPA, formée aux exigences du RGPD applicables à son périmètre d'intervention, et informée du caractère confidentiel des Données à Caractère Personnel.

6. Mesures techniques et organisationnelles de sécurité

Compthello met en place et maintient en vigueur les mesures techniques et organisationnelles appropriées prévues par l'article 32 du RGPD pour assurer un niveau de sécurité adapté au risque, conformément à l'état de l'art à la date de leur mise en œuvre.

Le détail des mesures techniques et organisationnelles mises en œuvre par Compthello figure à l'Appendice 2 de la présente DPA. Au titre des présentes, Compthello souscrit à une obligation de moyens renforcée.

7. Incidents affectant les Données à Caractère Personnel

En cas de violation de Données à Caractère Personnel au sens de l'article 4.12 du RGPD, Compthello notifiera l'incident à l'Entreprise sans délai injustifié et au plus tard dans les soixante-douze (72) heures à compter de sa prise de connaissance, prendra dans les meilleurs délais les mesures raisonnables pour limiter l'impact de l'incident, et transmettra l'ensemble des informations utiles permettant le respect des obligations au titre des articles 33 et 34 du RGPD.

L'Entreprise demeure seule responsable de la notification de l'incident à l'autorité de contrôle compétente, de l'information des personnes concernées le cas échéant, et de toute communication publique relative à l'incident.

8. Assistance dans le respect des obligations

8.1 — Demandes des personnes concernées

Compthello met à disposition, à travers la Plateforme et conformément aux fonctionnalités existantes, les moyens techniques permettant de répondre aux demandes d'exercice des droits des personnes concernées au titre des articles 15 à 22 du RGPD (accès, rectification, effacement, limitation, portabilité, opposition).

Si Compthello reçoit directement une demande émanant d'une personne concernée, elle redirigera cette personne vers l'Entreprise, en sa qualité de responsable de traitement.

8.2 — Analyses d'impact et consultations préalables

Sur demande motivée, Compthello apportera une assistance raisonnable à la réalisation des analyses d'impact relatives à la protection des données prévues à l'article 35 du RGPD et aux consultations préalables prévues à l'article 36 du RGPD, dans la mesure où Compthello dispose des informations nécessaires.

9. Sous-traitants ultérieurs

9.1 — Autorisation générale

L'Entreprise autorise expressément Compthello, par la signature des CGS Compthello et de la présente DPA, à recourir à des sous-traitants ultérieurs pour l'exécution des traitements, sous réserve du respect des conditions énoncées au présent article.

9.2 — Liste des sous-traitants ultérieurs autorisés à la date de signature

À la date de signature de la présente DPA, les sous-traitants ultérieurs autorisés sont les suivants. Pour chacun, la nature du traitement, la localisation des données et les garanties juridiques applicables sont précisées.

La liste à jour des sous-traitants ultérieurs est publiée et tenue à jour à l'adresse compthello.com/sous-traitants.

9.3 — Notification de tout nouveau sous-traitant ultérieur

Toute désignation d'un nouveau sous-traitant ultérieur fait l'objet d'une notification préalable par voie électronique, avec un préavis minimum de trente (30) jours. L'Entreprise peut notifier son opposition motivée dans ce délai, et en cas de désaccord persistant, peut résilier son Abonnement sans frais ni pénalité.

9.4 — Garanties contractuelles imposées aux sous-traitants ultérieurs

Compthello conclut avec chaque sous-traitant ultérieur un contrat écrit imposant des obligations en matière de protection des données équivalentes à celles prévues par la présente DPA. Compthello demeure pleinement responsable du respect par les sous-traitants ultérieurs de leurs obligations.

10. Transferts de Données à Caractère Personnel hors Union européenne

À la date de signature de la présente DPA, l'ensemble des Données à Caractère Personnel traitées par Compthello et ses sous-traitants ultérieurs autorisés est hébergé et traité exclusivement au sein de l'Union européenne. Aucun transfert vers un pays tiers n'est effectué dans le cadre du fonctionnement standard de la Plateforme.

11. Audit de conformité

11.1 — Principe et fréquence

L'Entreprise bénéficie d'un droit d'audit de conformité, à ses frais exclusifs, à raison d'un (1) audit tous les deux (2) ans, d'une durée maximale de trois (3) jours ouvrés, par un auditeur indépendant qu'elle désigne.

11.2 — Préavis et modalités

Toute demande d'audit doit être adressée à Compthello par écrit, à l'adresse support@athena-pilote.com, avec un préavis minimum de soixante (60) jours. L'audit s'effectue, sauf accord contraire, à distance via les outils dédiés mis à disposition par Compthello.

11.3 — Éléments expressément exclus du périmètre de l'audit

Sont expressément exclus du périmètre de l'audit :

• les Données à Caractère Personnel et données techniques relatives à d'autres clients de Compthello ;
• le code source, l'architecture technique, les paramètres de configuration et les modèles d'apprentissage propres aux moteurs de la Plateforme, qui constituent un savoir-faire stratégique de Compthello protégé au titre du secret des affaires ;
• les données financières internes de Compthello ;
• les données à caractère personnel relatives aux salariés, prestataires et collaborateurs de Compthello.

12. Retour et suppression des Données à Caractère Personnel

12.1 — Pendant la durée de l'Abonnement

Pendant toute la durée de l'Abonnement, l'Entreprise peut accéder aux Données à Caractère Personnel la concernant, les rectifier, les compléter, en limiter le traitement ou les supprimer, dans la mesure où la Plateforme offre cette fonctionnalité.

12.2 — À l'issue de l'Abonnement

À l'issue de l'Abonnement, l'Entreprise dispose d'un délai de soixante (60) jours pour exporter ses Données. À l'expiration de ce délai, l'ensemble des Données à Caractère Personnel est supprimé de manière définitive et irréversible, sous réserve des durées de conservation impératives prévues par la loi.

12.3 — Conservation prolongée des documents certifiés

Par exception à l'article 12.2, les documents certifiés par le Cabinet (Tableaux de bord certifiés, Dossiers de financement certifiés) sont conservés pendant une durée de dix (10) ans à compter de leur date de certification, conformément aux règles de conservation comptable applicables aux professionnels de l'expertise comptable.

L'Entreprise peut demander la communication de ces documents pendant cette période par requête adressée à support@athena-pilote.com.

12.4 — Données bancaires post-résiliation

À l'issue de l'Abonnement, la connexion auprès de GoCardless Bank Account Data est révoquée sans délai. Les Données bancaires historiques sont conservées en lecture seule pendant le délai de soixante (60) jours mentionné à l'article 12.2, puis supprimées définitivement.

13. Registre des activités de traitement

Compthello tient à jour un registre des activités de traitement effectuées pour le compte de l'Entreprise, conformément à l'article 30.2 du RGPD. Sur demande motivée, Compthello met à disposition les informations pertinentes du registre.

14. Durée et survivance

La présente DPA prend effet à la date d'acceptation des CGS Compthello et demeure en vigueur pendant toute la durée de l'Abonnement, ainsi que pendant la durée nécessaire à la suppression effective des Données à Caractère Personnel à l'issue de l'Abonnement.

15. Contact et coordonnées

Pour toute question relative au traitement des Données à Caractère Personnel, l'Entreprise peut adresser sa demande à l'adresse électronique suivante :

support@athena-pilote.com

Adresse postale : Aven Finance & Recouvrement, à l'attention du responsable de la protection des données, 114 rue des martyrs de la résistance, 59160 Lomme, France.

L'Entreprise dispose en outre du droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, 75007 Paris.

Compthello est géré par l'équipe Athéna.

Appendice 1 — Caractéristiques des traitements

Objet du traitement

Fourniture par Compthello à l'Entreprise de la Plateforme Compthello (incluant les modules de connexion bancaire via GoCardless, consultation des Données comptables, création d'Indicateurs et de Tableaux de bord, certification par le Cabinet, Invitations de tiers, paiement Stripe Connect, signature électronique Yousign, assistance Compthello IA) et des services associés, conformément aux CGS Compthello et aux CGU Compthello.

Catégories de personnes concernées

• les Associés rattachés à l'Entreprise (dirigeants, mandataires sociaux, associés au capital) ;
• les salariés et collaborateurs de l'Entreprise dont les Données apparaissent dans les Données comptables ou les Données bancaires ;
• les dirigeants et représentants du Cabinet invité par l'Entreprise ;
• les Tiers invités (banque, fournisseurs, partenaires commerciaux, investisseurs) auxquels l'Entreprise a donné accès à des Tableaux de bord ou Dossiers de financement ;
• toute personne physique dont les Données à Caractère Personnel apparaissent dans les Données comptables, bancaires, factures, échanges et autres pièces traités via la Plateforme.

Catégories de Données à Caractère Personnel

• Identité et coordonnées : civilité, nom, prénom, adresse postale, adresse électronique, numéro de téléphone, fonction au sein de l'Entreprise.
• Données bancaires : transactions, libellés, montants, dates de valeur et de comptabilisation, solde du compte, identifiant de compte (IBAN), nom du créancier ou du débiteur, code transaction, et toute autre information transmise par GoCardless Bank Account Data dans le cadre de la connexion DSP2.
• Données comptables : écritures comptables, soldes, balances, comptes du Plan Comptable Général, agrégats et toute autre information transmise par le Cabinet via les connecteurs natifs aux logiciels de production comptable.
• Données déclaratives : réponses individuelles au Profil enrichi (lorsqu'il est posé), notes personnelles, paramétrages, configurations d'Indicateurs personnalisés, compositions de Tableaux de bord.
• Conversations Compthello IA : questions posées par les Associés et réponses générées par Compthello IA.
• Données administratives et légales : numéro SIREN, numéro SIRET, code NAF, identifiants fiscaux et sociaux de l'Entreprise.
• Données d'usage et de connexion : journaux de connexion, données d'horodatage, données de consommation des fonctionnalités, métadonnées comportementales, adresse IP et user-agent (journalisation systématique aux fins de sécurité, traçabilité et prévention de la fraude).
• Données relatives aux Invitations de tiers : adresse électronique du Tiers invité, scope d'accès, mode d'accès, durée de validité, journal des accès effectués par le Tiers invité.

Localisation des traitements

L'ensemble des Données à Caractère Personnel est traité et hébergé exclusivement au sein de l'Union européenne, sur les infrastructures de Google Cloud EMEA Limited (région multi-régionale européenne eur3) et, le cas échéant, des autres sous-traitants ultérieurs visés à l'article 9 de la présente DPA.

Finalités des traitements

• fourniture de la Plateforme et de ses fonctionnalités ;
• hébergement et stockage chiffré des données ;
• connexion bancaire DSP2 via GoCardless et production des signaux et alertes associés ;
• exploitation des Données comptables transmises par le Cabinet pour la production des Indicateurs et Tableaux de bord ;
• exécution du module Compthello IA pour la fourniture d'explications pédagogiques ;
• fourniture des services de paiement Stripe Connect et de signature électronique Yousign ;
• onboarding via Pappers ;
• gestion des Invitations de tiers et journalisation des accès ;
• journalisation des accès et actions à des fins de sécurité, traçabilité et prévention de la fraude (avec IP et user-agent) ;
• support technique et résolution des incidents.

Durées de conservation des Données à Caractère Personnel

Les Données à Caractère Personnel sont conservées pendant toute la durée de l'Abonnement, augmentée du délai de soixante (60) jours d'export gratuit prévu à l'article 12.2 de la présente DPA.

Pour les documents certifiés par le Cabinet (Tableaux de bord certifiés, Dossiers de financement certifiés) : conservation pendant dix (10) ans à compter de leur date de certification, conformément aux règles de conservation comptable.

Pour les données d'audit (IP, user-agent, journal d'actions) : conservation pendant au moins douze (12) mois, conformément aux obligations légales et aux nécessités de sécurité.

Au-delà des durées prévues, les Données à Caractère Personnel sont supprimées définitivement, sous réserve des durées de conservation impératives prévues par la loi (notamment en matière comptable, fiscale et de prescription).

Appendice 2 — Mesures techniques et organisationnelles de sécurité

Compthello met en œuvre les mesures techniques et organisationnelles suivantes, conformes à l'état de l'art à la date de leur mise en œuvre.

1. Mesures de chiffrement

• chiffrement des données au repos sur les infrastructures de stockage (Firestore, BigQuery) ;
• chiffrement en transit par TLS 1.2 ou supérieur pour toutes les communications entre les Utilisateurs et la Plateforme ;
• chiffrement des credentials des connexions bancaires et des connecteurs comptables au moyen du service Google Cloud Key Management Service (KMS) en mode envelope encryption multi-tenant ;
• gestion sécurisée des clés de chiffrement, avec rotation périodique.

2. Mesures de contrôle d'accès

• authentification systématique des Utilisateurs par identifiant et mot de passe ;
• authentification à deux facteurs obligatoire pour tous les Comptes Associés ;
• politique de gestion des accès reposant sur le principe du moindre privilège côté collaborateurs Compthello ;
• révocation systématique des accès en cas de départ ou de changement d'affectation ;
• journalisation systématique des actions et accès, incluant l'adresse IP et le user-agent, conservée pendant au moins douze (12) mois.

3. Mesures de cloisonnement

• cloisonnement multi-associés : isolation logique stricte des Données personnelles entre Associés rattachés à une même Entreprise, mise en œuvre au niveau des règles d'autorisation Firestore et des Cloud Functions, garantissant qu'aucun Associé n'accède aux Données personnelles d'un autre Associé sans accord explicite préalable.
• cloisonnement humain renforcé : dans le cadre du fonctionnement standard de la Plateforme, les collaborateurs de Compthello n'accèdent pas en clair aux Données bancaires, aux Données comptables, aux écritures détaillées et aux conversations Compthello IA. Des accès humains exceptionnels demeurent possibles dans les cas strictement encadrés énoncés à l'article 8.1 des CGU Compthello.
• confidentialité renforcée du contenu des conversations Compthello IA : aucun accès humain à ce contenu dans le cadre du fonctionnement standard, et engagement contractuel de non-utilisation de ce contenu pour l'entraînement ou le perfectionnement des modèles d'intelligence artificielle.
• isolation logique des données entre clients de la Plateforme.
• isolation des Invitations de tiers : les Tiers invités n'ont accès qu'au scope précis défini par l'Entreprise pour leur invitation, sans accès à aucune autre Donnée du Compte de l'Entreprise.

4. Mesures de protection contre les attaques

• dispositifs de protection contre les attaques par déni de service distribué (DDoS) au niveau de l'infrastructure cloud ;
• filtrage applicatif (WAF) ;
• test d'intrusion réalisé au moins une fois par an par un tiers indépendant ;
• revue de code et de configuration de sécurité régulière.

5. Mesures de continuité

• sauvegardes automatiques régulières des Données à Caractère Personnel ;
• réplication géographique au sein de l'Union européenne ;
• plan de continuité d'activité et de reprise après sinistre tenu à jour.

6. Mesures spécifiques aux Données bancaires

• conformité au cadre réglementaire DSP2 et au mandat AISP du sous-traitant GoCardless ;
• consentement explicite de l'Utilisateur obligatoire à chaque connexion bancaire et tous les quatre-vingt-dix (90) jours par renouvellement de consentement ;
• aucun stockage par Compthello des identifiants bancaires de l'Entreprise, qui demeurent exclusivement entre les mains de l'établissement bancaire et de GoCardless ;
• révocation immédiate de la connexion bancaire à la demande de l'Entreprise.

7. Mesures spécifiques aux Invitations de tiers

• génération d'un token JWT chiffré à durée de vie limitée pour chaque Invitation de tiers ;
• application d'un filigrane dynamique (watermark) sur tout document téléchargé par un Tiers invité, mentionnant l'identité du Tiers, la date et un identifiant unique de traçabilité ;
• journalisation systématique de chaque accès Tiers invité, consultable à tout moment par l'Entreprise ;
• révocation immédiate possible de toute Invitation de tiers, avec effet bloquant l'accès dans la seconde qui suit.

8. Mesures organisationnelles

• formation du personnel de Compthello aux exigences du RGPD et aux bonnes pratiques de sécurité ;
• engagement contractuel de confidentialité de l'ensemble des collaborateurs ;
• politique de gestion des incidents de sécurité, avec procédure de notification dans les soixante-douze (72) heures ;
• registre des activités de traitement tenu à jour conformément à l'article 30.2 du RGPD ;
• adresse unique de contact pour toute question RGPD : support@athena-pilote.com.

Fin de la DPA Compthello V1