Retour

Contrat de sous-traitance des données (DPA)

PDF

S2M Consulting SAS — Éditeur du service Artisan 360 Société par actions simplifiée au capital variable SIREN 819 859 273 · SIRET 819 859 273 00016 · TVA FR47 819859273 · RCS Paris · Code NAF 7022Z 10 rue des Rambervilliers, 75012 Paris, France Président : M. Tom Weisz Contact RGPD : dpo@artisan360.fr

Version 1.0 — Dernière mise à jour : 17 avril 2026

Préambule

Le présent contrat de sous-traitance (ci-après « DPA » ou « Avenant ») est conclu au titre de l'article 28 du Règlement (UE) 2016/679RGPD ») et encadre les traitements de données à caractère personnel réalisés par S2M Consulting SAS pour le compte du Client (ci-après « l'Entreprise » ou le « Responsable de traitement ») dans le cadre du service Artisan 360, plateforme SaaS de gestion d'activité pour les artisans et petites entreprises du bâtiment (devis, factures, chantiers, relances, photos horodatées, signature électronique, fonctionnalités d'intelligence artificielle).

Il est conclu automatiquement lors de l'acceptation des CGU/CGV par l'Entreprise et forme un avenant indivisible du contrat principal. En cas de contradiction avec les CGU/CGV pour les aspects de protection des données, le présent DPA prévaut.

Entre :

  • L'Entreprise — artisan, auto-entrepreneur, TPE ou PME du bâtiment titulaire d'un compte Artisan 360, ci-après le « Responsable de traitement » ;

  • S2M Consulting SAS, société par actions simplifiée au capital variable, SIREN 819 859 273, RCS Paris, dont le siège est situé 10 rue des Rambervilliers, 75012 Paris, représentée par son Président M. Tom Weisz, ci-après le « Sous-traitant ».

Ensemble dénommées les « Parties ».

Article 1 — Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles le Sous-traitant s'engage à effectuer pour le compte du Responsable de traitement les opérations de traitement de données à caractère personnel décrites à l'article 2, conformément aux obligations prévues aux articles 28 et suivants du RGPD et à la loi Informatique et Libertés n° 78-17 du 6 janvier 1978 modifiée.

Article 2 — Description des traitements

2.1 Finalités

Le Sous-traitant est autorisé à traiter pour le compte du Responsable de traitement les données nécessaires pour fournir les services suivants :

# Finalité Base légale (art. 6 RGPD)
1 Hébergement et stockage des données de devis, factures, chantiers et documents associés 6.1.b — exécution du contrat
2 Génération et envoi de devis par courriel aux Clients Finaux 6.1.b — exécution du contrat
3 Génération et envoi de factures par courriel aux Clients Finaux 6.1.b — exécution du contrat
4 Relances automatisées de paiement auprès des Clients Finaux 6.1.f — intérêt légitime du créancier
5 Stockage des photos de chantier avec métadonnées EXIF (horodatage, géolocalisation) 6.1.b + 6.1.f — preuve de prestation
6 Signature électronique des devis par les Clients Finaux (horodatage, IP, user-agent) 6.1.b + 6.1.f — preuve contractuelle
7 Fonctionnalités d'intelligence artificielle (suggestion de prix, analyse vocale, assistant conversationnel) 6.1.b — exécution du contrat
8 Authentification, gestion des comptes et du parcours Utilisateur 6.1.b — exécution du contrat
9 Statistiques d'usage agrégées et amélioration du Service 6.1.f — intérêt légitime
10 Transcription vocale des devis par IA (Whisper-large-v3 via Groq) 6.1.b — exécution du contrat

2.2 Nature des opérations

Collecte, structuration, enregistrement, conservation, adaptation, consultation, extraction, transmission par diffusion, rapprochement, effacement, destruction.

2.3 Catégories de personnes concernées

  • Clients Finaux de l'Entreprise (particuliers commanditaires de travaux BTP, personnes morales donneurs d'ordre) ;
  • Salariés et sous-traitants de l'Entreprise éventuellement mentionnés dans les dossiers chantiers ;
  • Tiers figurant incidemment sur les photos de chantier (riverains, ouvriers d'autres corps de métier, occupants du logement).

2.4 Catégories de données traitées

Catégorie Exemples Sensibilité
Identification Nom, prénom, raison sociale, SIRET du Client Final Standard
Contact Email, téléphone, adresse postale Standard
Financier Montant devis/facture, RIB/IBAN du Client Final (si paiement), historique de paiement Sensible
Chantier Adresse du chantier, nature des travaux, planning Standard
Photos Photos horodatées avec métadonnées EXIF (date, coordonnées GPS) Potentiellement sensible
Communications Courriels envoyés (devis, factures, relances), réponses du Client Final Standard
Juridique Clauses contractuelles, mentions décennale, autoliquidation TVA Standard
Preuve de signature IP, user-agent, horodatage, identifiant de session du signataire Standard
Vocal Enregistrements audio dictés par l'Utilisateur pour transcription devis (Whisper-large-v3 via Groq) Standard

Photos de chantier : les photos peuvent contenir incidemment des personnes physiques identifiables. Le Responsable de traitement s'engage à cadrer raisonnablement ses prises de vue pour limiter ces captations non nécessaires à la preuve de prestation et, en cas de capture identifiante volontaire, à obtenir le consentement préalable des personnes concernées.

Aucune donnée dite « sensible » au sens de l'article 9 RGPD (santé, orientation sexuelle, opinions politiques, croyances religieuses, etc.) n'est traitée par le Sous-traitant dans le cadre du Service.

2.5 Durée

La durée du traitement correspond à la durée du contrat d'abonnement du Responsable de traitement au Service Artisan 360, incluant :

  • Pendant le contrat : conservation active dans l'abonnement ;
  • Après résiliation :
    • accès en lecture et export des données pendant 90 jours ;
    • suppression effective des données non légalement obligatoires sous 30 jours à l'issue de cette période d'export, soit environ 120 jours maximum après résiliation ;
  • Documents comptables (factures) : conservation 10 ans au-delà de l'année de clôture comptable (art. L. 123-22 du Code de commerce) ;
  • Photos de chantier : durée du dossier + 10 ans (couverture décennale, art. 1792 du Code civil) ;
  • Preuve de signature électronique : durée du dossier + 10 ans ;
  • Logs techniques (IP, user-agent, tokens) : 12 mois (art. L. 34-1 CPCE).

Article 3 — Obligations du Responsable de traitement

Le Responsable de traitement s'engage à :

  1. Documenter par écrit toute instruction spécifique concernant le traitement des données par le Sous-traitant ;
  2. Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD de la part du Sous-traitant ;
  3. Informer ses propres Clients Finaux du traitement de leurs données (mention d'information dans les devis et factures, disponible par défaut dans l'aperçu Artisan 360) ;
  4. Recueillir le consentement des personnes dont les photos capteraient volontairement des tiers identifiables, ou assurer la base légale adéquate ;
  5. Ne pas charger dans Artisan 360 de documents contenant des données sensibles au sens de l'article 9 RGPD ;
  6. Exercer les droits des personnes concernées qui s'adressent directement à lui (accès, rectification, effacement, portabilité, opposition, limitation).

Article 4 — Obligations du Sous-traitant

4.1 Principes généraux

S2M Consulting SAS s'engage à :

  1. Traiter les données uniquement pour les finalités décrites à l'article 2 ;
  2. Traiter les données conformément aux instructions documentées du Responsable de traitement ;
  3. Garantir la confidentialité des données traitées ;
  4. Veiller à ce que les personnes autorisées à traiter les données s'engagent à respecter la confidentialité et soient formées au RGPD ;
  5. Prendre en compte, s'agissant de ses outils, produits, applications ou services, les principes de protection des données dès la conception et de protection des données par défaut (art. 25 RGPD).

4.2 Sous-traitance ultérieure

Le Sous-traitant peut faire appel aux sous-traitants ultérieurs suivants :

Sous-traitant Rôle Localisation Garanties
S2M Consulting / Friday Hébergement de l'application Artisan 360 France (datacenter) Infrastructure dédiée sous administration directe
Hostinger International Ltd. Gestion des noms de domaine et du site vitrine Chypre (UE) — 61 Lordou Vironos St., 6023 Larnaca Conforme RGPD, contrat de sous-traitance UE
Brevo (SendinBlue SAS) Envoi d'emails transactionnels (devis, factures, relances, vérifications) France (UE) DPA Brevo conforme, données en UE
Stripe Payments Europe Ltd + Stripe Inc. Traitement des paiements de l'abonnement Artisan 360 Irlande (UE) + États-Unis SCCs 2021/914, certifications PCI-DSS
Anthropic PBC (Claude) Fonctionnalités d'intelligence artificielle États-Unis SCCs 2021/914, minimisation des données, pas d'entraînement sur les données Utilisateur
Groq Inc. Transcription vocale (Whisper-large-v3) pour création de devis à partir d'une dictée États-Unis SCCs 2021/914, zero data retention (audio supprimé immédiatement après transcription), pas d'entraînement

Toute modification de cette liste (ajout ou remplacement de sous-traitant ultérieur) fera l'objet d'une information préalable du Responsable de traitement par email ou via l'interface, avec un délai de 30 jours pour formuler une objection motivée. En l'absence d'objection, le changement est réputé accepté. En cas d'objection persistante, le Responsable de traitement pourra résilier le contrat sans frais ni pénalité.

La liste à jour est accessible sur demande à dpo@artisan360.fr.

4.3 Droit d'information des personnes concernées

Le Sous-traitant fournit dans l'interface Artisan 360 les mentions d'information standardisées à destination des Clients Finaux, accessibles depuis chaque devis et facture envoyés, conformément aux articles 13 et 14 du RGPD. Le Responsable de traitement peut les personnaliser.

4.4 Exercice des droits des personnes

Le Sous-traitant répond dans les meilleurs délais aux demandes d'exercice de droits (accès, rectification, effacement, portabilité, opposition, limitation) qui lui seraient adressées directement, en les relayant au Responsable de traitement compétent, ou en fournissant les moyens techniques d'y donner suite via l'interface.

Une interface d'export est disponible dans le dashboard Utilisateur (formats CSV et JSON pour les données liées au compte, PDF pour les documents générés).

4.5 Notification des violations de données

Le Sous-traitant notifie au Responsable de traitement toute violation de données à caractère personnel dans un délai maximum de 48 heures ouvrées à compter de la prise de connaissance, afin de permettre au Responsable de traitement de respecter son propre délai légal de 72 heures auprès de la CNIL (art. 33 RGPD).

Cette notification est transmise par email à l'adresse renseignée par le Responsable de traitement, et comprend :

  • la nature de la violation et, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
  • les conséquences probables de la violation ;
  • les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4.6 Aide du Sous-traitant dans le respect des obligations du Responsable

Sur demande écrite, le Sous-traitant aide le Responsable de traitement pour :

  • la réalisation d'analyses d'impact relatives à la protection des données (AIPD, art. 35 RGPD) lorsque requises ;
  • la consultation préalable de la CNIL (art. 36 RGPD) ;
  • la réponse aux demandes des personnes concernées (art. 12 et suivants RGPD).

4.7 Mesures de sécurité (art. 32 RGPD)

Le Sous-traitant met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : TLS 1.3 sur tous les flux (Caddy reverse proxy) ;
  • Chiffrement des mots de passe : bcrypt (cost ≥ 12) ;
  • Authentification : JWT signé HS256, cookies HttpOnly + Secure + SameSite=Lax ;
  • Vérification email : double opt-in avec token expirant ;
  • Protection contre le brute force : rate limiting de 7 tentatives de connexion par IP et par fenêtre de 15 minutes sur /api/auth/login ;
  • Isolation multi-tenant : cloisonnement strict par organizationId vérifié à chaque requête ;
  • Sauvegardes : PostgreSQL dump quotidien chiffré (GPG RSA 4096), rétention 30 jours, restauration testée mensuellement ;
  • Logs d'accès : journalisation des accès aux ressources sensibles, rétention 12 mois ;
  • Mise à jour de sécurité : dépendances surveillées, patch sous 7 jours pour les failles critiques ;
  • Accès aux serveurs : SSH par clé, désactivation authentification mot de passe, réseau privé Tailscale ;
  • Minimisation : collecte limitée aux données nécessaires à chaque finalité.

4.8 Sort des données en fin de contrat

Au terme de la prestation, le Sous-traitant s'engage à :

  • offrir un accès en lecture et export pendant 90 jours après résiliation, dans les formats CSV, JSON et PDF ;
  • procéder à la suppression effective des copies existantes dans un délai maximum de 30 jours à l'issue de la période d'export (soit environ 120 jours maximum après résiliation) ;
  • conserver néanmoins, de manière chiffrée et isolée, les documents soumis à obligation légale de conservation (notamment 10 ans pour factures et documents comptables au titre de l'article L. 123-22 du Code de commerce) ;
  • attester par écrit de la destruction effective sur demande du Responsable de traitement.

4.9 Registre des catégories d'activités de traitement

Le Sous-traitant déclare tenir par écrit un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Responsable de traitement, conformément à l'article 30.2 du RGPD. Registre disponible sur demande à dpo@artisan360.fr.

4.10 Documentation et audit

Le Sous-traitant met à la disposition du Responsable de traitement la documentation nécessaire pour démontrer le respect de toutes ses obligations. Le Responsable de traitement peut, à ses frais, faire réaliser un audit de conformité par un tiers indépendant sélectionné d'un commun accord, avec un préavis de 30 jours et dans la limite d'un audit par an hors incident de sécurité.

Article 5 — Délégué à la protection des données (DPO)

S2M Consulting SAS ne dispose pas, à la date de signature du présent DPA, d'un DPO désigné au sens de l'article 37 RGPD, les obligations de désignation n'étant pas remplies eu égard à la taille et à l'activité actuelle de l'entité.

Contact RGPD pour toute demande relative au traitement :

  • Courriel : dpo@artisan360.fr
  • Courrier : S2M Consulting SAS — À l'attention du responsable RGPD — 10 rue des Rambervilliers, 75012 Paris, France

Délai de réponse cible : un mois à compter de la réception de la demande, extensible à trois mois pour les demandes complexes (art. 12 RGPD).

Article 6 — Transferts de données hors Union européenne

Les sous-traitants ultérieurs situés hors UE (Anthropic PBC, Stripe Inc., Groq Inc.) présentent les garanties appropriées suivantes :

  • Stripe Inc. / Stripe Payments Europe Ltd : traitement principal en Irlande (UE) ; les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types 2021/914 de la Commission européenne ; certifications PCI-DSS Level 1 ;
  • Anthropic PBC (Claude) : Clauses Contractuelles Types 2021/914 ; engagement contractuel de minimisation des données et de non-utilisation à des fins d'entraînement des modèles.
  • Groq Inc. : Clauses Contractuelles Types 2021/914 ; zero data retention (les enregistrements audio sont supprimés immédiatement après transcription) ; pas d'entraînement sur les données Utilisateur.

Aucune donnée ne transite vers des pays ne bénéficiant pas d'un niveau de protection adéquat ou, à défaut, non encadré par des garanties appropriées au sens des articles 45 et 46 du RGPD.

Article 7 — Responsabilité

La responsabilité de chaque Partie au titre du présent DPA est engagée conformément aux dispositions du RGPD (art. 82) et du droit applicable au contrat principal. Les limitations de responsabilité prévues aux CGU/CGV s'appliquent, sous réserve des dispositions impératives du RGPD.

Article 8 — Audit

Le Responsable de traitement peut, à ses frais, faire réaliser un audit de conformité du Sous-traitant par un tiers indépendant sélectionné d'un commun accord, avec un préavis raisonnable de 30 jours et dans la limite d'un audit par an sauf incident de sécurité.

Article 9 — Entrée en vigueur et modifications

Le présent DPA entre en vigueur à compter de l'acceptation des CGU/CGV par le Responsable de traitement, qui vaut signature du présent Avenant.

Toute modification substantielle du présent DPA fera l'objet d'une notification au Responsable de traitement par email ou via l'interface avec un préavis de 30 jours avant entrée en vigueur. L'utilisation continue du Service après entrée en vigueur vaut acceptation de la version modifiée.

Article 10 — Loi applicable et juridiction

Le présent DPA est soumis au droit français. Tout litige relatif à son interprétation ou à son exécution sera, à défaut de résolution amiable dans un délai de 60 jours, porté devant les tribunaux compétents du ressort de la Cour d'appel de Paris, sous réserve des règles impératives applicables aux consommateurs.

Signatures

Pour le Sous-traitant — S2M Consulting SAS Tom Weisz, Président Acceptation par signature électronique associée à la mise en ligne publique du présent document à l'URL /legal/dpa.

Pour le Responsable de traitement — L'Entreprise Acceptation par case à cocher horodatée lors de l'acceptation des CGU/CGV sur le Service Artisan 360, en application de l'article 1366 du Code civil.

Fin du DPA Artisan 360 — v1.0 — 17 avril 2026

Document publié à l'adresse https://artisan360.fr/legal/dpa et téléchargeable en PDF à /dpa-artisan360.pdf.

CGU/CGV·Confidentialité·DPA RGPD·Mentions légales