Informations légales

Accord de traitement
des données.

Annexe de sous-traitance (article 28 du RGPD) aux conditions générales partenaires : notafacto traite les données des entreprises clientes pour le compte du Partenaire, qui en reste responsable. Dernière mise à jour : 30 juin 2026.

Article 1 — Objet et cadre

Le présent accord de traitement des données (l'« Accord ») constitue l'annexe visée à l'article 12 des conditions générales partenaires de notafacto (les « Conditions »). Il encadre, conformément à l'article 28 du Règlement (UE) 2016/679 (le « RGPD »), les traitements de données à caractère personnel que la société NotaFacto, société par actions simplifiée au capital de 5 000,00 €, immatriculée au RCS de Bar-le-Duc sous le numéro SIREN 105 767 289 (SIRET du siège 105 767 289 00017), dont le siège social est situé 20 rue de Verdun, 55000 Vavincourt (« notafacto »), réalise pour le compte du Partenaire dans le cadre de la fourniture du Service de réception des factures électroniques.

Pour ces traitements, le Partenaire agit en qualité de responsable de traitement à l'égard des données de ses Entreprises clientes, et notafacto en qualité de sous-traitant. Les termes commençant par une majuscule non définis dans le présent Accord ont le sens que leur donnent les Conditions (article 3).

Le présent Accord complète les Conditions sans s'y substituer. En cas de contradiction relative à la protection des données personnelles, le présent Accord prévaut pour ce qui concerne ces traitements. Une convention particulière signée entre les parties peut l'aménager (article 1 des Conditions) ; à défaut, le présent Accord s'applique de plein droit du seul fait de l'acceptation des Conditions.

Article 2 — Définitions

Les termes ci-dessous ont, dans le présent Accord, le sens du RGPD ; les autres termes en majuscule conservent la définition que leur donne l'article 3 des Conditions (notamment Partenaire, Entreprise cliente, Plateforme agréée (PA), Réception et Service).

  • Données à caractère personnel (les « Données ») : toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4 du RGPD, traitée par notafacto dans le cadre du Service.
  • Traitement : toute opération portant sur les Données au sens de l'article 4 du RGPD (notamment collecte, conservation, conversion en PDF, transmission, mise à disposition, suppression).
  • Responsable de traitement : le Partenaire, qui détermine les finalités et les moyens du Traitement à l'égard des Données de ses Entreprises clientes.
  • Sous-traitant : notafacto, qui traite les Données pour le compte du Partenaire et sur ses instructions.
  • Sous-traitant ultérieur : tout tiers auquel notafacto recourt pour exécuter des activités de traitement déterminées pour le compte du Partenaire (article 7).
  • Personne concernée : la personne physique dont les Données sont traitées, notamment les représentants, dirigeants et contacts des Entreprises clientes.
  • Violation de données : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des Données, au sens de l'article 4 du RGPD.
  • Autorité de contrôle : la Commission nationale de l'informatique et des libertés (CNIL) pour la France.

Article 3 — Rôles et périmètre

Le Partenaire est responsable de traitement. À ce titre, il détermine les finalités et les moyens du Traitement, garantit disposer d'une base légale pour confier les Données à notafacto et avoir informé les Personnes concernées (notamment du recours à notafacto comme opérateur de la Réception et du passage par la PA), conformément aux articles 11 et 12 des Conditions. Il lui appartient de donner des instructions licites.

notafacto est sous-traitant. Il ne traite les Données que sur instructions documentées du Partenaire, uniquement pour fournir le Service de Réception, et ne les utilise à aucune autre fin (ni à des fins propres, ni au profit de tiers). Les présentes Conditions, le présent Accord et les paramétrages effectués par le Partenaire dans le Service constituent ses instructions documentées ; tout traitement supplémentaire requiert une nouvelle instruction documentée du Partenaire. Si notafacto estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition relative à la protection des données, il en informe le Partenaire sans délai.

Périmètre. Les Traitements couverts par le présent Accord se limitent à ceux nécessaires à la Réception des factures électroniques (article 4 des Conditions). L'émission de factures n'étant pas comprise dans l'offre partenaire, les traitements qui s'y rapportent sont hors périmètre du présent Accord.

Article 4 — Description du traitement

  • Finalités : créer et gérer les comptes des Entreprises clientes rattachées au Partenaire ; récupérer les factures électroniques entrantes via la PA ; les convertir en PDF lisible ; les envoyer par email ; mettre les données à disposition au tableau de bord ; assurer la conservation et l'archivage des factures reçues.
  • Nature des opérations : collecte (récupération via la PA), conversion, conservation, stockage, transmission par email, mise à disposition, et suppression.
  • Catégories de Personnes concernées : les représentants, dirigeants, salariés et contacts des Entreprises clientes ; le cas échéant, les personnes physiques mentionnées sur les factures reçues (émetteurs, contacts).
  • Catégories de Données : données d'identification professionnelle (nom, prénom, fonction), coordonnées (email, téléphone, adresse professionnelle), identifiants de compte et de connexion, et données figurant sur les factures reçues (montants, références, mentions légales et coordonnées professionnelles).
  • Durée : pendant toute la durée de fourniture du Service au Partenaire ; au-delà, les factures reçues sont conservées pendant la durée légale de 10 ans au titre des obligations comptables et fiscales (article 14 des Conditions), puis supprimées dans les conditions de l'article 11 du présent Accord.

Catégories particulières de données. Le Service n'a pas vocation à traiter de données sensibles au sens de l'article 9 du RGPD. Le Partenaire s'engage à ne pas introduire, par le Service, de telles données ni de données relatives à des condamnations pénales.

Article 5 — Obligations de notafacto (sous-traitant)

Conformément à l'article 28 du RGPD, notafacto s'engage à :

  • ne traiter les Données que sur instruction documentée du Partenaire, dans les conditions de l'article 3 ;
  • veiller à ce que les personnes autorisées à traiter les Données s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et limiter l'accès aux seules personnes ayant besoin d'en connaître pour l'exécution du Service ;
  • prendre les mesures de sécurité requises par l'article 32 du RGPD, dans les conditions de l'article 6 ;
  • respecter les conditions de recours à un sous-traitant ultérieur prévues à l'article 7 ;
  • assister le Partenaire pour les demandes d'exercice des droits des Personnes concernées et pour le respect de ses obligations, dans les conditions des articles 8 et 9 ;
  • procéder au sort des Données en fin de Traitement selon l'article 11 ;
  • tenir un registre des catégories d'activités de traitement effectuées pour le compte du Partenaire (article 30.2 du RGPD) et mettre à disposition les informations nécessaires pour démontrer le respect de ses obligations, dans les conditions de l'article 12.

Article 6 — Sécurité (article 32 du RGPD)

notafacto met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, au sens de l'article 32 du RGPD, notamment :

  • hébergement et traitement en France (article 10) ;
  • chiffrement des communications en transit (TLS) et chiffrement au repos des secrets sensibles, notamment les jetons d'accès aux plateformes tierces ;
  • contrôle d'accès et authentification (sessions par jeton sur cookies sécurisés, gestion des droits), mots de passe conservés sous forme hachée ;
  • cloisonnement des données entre Partenaires et entre Entreprises clientes (isolation par locataire) ;
  • journalisation des accès et des opérations sensibles, permettant la traçabilité ;
  • sauvegardes régulières et mesures de restauration ;
  • limitation des accès au personnel habilité, soumis à confidentialité (article 5).

Ces mesures sont réexaminées périodiquement et peuvent évoluer pour tenir compte de l'état de l'art, du coût de mise en œuvre et des risques ; toute évolution maintient un niveau de sécurité au moins équivalent.

Article 7 — Sous-traitants ultérieurs

Le Partenaire donne à notafacto une autorisation générale écrite de recourir à des sous-traitants ultérieurs pour l'exécution du Service. notafacto impose à chacun d'eux, par contrat, des obligations de protection des données équivalentes à celles du présent Accord (article 28.4 du RGPD) et demeure pleinement responsable, à l'égard du Partenaire, de l'exécution par ces tiers de leurs obligations.

À la date du présent Accord, les sous-traitants ultérieurs sont :

  • OVH (OVH SAS) : hébergement de l'infrastructure et stockage des fichiers (PDF des factures reçues) — données hébergées en France.
  • Sweego : acheminement des emails (envoi des factures PDF aux Entreprises clientes) — prestataire français.
  • la Plateforme agréée (PA) : récupération et transmission des factures électroniques dans le cadre réglementaire de la réforme. Le raccordement de chaque Entreprise cliente à la PA requiert son autorisation propre (article 10 des Conditions).

notafacto informe préalablement le Partenaire de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, dans un délai raisonnable. Le Partenaire peut s'y opposer pour des motifs légitimes tenant à la protection des données ; à défaut de solution acceptable pour les deux parties, le Partenaire peut résilier l'offre partenaire pour le traitement concerné, dans les conditions de l'article 14 des Conditions.

Article 8 — Assistance au responsable de traitement

Droits des Personnes concernées. Compte tenu de la nature du Traitement, notafacto aide le Partenaire, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à répondre aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, opposition, portabilité). Si une Personne concernée adresse une telle demande directement à notafacto, celui-ci la transmet sans délai au Partenaire et n'y répond pas lui-même, sauf instruction documentée contraire.

Obligations du Partenaire. Compte tenu de la nature du Traitement et des informations à sa disposition, notafacto assiste le Partenaire pour : la sécurité du Traitement (article 32 du RGPD) ; la notification des Violations de données (articles 33 et 34, dans les conditions de l'article 9) ; la réalisation des analyses d'impact relatives à la protection des données (article 35) et la consultation préalable de l'Autorité de contrôle (article 36).

Cette assistance s'entend dans la limite du raisonnable et du périmètre du Service ; l'assistance excédant les obligations légales de notafacto ou nécessitant des développements spécifiques peut faire l'objet d'un devis préalable.

Article 9 — Violation de données

En cas de Violation de données, notafacto notifie le Partenaire dans les meilleurs délais après en avoir pris connaissance (article 33.2 du RGPD), afin de lui permettre de respecter ses propres obligations de notification.

La notification précise, dans la mesure des informations disponibles : la nature de la Violation (y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés) ; les conséquences probables ; les mesures prises ou proposées pour y remédier et en atténuer les effets ; et un point de contact. Si ces informations ne peuvent être fournies en une seule fois, elles le sont de manière échelonnée sans retard indu.

La notification à l'Autorité de contrôle (article 33) et, le cas échéant, la communication aux Personnes concernées (article 34) incombent au Partenaire, responsable de traitement ; notafacto lui apporte une coopération raisonnable et ne procède pas lui-même à ces notifications, sauf instruction documentée contraire.

Article 10 — Localisation et transferts hors UE

Les Données sont hébergées et traitées en France. notafacto et ses sous-traitants ultérieurs (article 7) traitent les Données au sein de l'Union européenne.

notafacto ne réalise aucun transfert de Données vers un pays tiers à l'Union européenne ou une organisation internationale. Si un tel transfert devait s'avérer nécessaire, il ne pourrait intervenir qu'avec l'autorisation documentée préalable du Partenaire et sous réserve des garanties appropriées exigées par le chapitre V du RGPD (articles 44 et suivants), sauf obligation légale à laquelle notafacto serait soumis — auquel cas il en informe le Partenaire avant le traitement, à moins que le droit applicable ne l'interdise.

Article 11 — Sort des données en fin de traitement

Au terme de la fourniture du Service, notafacto, au choix du Partenaire, lui restitue les Données ou les supprime, et supprime les copies existantes, sauf obligation légale de conservation (article 28.3.g du RGPD).

Réserve de conservation légale. Les factures reçues sont conservées pendant la durée légale de 10 ans au titre des obligations comptables et fiscales (article 14 des Conditions) ; pendant cette durée, elles restent récupérables auprès du support. À l'issue de cette durée, elles sont supprimées.

Continuité de service. La fin de la relation partenaire n'éteint pas l'obligation légale de chaque Entreprise cliente de pouvoir recevoir ses factures électroniques. Conformément à l'article 14 des Conditions, notafacto peut contacter directement les Entreprises clientes pour leur proposer la poursuite de la Réception en relation directe ; les Personnes concernées en sont informées dès le raccordement (article 10 des Conditions). Les Données d'une Entreprise cliente qui choisit cette poursuite sont alors traitées au titre de cette nouvelle relation directe, distincte du présent Accord.

Article 12 — Audit et documentation

notafacto met à la disposition du Partenaire les informations nécessaires pour démontrer le respect des obligations du présent Accord et de l'article 28 du RGPD, et permet la réalisation d'audits, y compris des inspections, par le Partenaire ou un auditeur qu'il a mandaté (article 28.3.h du RGPD).

L'audit se déroule selon des modalités raisonnables : sur préavis écrit d'au moins 30 jours, pendant les heures ouvrées, une fois par an au maximum (sauf incident de sécurité avéré ou demande d'une Autorité de contrôle), sans perturber le fonctionnement du Service, et dans le respect de la confidentialité et de la sécurité des données des autres clients de notafacto. notafacto peut satisfaire à cette obligation en fournissant la documentation, les rapports ou les certifications pertinents. Les coûts de l'audit sont à la charge du Partenaire, sauf si l'audit révèle un manquement substantiel imputable à notafacto.

Article 13 — Responsabilité

Chaque partie répond des dommages causés par un traitement qui méconnaît les obligations du RGPD lui incombant, dans les conditions de l'article 82 du RGPD. La responsabilité contractuelle de notafacto au titre du présent Accord est soumise aux limitations et plafonds de l'article 15 des Conditions.

Le Partenaire, responsable de traitement, garantit notafacto contre les conséquences de l'absence de base légale ou de l'absence d'information des Personnes concernées qui lui incombent (articles 3, 11 et 12 des Conditions), ainsi que de toute instruction dont l'illicéité ne serait pas manifeste pour notafacto.

Article 14 — Durée, modification et droit applicable

Le présent Accord entre en vigueur avec l'acceptation des Conditions et s'applique pendant toute la durée de l'offre partenaire. Les stipulations qui, par nature, doivent lui survivre — notamment le sort des Données (article 11), la confidentialité et la conservation légale — demeurent en vigueur après son terme, le temps nécessaire.

notafacto peut modifier le présent Accord dans les conditions de l'article 16 des Conditions (notification préalable des modifications substantielles, la poursuite de l'utilisation valant acceptation, faculté de résiliation sans frais avant l'entrée en vigueur).

Le présent Accord est soumis au droit français ; les litiges relèvent de la juridiction désignée à l'article 17 des Conditions. Les questions relatives au traitement des données personnelles peuvent être adressées à rgpd@notafacto.fr.