Accord de traitement des données (DPA)
Dernière mise à jour : 25 avril 2026
Le présent accord de traitement des données (« DPA ») complète les Conditions Générales de Vente et encadre le traitement des données à caractère personnel effectué par Corely.me (SIREN 894 108 059, le « Sous-traitant ») pour le compte du Client (le « Responsable de traitement »), conformément à l'article 28 du Règlement Général sur la Protection des Données (RGPD — UE 2016/679).
1. Définitions
Les termes en majuscules ont le sens qui leur est donné dans le RGPD. Les termes spécifiques sont définis dans les CGU et CGV.
2. Objet du traitement
Le Sous-traitant traite les données personnelles dans le seul but de fournir le Service Corely au Client (« Finalité »).
3. Description du traitement
| Élément | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, consultation, modification, suppression, sauvegarde |
| Catégories de personnes concernées | Salariés, dirigeants, prospects, clients et fournisseurs du Client ; sous-traitants freelances ; bénéficiaires (DAS2) ; utilisateurs finaux du Client. |
| Catégories de données | Données d'identification (nom, prénom, email, téléphone), données professionnelles (poste, salaire, contrat), données financières (factures, écritures, IBAN, transactions bancaires), données fiscales (SIRET, TVA), données crypto (adresses wallet), données sociales (numéro SS, DSN). |
| Données sensibles | Aucune donnée sensible au sens de l'article 9 du RGPD n'est traitée par le Service par défaut. |
| Durée du traitement | Durée de l'Abonnement + 30 jours d'export + durées légales de conservation |
4. Obligations du Sous-traitant
Conformément à l'article 28 du RGPD, Corely s'engage à :
- Ne traiter les données que sur instruction documentée du Client (constituée notamment par les CGV, CGU et présent DPA).
- Garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'Article 5.
- Respecter les conditions de recours à un sous-traitant ultérieur (Article 6).
- Aider le Client à donner suite aux demandes des personnes concernées.
- Aider le Client dans le respect de ses obligations de notification de violations.
- Restituer ou supprimer les données à la fin du contrat (Article 8).
- Mettre à disposition les informations nécessaires pour démontrer le respect du DPA, et permettre la réalisation d'audits.
5. Mesures techniques et organisationnelles
5.1 Sécurité technique
- Chiffrement TLS 1.3 en transit, AES-256 au repos.
- Hashage des mots de passe avec bcrypt (12 rounds).
- Authentification multi-facteurs disponible (TOTP).
- Rotation et expiration des tokens d'accès (JWT court + refresh).
- API keys hachées (SHA-256) en base, jamais stockées en clair.
- Webhooks sortants signés HMAC-SHA256.
- Cloisonnement multi-tenant strict via
orgId(jamais accepté du body utilisateur).
5.2 Sécurité organisationnelle
- Accès aux données de production limité au personnel autorisé, journalisé.
- Politique de mots de passe forts pour les administrateurs.
- Sensibilisation et formation continue du personnel à la sécurité.
- Procédure documentée de gestion des incidents et violations de données.
5.3 Disponibilité et résilience
- Sauvegardes quotidiennes chiffrées, conservées 30 jours, point-in-time recovery.
- Réplication multi-zone sur l'infrastructure OVH.
- Monitoring 24/7 (Loki, Prometheus, Grafana).
5.4 Tests
- Tests d'intrusion, fréquence: bi-annuel
- Audit de code et revue de sécurité avant chaque release majeure.
- Programme de divulgation responsable : contact@corely.me.
6. Sous-traitants ultérieurs
Le Client autorise expressément Corely à recourir aux sous-traitants ultérieurs listés ci-dessous pour l'exécution du Service. Corely informera le Client par email ou via la plateforme de tout changement (ajout, remplacement) avec un préavis de 30 jours, période pendant laquelle le Client peut s'opposer pour des motifs légitimes.
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hébergement infrastructure et stockage | France (Roubaix) | ISO 27001, HDS, RGPD-compliant |
| Bridge SA | Synchronisation bancaire DSP2 | France | Agréé ACPR, DSP2-compliant |
| Coinbase, Inc. (CDP) | Wallets crypto custody | États-Unis | Data Privacy Framework, SOC 2 |
| Stripe Payments Europe Ltd. | Paiement abonnements | Irlande | RGPD-compliant, PCI-DSS |
7. Transferts hors UE
Lorsqu'un transfert hors Espace Économique Européen est nécessaire, Corely s'assure qu'il est encadré par :
- Une décision d'adéquation de la Commission européenne ;
- Le cadre Data Privacy Framework (UE — États-Unis) pour les sous-traitants américains certifiés ;
- À défaut, des Clauses Contractuelles Types adoptées par la Commission.
8. Restitution et suppression
À la fin du contrat, le Client dispose d'un délai de 30 jours pour exporter ses données via les fonctionnalités d'export (CSV, JSON, FEC, Factur-X). Au-delà, Corely supprime définitivement les données des serveurs de production.
Les sauvegardes contenant ces données sont effacées dans un délai supplémentaire maximum de 30 jours, sous réserve des durées légales de conservation des pièces comptables (10 ans, art. L123-22 du Code de commerce).
9. Notification des violations
En cas de violation de données personnelles concernant le Client, Corely notifie le Client sans délai injustifié, et au plus tard dans les 72 heures après en avoir pris connaissance, à l'adresse de contact indiquée par le Client. La notification contient :
- Description de la nature de la violation.
- Catégories et nombre approximatif de personnes concernées.
- Conséquences probables.
- Mesures prises ou envisagées pour limiter les conséquences.
- Coordonnées du DPO.
10. Audit
Le Client peut, dans la limite d'un audit par an et sous réserve d'un préavis de 30 jours, demander un audit du dispositif de protection des données mis en place par Corely. L'audit pourra prendre la forme d'un questionnaire écrit, d'un échange documentaire, ou d'une visite sur site (frais à la charge du Client).
Pour les Clients Enterprise, Corely fournit annuellement un rapport de conformité synthétique.
11. Coopération avec les autorités
Corely informe le Client de toute demande émanant d'une autorité de contrôle ou judiciaire concernant les données du Client, sauf interdiction légale.
12. Modifications
Corely peut faire évoluer le présent DPA pour tenir compte des évolutions légales ou techniques. Toute modification substantielle sera notifiée au Client avec un préavis de 30 jours.
13. Conflit avec les autres documents contractuels
En cas de contradiction entre les CGV, les CGU et le présent DPA concernant la protection des données personnelles, le DPA prévaut.
14. Contact DPO
- Email : contact@corely.me
- Adresse postale : 4 rue Copernic, 59700 Marcq-en-Baroeul