Accord de traitement des données (DPA)

Conformément à l'article 28 du RGPD — Dernière mise à jour : avril 2026

1. Rôles des parties

Le Client agit en qualité de responsable de traitement. Corflow agit en qualité de sous-traitant au sens du RGPD.

2. Objet du traitement

Corflow traite les données personnelles des clients du Client (noms, emails, téléphones) dans le cadre de l'envoi automatisé de relances de factures et de la gestion des documents commerciaux.

3. Durée

Le traitement dure pendant toute la durée du contrat de service. À la fin du contrat, les données sont supprimées sous 30 jours, sauf obligation légale de conservation.

4. Obligations de Corflow

• Traiter les données uniquement selon les instructions documentées du Client
• Garantir la confidentialité des données
• Mettre en œuvre les mesures de sécurité appropriées (chiffrement, isolation des instances, contrôle d'accès)
• Assister le Client dans le respect de ses obligations RGPD
• Notifier le Client de toute violation de données dans un délai de 72h
• Supprimer ou restituer les données à la fin du contrat

5. Sous-traitants ultérieurs

Corflow fait appel aux sous-traitants suivants :

• Railway (hébergement) — EU Frankfurt
• Supabase (base de données) — EU
• Brevo (envoi d'emails) — France
• Stripe (paiements) — EU/US avec SCC

6. Transferts hors UE

Les données sont hébergées en Europe. En cas de transfert vers un pays tiers, des clauses contractuelles types (SCC) approuvées par la Commission européenne sont mises en place.

7. Droits des personnes

Corflow assiste le Client pour répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, suppression, portabilité).

8. Sécurité

• Instance dédiée par client (isolation complète des données)
• Chiffrement des données en transit (TLS) et au repos
• Authentification sécurisée (email/password + magic link)
• Row Level Security sur toutes les tables
• Journalisation des accès