Accord de Sous-Traitance des Données (DPA)
Version : 1.1 Date d'entrée en vigueur : 2026-04-27 Langue : Français (Belgique)
Préambule
Le présent Accord de Sous-Traitance des Données (« DPA ») est conclu entre :
- Le Responsable du Traitement (« vous », « le Client ») : la personne physique ou morale ayant souscrit à un compte Dirigia et utilisant les services pour traiter les données personnelles de tiers (clients finaux, fournisseurs, salariés, etc.).
- Le Sous-Traitant : Dirigia (Matteo Sayeh, indépendant personne physique, exerçant sous la dénomination commerciale « Dirigia », inscrit à la BCE sous le n° 1030.708.043, n° TVA BE 1030.708.043, dont le siège est situé 2 Les Cerisiers, 4800 Verviers, Belgique, ci-après « Dirigia »), opérant le service SaaS accessible à dirigia.app.
Ce DPA est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et de la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.
Le DPA prévaut sur toute disposition contraire des Conditions Générales d'Utilisation pour les questions de protection des données.
1. Objet et durée du traitement
Objet : Dirigia traite les données personnelles que le Client lui confie via la plateforme afin de fournir les fonctionnalités de gestion d'entreprise (facturation, devis, comptabilité, banking, dépenses, équipe, relation client, assistance IA, etc.).
Durée : la durée du contrat principal (abonnement Dirigia), augmentée des périodes de rétention légale belge applicables aux données comptables (10 ans, loi du 20 novembre 2022 portant dispositions fiscales et financières diverses, applicable depuis le 01/01/2023 — modifiant CIR 92 art. 315 et CTVA art. 60).
2. Nature et finalité du traitement
Nature : stockage, indexation, calculs comptables et fiscaux, génération de documents PDF, envoi d'emails et de SMS pour le compte du Client, intégrations avec services tiers (Peppol, Open Banking via Ponto Connect, Gmail OAuth, etc.), assistance par IA (Claude, OpenAI Whisper, Mindee).
Finalité : fournir les services contractuels souscrits. Aucune utilisation à des fins propres de Dirigia (analyse marketing, vente de données, profilage commercial), à l'exception des logs techniques anonymes et des métriques agrégées d'usage produit.
3. Types de données et catégories de personnes concernées
| Catégorie de données | Catégorie de personnes |
|---|---|
| Identité (nom, prénom, raison sociale, BCE/TVA) | Clients du Client, fournisseurs, salariés, associés |
| Coordonnées (email, téléphone, adresse) | Clients du Client, fournisseurs, salariés |
| Données financières (factures, transactions bancaires, IBAN) | Clients, fournisseurs, salariés (bulletins) |
| Données fiscales (TVA, déclarations, écritures comptables) | Le Client lui-même, ses clients (BCE/TVA) |
| Métadonnées d'usage (logs, audit_log) | Utilisateurs de la plateforme (le Client + équipe) |
| Contenu d'emails Gmail (si OAuth activé) | Correspondants du Client |
| Conversations IA (transcriptions vocales, prompts) | Le Client et ses utilisateurs |
Aucune donnée sensible au sens de l'article 9 RGPD (origine raciale, opinions politiques, données de santé, etc.) n'est traitée par Dirigia. Le Client s'engage à ne pas en saisir.
4. Obligations de Dirigia (article 28 §3 RGPD)
a) Traitement sur instruction documentée du Client
Dirigia ne traite les données personnelles que pour l'exécution du contrat et selon les instructions documentées du Client (paramétrage du compte, fonctionnalités utilisées, intégrations activées). Toute instruction supplémentaire doit être adressée par écrit à privacy@dirigia.app.
Dirigia informe immédiatement le Client si une instruction lui paraît contraire au RGPD ou au droit belge.
b) Confidentialité
Dirigia veille à ce que les personnes autorisées à traiter les données du Client soient soumises à une obligation contractuelle de confidentialité. À ce jour, Dirigia opère avec un effectif restreint dont chaque membre a signé un engagement de confidentialité écrit.
c) Mesures de sécurité (article 32 RGPD)
Voir Annexe B (TOM — Mesures Techniques et Organisationnelles).
d) Sous-traitants ultérieurs
Dirigia recourt à des sous-traitants ultérieurs listés à l'Annexe A. Toute modification de cette liste fait l'objet d'une notification au Client par email avec un préavis raisonnable, le Client pouvant s'y opposer dans un délai de 30 jours.
e) Aide aux droits des personnes concernées
Dirigia met à disposition du Client les fonctionnalités lui permettant de répondre aux demandes d'exercice des droits des personnes concernées (accès, rectification, effacement, portabilité). Notamment :
- Droit d'accès / rectification : consultable et éditable directement dans l'interface Dirigia.
- Droit à l'effacement (art. 17) : disponible via Paramètres → RGPD → Supprimer mon compte. Workflow async avec confirmation email + délai 24h. Conservation légale 10 ans des factures émises et livres comptables (loi du 20/11/2022) avec anonymisation des PII.
- Droit à la portabilité (art. 20) : export ZIP complet (JSON + CSV + binaires) disponible via Paramètres → RGPD → Exporter mes données.
f) Aide au respect des articles 32 à 36 RGPD
Dirigia assiste le Client en cas d'analyse d'impact (AIPD), de consultation préalable, ou de notification de violation. Délai de notification de violation : 72 heures au plus tard à compter de la constatation, par email à l'adresse de contact du compte Client + via la cloche notifications de l'interface.
g) Sort des données en fin de contrat
À la cessation des prestations, le Client peut au choix :
- Exporter ses données via la fonction Art. 20 (jusqu'à 30 jours après cessation).
- Demander la suppression du compte via la fonction Art. 17.
Les données comptables retenues légalement sont conservées de manière anonymisée pendant 10 ans (loi du 20/11/2022, alignement sur le délai de prescription en cas de fraude), sans accès du Client ni de Dirigia (sauf injonction d'autorité), puis purgées définitivement.
h) Mise à disposition des informations
Dirigia met à disposition du Client toutes les informations nécessaires pour démontrer le respect du présent DPA, dans la limite des obligations de confidentialité dues à ses propres prestataires et au secret des affaires. Le Client peut demander un audit documentaire à privacy@dirigia.app, à la fréquence raisonnable d'un audit par an.
5. Notification de violation de données
En cas de violation affectant les données du Client, Dirigia notifie le Client dans les 72 heures par email + notification dans l'interface, en précisant :
- La nature de la violation, les catégories et le nombre approximatif de personnes et d'enregistrements concernés.
- Les conséquences probables.
- Les mesures prises ou proposées pour atténuer.
- Les coordonnées du DPO ou du point de contact (privacy@dirigia.app).
Cette notification est cumulative avec les obligations propres du Client en cas de notification à l'APD belge (art. 33 RGPD) ou à ses personnes concernées (art. 34 RGPD).
6. Transferts hors UE
Certains sous-traitants ultérieurs sont basés hors UE (États-Unis principalement). Pour ces transferts, Dirigia s'appuie sur :
- Les Clauses Contractuelles Types approuvées par la Commission européenne (décision 2021/914) signées avec ces prestataires.
- Le EU-US Data Privacy Framework lorsque le prestataire y adhère (Vercel, Anthropic, Google, etc.).
Voir Annexe A pour la localisation de chaque sous-traitant.
7. Durée et résiliation
Le présent DPA est en vigueur tant que le Client a un compte Dirigia actif. Il survit à la résiliation pour les obligations de rétention, suppression, et coopération aux demandes des personnes concernées.
8. Droit applicable et juridiction
Droit belge. Compétence exclusive des tribunaux de Bruxelles, sauf si le RGPD impose une autre juridiction.
ANNEXE A — Sous-traitants ultérieurs
Voir le document à jour : legal/subprocessors-v1.md.
ANNEXE B — Mesures Techniques et Organisationnelles (TOM)
Sécurité technique
- Chiffrement en transit : TLS 1.2+ obligatoire pour toutes les connexions.
- Chiffrement au repos : Postgres avec chiffrement disque (Supabase managé). Tokens OAuth (Gmail, Ponto) chiffrés AES-256-GCM avec clé dédiée stockée hors base.
- Isolation multi-tenant : Row Level Security (RLS) Postgres avec policies basées sur
auth.uid()etcurrent_company_ids(). Aucune donnée d'un tenant accessible à un autre. - Sauvegardes : snapshots quotidiens Postgres (Supabase), rétention 7 jours minimum.
- Authentification : mots de passe hashés (bcrypt via Supabase Auth), magic-link, Google SSO disponible.
Sécurité opérationnelle
- Audit log : chaque action sensible (envoi facture Peppol, signature DPA, suppression de compte) est tracée avec user_id, IP, timestamp, métadonnées.
- Rate limiting : Upstash Redis sur les routes critiques (auth, AI, webhooks, exports RGPD).
- Monitoring : Sentry pour erreurs serveur. PostHog pour analytics produit (événements métier, pas de PII).
Sécurité organisationnelle
- Accès aux données de production : restreint à l'équipe Dirigia, audité dans le journal d'accès Supabase.
- Engagement de confidentialité : obligatoire pour tout intervenant.
- Rotation des secrets : au minimum annuelle, immédiate en cas de fuite suspectée.
Historique des versions
| Version | Date | Changements |
|---|---|---|
| 1.0 | 2026-04-27 | Version initiale (Sprint C RGPD pré-go-live) |
| 1.1 | 2026-04-27 | Mise à jour des durées de rétention légale (7 → 10 ans) suite à la loi du 20 novembre 2022 portant dispositions fiscales et financières diverses (M.B. 30/11/2022). Aucune modification matérielle des engagements de Dirigia ; ajustement de la référence légale pour cohérence avec le droit belge applicable depuis le 01/01/2023. |
Pour toute question : privacy@dirigia.app