Accord de traitement des données (DPA)

1. Définitions

Les termes commençant par une majuscule ont la signification qui leur est donnée dans les CGU/CGV, la Politique de Confidentialité ou dans le RGPD. En particulier :

• « Données à caractère personnel »: toute information se rapportant à une personne physique identifiée ou identifiable, au sens de l'article 4.1 du RGPD.
• « Données Client » : Données à caractère personnel renseignées ou générées par le Client ou ses Utilisateurs sur la Plateforme (données des collaborateurs, documents RH, congés, notes de frais, bulletins de paie produits nativement par la Plateforme, etc.) et traitées par byusage. pour le compte du Client.
• « Personnes concernées » : les personnes physiques dont les Données Client sont traitées, notamment les collaborateurs du Client.
• « Sous-traitant ultérieur » : toute personne physique ou morale à laquelle byusage. fait appel pour réaliser des activités de traitement spécifiques pour le compte du Client.
• « Violation de données »: toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, la modification, la divulgation non autorisée ou l'accès non autorisé à des Données à caractère personnel, au sens de l'article 4.12 du RGPD.

2. Objet et durée

2.1. Objet

Le présent DPA a pour objet de définir les conditions dans lesquelles byusage., en qualité de sous-traitant, traite pour le compte du Client les Données Client nécessaires à la fourniture de la Plateforme, conformément aux CGU/CGV.

2.2. Durée

Le présent DPA entre en vigueur à la date de souscription du Client à la Plateforme et reste applicable pendant toute la durée des CGU/CGV. Il prend fin à la résiliation ou à l'expiration des CGU/CGV, sous réserve des stipulations survivantes (article 12).

3. Description des traitements

3.1. Nature et finalité

byusage. traite les Données Client pour le compte du Client aux fins exclusives de fourniture, administration, maintenance, sécurisation et évolution de la Plateforme, notamment pour la production native des bulletins de paie via Assistant Paie, et d'exécution des CGU/CGV. byusage. n'utilise les Données Client pour aucune autre finalité, sauf instruction documentée du Client ou obligation légale.

3.2. Catégories de Personnes concernées

• Collaborateurs (salariés, stagiaires, alternants, apprentis, intérimaires) du Client, actifs, suspendus ou supprimés selon le statut renseigné ou appliqué sur la Plateforme.
• Anciens collaborateurs, dans la limite des durées de conservation définies par le Client ou imposées par la loi.
• Intervenants externes invités par le Client (cabinet comptable, freelance, prestataire) occupant un siège dans l'espace du Client.
• Toute personne tierce dont le Client renseigne les données dans le cadre de sa gestion RH (ex. : notes de frais, bénéficiaires).

3.3. Catégories de Données Client traitées

• Données d'identification (nom, prénom, date de naissance, adresse, email, téléphone).
• Données professionnelles et contractuelles (poste, type de contrat, date d'embauche, rémunération, temps de travail, convention collective applicable).
• Données relatives aux congés, absences et temps de travail.
• Documents RH (contrats, avenants, bulletins de paie produits nativement par la Plateforme via Assistant Paie, pièces d'identité, justificatifs fournis par le Client).
• Données relatives aux notes de frais (montants, catégories, justificatifs).
• Variables de paie (heures supplémentaires, indemnités, primes, maintien de salaire, subrogation IJSS) traitées par le moteur de calcul interne Assistant Paie.
• Métadonnées techniques associées aux comptes (statut actif / suspendu / supprimé, numéro de version de jeton permettant la révocation de sessions).

3.4. Catégories particulières de données (article 9 RGPD)

La Plateforme n'est pas conçue pour collecter, à titre principal, des catégories particulières de données (santé, convictions religieuses, opinions politiques, origine ethnique, etc.). Le Client s'engage à ne renseigner de telles données que lorsque la réglementation applicable l'y autorise et à mettre en œuvre les garanties appropriées. byusage. ne saurait être tenu responsable des conséquences d'un renseignement illicite de telles catégories par le Client.

3.5. Opérations de traitement

Les opérations de traitement comprennent notamment : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, la consultation, l'utilisation à des fins techniques, la modification, l'extraction, la limitation, le chiffrement, la suppression, l'export pour portabilité, le calcul URSSAF et conventions collectives via Assistant Paie, l'édition PDF native des bulletins, la distribution par coffre-fort numérique, ainsi que la modification automatisée du statut des comptes Utilisateurs (suspension en cas de mise en pause de l'espace, réactivation) découlant du paramétrage contractuel choisi par le Client.

4. Obligations et rôles respectifs

4.1. Responsable de traitement (Client)

Le Client, en sa qualité de responsable de traitement :

• détermine les finalités et les moyens du traitement des Données Client ;
• garantit la licéité du traitement et le respect des principes de l'article 5 du RGPD ;
• informe les Personnes concernées et recueille le cas échéant leurs consentements, notamment s'agissant des collaborateurs et de la transmission de leurs données à un outil SIRH tiers ;
• répond aux demandes d'exercice des droits des Personnes concernées ;
• fournit à byusage. des instructions documentées conformes au droit applicable ;
• configure correctement la Plateforme (quota de sièges, paramètres de sécurité, gestion des comptes Utilisateurs, conventions collectives applicables) en cohérence avec ses collaborateurs et ses obligations propres.

4.2. Sous-traitant (byusage.)

byusage., en qualité de sous-traitant, s'engage à :

• traiter les Données Client uniquement sur la base d'instructions documentées du Client, y compris en cas de transfert hors EEE, sauf obligation légale ;
• informer immédiatement le Client si une instruction paraît manifestement contraire au droit applicable ;
• garantir que les personnes autorisées à traiter les Données Client sont soumises à une obligation de confidentialité appropriée ;
• mettre en œuvre les mesures techniques et organisationnelles décrites à l'annexe 1 ;
• aider le Client, dans la mesure du possible, à remplir ses propres obligations, notamment en matière de réponse aux demandes des Personnes concernées (article 5 du présent DPA), de sécurité, de notification de violations et de réalisation d'AIPD ;
• restituer ou supprimer les Données Client à la fin des prestations (article 10) ;
• mettre à disposition du Client les informations nécessaires à la démonstration de sa conformité, notamment par le biais d'audits (article 11).

4.3. Instructions documentées

Les instructions initiales du Client sont celles découlant des CGU/CGV, de la Politique de Confidentialité, du présent DPA et du paramétrage de son compte sur la Plateforme. Toute instruction complémentaire ou spécifique devra être formalisée par écrit (email suffisant) et pourra, si elle dépasse le périmètre standard du Service, donner lieu à une facturation additionnelle convenue d'un commun accord. Le Client reconnaît notamment comme instructions documentées :

• l'ajustement automatisé du quota de sièges (ajouts ou retraits) avec proration au prorata temporis sur la période de facturation en cours (CGU/CGV art. 5.2) ;
• la mise en pause automatisée de l'espace en cas d'expiration de la Période d'Essai sans enregistrement d'un moyen de paiement (CGU/CGV art. 4) ;
• la mise en pause automatisée de l'espace et la suspension corrélative des accès Utilisateurs en cas d'échec définitif de paiement à l'issue du cycle de relance du prestataire de paiement (CGU/CGV art. 5.5) ;
• la mise en pause définitive de l'espace en cas de contestation bancaire perdue par byusage. (CGU/CGV art. 5.8) ;
• la production native des bulletins de paie via Assistant Paie selon les conventions collectives et paramètres URSSAF configurés par le Client.

5. Assistance au Client

5.1. Exercice des droits des Personnes concernées

byusage. met à disposition du Client, via l'interface de la Plateforme, les outils permettant de répondre aux demandes d'exercice des droits des Personnes concernées (accès, rectification, effacement, limitation, portabilité, opposition). Si ces outils ne sont pas suffisants, byusage. assiste le Client par des moyens appropriés dans le traitement de ces demandes, dans un délai raisonnable.

Lorsque byusage. reçoit directement une demande d'une Personne concernée portant sur des Données Client, elle la transmet sans délai au Client, sans y répondre elle-même, sauf obligation légale contraire.

5.2. Analyse d'impact (AIPD) et consultation préalable

À la demande du Client, byusage. fournit, dans la limite des informations dont elle dispose, une assistance raisonnable à la réalisation d'une analyse d'impact relative à la protection des données (AIPD) au sens de l'article 35 du RGPD, et à la consultation préalable de l'autorité de contrôle au sens de l'article 36 du RGPD.

5.3. Sécurité et notification

byusage. assiste le Client dans la mise en œuvre de ses obligations de sécurité (article 32 du RGPD) et de notification des Violations de données (articles 33 et 34), dans les conditions de l'article 7 du présent DPA.

6. Sous-traitants ultérieurs

6.1. Autorisation générale

Le Client autorise expressément byusage. à faire appel à des sous-traitants ultérieurs aux fins de fourniture de la Plateforme. La liste initiale des sous-traitants ultérieurs figure en annexe 2 du présent DPA.

6.2. Obligations de byusage.

byusage. s'engage à :

• conclure avec chaque sous-traitant ultérieur un contrat de sous-traitance offrant des garanties au moins équivalentes à celles du présent DPA, conformément à l'article 28.4 du RGPD ;
• demeurer pleinement responsable envers le Client de l'exécution par le sous-traitant ultérieur de ses obligations ;
• sélectionner uniquement des sous-traitants ultérieurs offrant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées.

6.3. Changement de sous-traitants ultérieurs

byusage. informe le Client de tout changement envisagé concernant l'ajout ou le remplacement d'un sous-traitant ultérieur, par mise à jour de l'annexe 2 et notification par email au moins trente (30) joursavant l'entrée en vigueur du changement, afin de laisser au Client la possibilité d'émettre des objections motivées.

En cas d'objection motivée du Client, les Parties rechercheront de bonne foi une solution alternative. À défaut d'accord dans un délai raisonnable, le Client pourra résilier son Abonnement, sans indemnité ni remboursement des sommes déjà versées, conformément aux CGU/CGV.

7. Sécurité et violations de données

7.1. Mesures de sécurité

byusage. met en œuvre les mesures techniques et organisationnelles décrites en annexe 1du présent DPA, conformément à l'article 32 du RGPD. Ces mesures sont régulièrement réévaluées pour s'adapter à l'état de l'art et aux risques identifiés.

7.2. Notification des violations

En cas de Violation de données affectant des Données Client, byusage. notifie le Client dans les meilleurs délais après en avoir pris connaissance, et au plus tard dans un délai raisonnable permettant au Client de remplir ses propres obligations de notification à la CNIL (72 heures) et, le cas échéant, aux Personnes concernées.

La notification comporte, dans la mesure des informations dont byusage. dispose à ce stade :

• la nature de la violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés ;
• les conséquences probables de la violation ;
• les mesures prises ou envisagées pour y remédier et atténuer ses effets ;
• les coordonnées du point de contact de byusage..

byusage. assiste le Client dans la gestion de la violation et dans les communications qui lui incombent, sans pour autant se substituer au Client dans la notification à la CNIL ni à l'information des Personnes concernées, qui relèvent de sa compétence en qualité de responsable de traitement.

8. Transferts hors Espace économique européen

L'infrastructure d'hébergement et de stockage actuellement utilisée par byusage. opère au sein de l'Espace économique européen (EEE), comme indiqué en annexe 2 du présent DPA. Tout transfert effectif de Données Client en dehors de l'EEE serait soumis à l'information préalable et à la possibilité d'objection du Client, selon les modalités de l'article 6.3.

Dans l'hypothèse où byusage. aurait recours, pour la fourniture du Service, à un sous-traitant ultérieur dont la maison-mère est soumise à une législation extraterritoriale (notamment le CLOUD Act américain ou le FISA 702), byusage. met en œuvre, au minimum, les garanties suivantes :

• recours strictement limité aux infrastructures européennes du sous-traitant concerné ;
• mise en œuvre de mesures techniques supplémentaires (chiffrement avec clés gérées par byusage., isolation des environnements) afin de neutraliser le risque d'accès en clair par une autorité étrangère, conformément aux recommandations 01/2020 du Comité européen de la protection des données (CEPD) faisant suite à la jurisprudence Schrems II (CJUE, C-311/18) ;
• conclusion avec le sous-traitant ultérieur des Clauses Contractuelles Typesde la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021), en tant que garantie appropriée au sens de l'article 46.2.c du RGPD, lorsque cela est juridiquement pertinent ;
• engagement contractuel du sous-traitant ultérieur de contester tout ordre d'accès jugé non conforme au droit de l'Union européenne, et de notifier byusage. dans la mesure où la loi applicable l'y autorise ;
• réalisation et tenue à disposition du Client, sur demande écrite à dpo@byusage.com, d'une analyse d'impact du transfert (Transfer Impact Assessment).

Aucun transfert de Données Client vers les États-Unis n'est réalisé de manière active par byusage.. Le recours aux services concernés est strictement limité à leurs infrastructures européennes. Les Clients souhaitant disposer d'un engagement renforcé excluant tout sous-traitant soumis à une législation extraterritoriale étrangère peuvent contacter byusage. à l'adresse dpo@byusage.comafin d'évaluer les options disponibles et les modalités contractuelles correspondantes.

9. Confidentialité

byusage. garantit que les personnes qui, sous son autorité, sont amenées à traiter les Données Client sont soumises à une obligation de confidentialité appropriée (contractuelle ou légale) et ne traitent les Données Client que sur instruction de byusage., sauf obligation légale contraire. Cette obligation de confidentialité perdure après la fin du contrat liant la personne concernée à byusage..

10. Sort des Données Client à la fin des prestations

À la fin des prestations (résiliation ou expiration des CGU/CGV), au choix du Client exprimé par écrit :

• Restitution :byusage. met à disposition du Client ses Données Client via les outils d'export de la Plateforme, pendant une durée de trente (30) joursà compter de la date effective de résiliation. Le Client est seul responsable de l'export et de la sauvegarde de ses Données Client pendant cette période.
• Suppression :à l'issue du délai de trente (30) jours, ou à tout moment sur demande expresse du Client, byusage. procède à la suppression sécurisée des Données Client de ses systèmes actifs et de ses sauvegardes, selon une politique de rotation des sauvegardes n'excédant pas trente (30) jours supplémentaires, sous réserve des obligations légales de conservation (notamment comptables ou fiscales).

À défaut de choix exprès du Client dans le délai de trente (30) jours, la suppression sera opérée par défaut.

byusage. fournit au Client, sur demande écrite, une attestation de destruction des Données Client.

11. Audit et contrôle

Le Client dispose d'un droit d'audit pour vérifier la conformité de byusage. au présent DPA, dans les conditions suivantes :

• Documentation :byusage. met à disposition du Client, sur demande écrite à dpo@byusage.com, la documentation nécessaire à la démonstration de sa conformité (politique de sécurité, mesures techniques, liste des sous-traitants ultérieurs, résultats d'audits et de tests de sécurité, analyses d'impact de transfert, etc.).
• Audit sur site :dans des cas motivés (notamment suite à une Violation de données ou à une injonction d'une autorité de contrôle), le Client peut réaliser, à ses frais, un audit sur site, sous réserve d'un préavis écrit de trente (30) jourset de la signature préalable d'un accord de confidentialité. Les audits sont limités à une fois par an sauf circonstances exceptionnelles, effectués pendant les heures ouvrées, et ne doivent pas perturber l'activité de byusage. ni compromettre la sécurité ou la confidentialité des autres clients de byusage..
• Auditeur tiers :le Client peut recourir à un auditeur tiers indépendant, soumis à obligation de confidentialité, et n'étant pas un concurrent direct de byusage.. byusage. peut refuser, par décision motivée, un auditeur ne présentant pas des garanties d'indépendance et de compétence suffisantes.

byusage. peut satisfaire à l'obligation d'audit par la fourniture d'attestations d'audit ou de certifications reconnues (ISO 27001, SOC 2, etc.) lorsqu'elles couvrent le périmètre concerné et sont raisonnablement à jour.

12. Responsabilité et limitation

La responsabilité des Parties au titre du présent DPA est régie par les stipulations des CGU/CGV, notamment les clauses de limitation de responsabilité et le plafond applicable. Les limitations et plafonds de responsabilité des CGU/CGV s'appliquent de plein droit aux obligations découlant du présent DPA, dans les limites autorisées par les dispositions d'ordre public du RGPD.

Chaque Partie demeure responsable des conséquences des manquements qui lui sont propres au titre du RGPD. Le Client garantit byusage. contre toute réclamation émanant de Personnes concernées ou de tiers résultant du non-respect par le Client de ses obligations de responsable de traitement (licéité, information, consentement, configuration du quota de sièges, paramétrage des conventions collectives applicables, etc.).

13. Dispositions diverses

13.1. Intégralité et primauté

Le présent DPA forme un tout indissociable avec les CGU/CGV et la Politique de Confidentialité. En cas de contradiction relative au traitement de Données à caractère personnel, le DPA prévaut sur les CGU/CGV et la Politique de Confidentialité.

13.2. Modifications

byusage. peut modifier le présent DPA afin de l'adapter à l'évolution du droit applicable, à la jurisprudence, aux lignes directrices de la CNIL et du CEPD ou à l'évolution du Service. Toute modification substantielle sera notifiée au Client au moins trente (30) joursavant son entrée en vigueur. Le Client qui n'accepte pas la modification pourra résilier son Abonnement dans les conditions des CGU/CGV.

13.3. Survie

Les stipulations des articles 9 (confidentialité), 10 (sort des données), 11 (audit) et 12 (responsabilité) survivront à la résiliation du présent DPA pour la durée nécessaire à leur exécution.

13.4. Droit applicable et juridiction

Le présent DPA est régi par le droit français. Tout litige relèvera de la compétence exclusive des juridictions désignées dans les CGU/CGV.

Annexe 1 | Mesures techniques et organisationnelles de sécurité

A. Mesures techniques

• Chiffrement des données en transit (TLS 1.2 minimum, HSTS).
• Chiffrement au repos des bases de données et des fichiers (AES-256).
• Chiffrement des fichiers sur le stockage objet avec clés gérées par byusage., afin de neutraliser l'accès en clair par l'hébergeur de stockage.
• Authentification des utilisateurs, hashage sécurisé des mots de passe (bcrypt ou équivalent), protection contre les attaques par force brute.
• Gestion des accès par rôles (RBAC) avec principe du moindre privilège, révocation immédiate des sessions actives en cas de suspension d'un compte (incrémentation du numéro de version du jeton).
• Pare-feu applicatif, protection contre les injections SQL, XSS et attaques CSRF, en-têtes de sécurité HTTP.
• Vérification cryptographique des webhooks de paiement (signature HMAC), traitement idempotent par identifiant d'événement pour empêcher les doubles exécutions.
• Isolation logique des données entre Clients (architecture multi-tenant), verrouillage pessimiste en base lors des opérations critiques de facturation et de comptage.
• Journalisation et supervision des accès aux systèmes et aux données, alertes automatisées sur comportements anormaux.
• Sauvegardes automatisées, chiffrées et géographiquement redondantes ; tests périodiques de restauration.
• Mises à jour régulières des systèmes et dépendances, veille de vulnérabilités.

B. Mesures organisationnelles

• Politique interne de sécurité et de protection des données, validée par la direction.
• Accès aux données limité au personnel strictement habilité, soumis à une obligation de confidentialité.
• Sensibilisation et formation régulière des équipes à la sécurité et au RGPD.
• Procédures documentées de gestion des incidents et de notification des violations.
• Revue périodique des mesures de sécurité, tests de vulnérabilité et audits.
• Contrats de sous-traitance conformes à l'article 28 du RGPD avec tous les sous-traitants ultérieurs.
• Tenue d'un registre des activités de traitement et d'un registre des violations.

Annexe 2 | Liste des sous-traitants ultérieurs autorisés

La présente annexe liste les sous-traitants ultérieurs auxquels byusage. a recours à la date du présent DPA. Cette liste peut être mise à jour conformément à l'article 6.3.

Pour toute question relative à cette liste ou pour recevoir la version la plus à jour, le Client peut contacter dpo@byusage.com.

Contact

Pour toute question relative au présent DPA ou pour notifier une Violation de données, le Client peut contacter byusage. :

• Référent protection des données : dpo@byusage.com
• Support général : support@byusage.com
• Courrier : byusage. – Aix-en-Provence (13), France (adresse complète mise à jour dès immatriculation)