Conformément à l'article 28 du RGPD (Règlement UE 2016/679) — Dernière mise à jour : 14 mars 2026
Responsable du traitement : L'utilisateur (« le Client »), personne physique ou morale utilisant le service Komptia.
Sous-traitant : Thomas Raffier, Komptia, Leigné-les-Bois, 86450, France (« le Prestataire »).
Le Prestataire traite les données personnelles pour le compte du Client dans le cadre de la fourniture du service de comptabilité, facturation et gestion sociale en ligne.
| Nature du traitement | Hébergement, stockage, calculs comptables, génération de documents |
| Finalité | Fourniture du service SaaS de comptabilité/paie/facturation |
| Durée | Durée du contrat + 30 jours après résiliation (données comptables : 10 ans, obligation légale) |
| Catégories de données | Identité (nom, email), données comptables (transactions, factures), données sociales (salariés, bulletins), justificatifs |
| Personnes concernées | Client, ses salariés, ses clients et fournisseurs |
Le Prestataire s'engage à :
— Traiter les données uniquement selon les instructions du Client et aux fins décrites ci-dessus
— Garantir la confidentialité des données (engagement de tous les collaborateurs)
— Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (Art. 32 RGPD)
— Notifier le Client dans les 72 heures en cas de violation de données (Art. 33 RGPD)
— Supprimer ou restituer les données à la fin du contrat, au choix du Client
— Mettre à disposition toutes les informations nécessaires pour audits et inspections
Les mesures suivantes sont en place :
— Chiffrement : HTTPS/TLS 1.3 pour le transit, Fernet/AES pour les données sensibles au repos
— Authentification : JWT + cookies sécurisés, mots de passe bcrypt
— Contrôle d'accès : isolation des données par user_id, CSRF protection, CORS restreint
— Sauvegardes : quotidiennes automatisées + offsite
— Hébergement : OVH France (datacenter Gravelines), pas de transfert hors UE pour le stockage
— Monitoring : surveillance 24/7 (Uptime Kuma), alertes automatiques
Le Prestataire fait appel aux sous-traitants ultérieurs suivants, pour lesquels le Client donne son accord :
| Sous-traitant | Finalité | Localisation | Garanties |
| OVH SAS | Hébergement serveur | France | Certifié ISO 27001, HDS |
| Stripe Inc. | Paiement | USA (SCC) | PCI-DSS Niveau 1, SCC |
| Anthropic (Claude) | IA (données anonymisées) | USA (SCC) | Zero data retention, SCC |
| Resend | Emails transactionnels | USA (SCC) | SCC, chiffrement TLS |
Le Prestataire informera le Client par email 30 jours avant tout changement de sous-traitant ultérieur.
Les données comptables sont stockées exclusivement en France (OVH). Les transferts vers les USA (Stripe, Anthropic, Resend) sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne (Décision 2021/914). Les requêtes IA sont anonymisées avant transmission.
Le Prestataire aide le Client à répondre aux demandes d'exercice de droits des personnes concernées (accès, rectification, suppression, portabilité). L'export RGPD est disponible directement depuis l'espace client (Paramètres > Mes données > Export RGPD).
En cas de violation de données à caractère personnel, le Prestataire notifie le Client par email dans un délai de 72 heures, en indiquant : la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises pour y remédier.
Pour toute question relative à la protection des données : contact@komptia.app