Accord de Traitement des Données à Caractère Personnel (DPA) — Interlo
Dernière mise à jour : 21 juin 2026.
Annexe aux Conditions Générales de Vente (CGV) Interlo. Document encadrant le traitement des données à caractère personnel effectué par l'Éditeur en qualité de sous-traitant pour le compte du Client (article 28 du RGPD).
Préambule
Le présent Accord de Traitement des Données (l'« Accord » ou « DPA ») fait partie intégrante des Conditions Générales de Vente (les « CGV ») conclues entre :
- Filipe TAVEIRA CALADO, Entrepreneur individuel, SIREN 794 068 726, siège 98 avenue du Général Leclerc, 94700 Maisons-Alfort, France, exploitant le service Interlo (ci-après l'« Éditeur » ou le « Sous-traitant ») ;
et
- le professionnel souscripteur du Service (ci-après le « Client » ou le « Responsable de traitement »),
ci-après désignés ensemble les « Parties » et individuellement une « Partie ».
Dans le cadre de l'utilisation du Service, le Client saisit, importe et traite des données à caractère personnel relatives à ses propres clients, prospects, salariés ou tout autre tiers (les « Personnes concernées »). Pour ce traitement, le Client agit en qualité de responsable de traitement et l'Éditeur en qualité de sous-traitant au sens de l'article 28 du Règlement (UE) 2016/679 (« RGPD »).
Le présent Accord a pour objet de définir les conditions dans lesquelles l'Éditeur traite ces données pour le compte du Client, conformément à l'article 28 §3 du RGPD.
Note de périmètre. Le présent Accord ne couvre pas les traitements pour lesquels l'Éditeur agit en tant que responsable de traitement (données des visiteurs du site, des prospects, et des utilisateurs du compte du Client : gérant, collaborateurs). Ces traitements sont décrits dans la Politique de confidentialité (/legal/confidentialite).
1. Définitions
Les termes « données à caractère personnel », « traitement », « responsable de traitement », « sous-traitant », « destinataire », « violation de données à caractère personnel », « personne concernée » et « autorité de contrôle » ont le sens que leur donne l'article 4 du RGPD.
- Données du Client : les données à caractère personnel traitées par l'Éditeur pour le compte du Client dans le cadre du Service, telles que décrites à l'Annexe 1.
- Sous-traitant ultérieur : tout sous-traitant engagé par l'Éditeur pour réaliser des activités de traitement spécifiques pour le compte du Client (article 28 §2 et §4 RGPD).
- Législation applicable en matière de protection des données : le RGPD, la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), ainsi que toute réglementation applicable en la matière.
2. Objet et hiérarchie des documents
2.1 Le présent Accord encadre le traitement des Données du Client par l'Éditeur agissant comme sous-traitant.
2.2 En cas de contradiction entre le présent Accord et les CGV ou les CGU s'agissant spécifiquement de la protection des données à caractère personnel, le présent Accord prévaut. Pour toute autre stipulation, les CGV prévalent.
2.3 L'acceptation des CGV emporte acceptation du présent Accord.
3. Description et durée du traitement
3.1 L'objet, la nature, la finalité du traitement, les types de données à caractère personnel et les catégories de Personnes concernées sont décrits à l'Annexe 1 du présent Accord, conformément à l'article 28 §3 du RGPD.
3.2 Le traitement est réalisé pour la durée du contrat liant les Parties (durée de l'abonnement au Service), augmentée, le cas échéant, des durées de conservation et de restitution/suppression prévues à l'article 11.
4. Instructions documentées du Responsable de traitement
4.1 L'Éditeur traite les Données du Client uniquement sur instructions documentées du Client, y compris en ce qui concerne les transferts de données vers un pays tiers, sauf obligation légale à laquelle l'Éditeur serait soumis (article 28 §3 a) RGPD). Les présentes CGV/CGU, le présent Accord, ainsi que l'utilisation des fonctionnalités du Service par le Client (paramétrages, actions dans l'interface) constituent les instructions documentées initiales du Client.
4.2 Si l'Éditeur est tenu de procéder à un traitement en vertu du droit de l'Union ou du droit français, il informe le Client de cette obligation juridique avant le traitement, sauf si le droit applicable interdit une telle information pour des motifs importants d'intérêt public.
4.3 L'Éditeur informe immédiatement le Client si, selon lui, une instruction constitue une violation du RGPD ou de toute autre disposition applicable en matière de protection des données.
5. Confidentialité
5.1 L'Éditeur veille à ce que les personnes autorisées à traiter les Données du Client s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité (article 28 §3 b) RGPD).
5.2 L'Éditeur garantit que l'accès aux Données du Client est strictement limité aux personnes ayant besoin d'en connaître pour l'exécution du Service.
6. Sécurité du traitement (article 32 RGPD)
6.1 L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont décrites à l'Annexe 2.
6.2 L'Éditeur tient compte de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des Personnes concernées.
6.3 Le Client reconnaît être responsable de l'évaluation du caractère approprié du niveau de sécurité au regard de ses propres traitements, et de l'usage des fonctionnalités de sécurité mises à sa disposition par le Service (gestion des accès, des rôles, etc.).
7. Sous-traitants ultérieurs
7.1 Le Client autorise l'Éditeur à recourir aux sous-traitants ultérieurs listés à l'Annexe 3 pour l'exécution d'activités de traitement spécifiques (autorisation générale au sens de l'article 28 §2 RGPD).
7.2 L'Éditeur informe le Client de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs, par un moyen approprié (notification dans le Service, email, ou mise à jour de la page publique des sous-traitants avec préavis), laissant ainsi au Client la possibilité d'émettre des objections à l'encontre de ces changements dans un délai de 30 jours. En cas d'objection légitime et motivée non résolue, le Client peut résilier la partie du Service concernée dans les conditions des CGV.
7.3 Lorsque l'Éditeur recourt à un sous-traitant ultérieur, il lui impose, par contrat, les mêmes obligations de protection des données que celles figurant au présent Accord, en particulier en matière de garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées (article 28 §4 RGPD).
7.4 L'Éditeur demeure pleinement responsable envers le Client de l'exécution par le sous-traitant ultérieur de ses obligations.
8. Transferts de données hors de l'Union européenne
8.1 Les Données du Client sont principalement hébergées au sein de l'Union européenne (base de données : Neon, région Francfort, Allemagne).
8.2 Certains sous-traitants ultérieurs peuvent toutefois traiter ou transférer des Données du Client en dehors de l'Union européenne. Ces transferts sont précisés à l'Annexe 3 et ne sont effectués que s'ils sont encadrés par un mécanisme de transfert valide au sens du chapitre V du RGPD : décision d'adéquation, clauses contractuelles types de la Commission européenne (« CCT » / « SCC »), adhésion au cadre EU-US Data Privacy Framework (« DPF »), ou autre garantie appropriée. À la date de mise à jour, sont notamment concernés :
- Resend (envoi d'emails transactionnels) : traitement aux États-Unis, encadré par les SCC et l'adhésion de Resend au EU-US Data Privacy Framework.
- Mistral AI (fonctionnalités d'IA — voir Annexe 3) : hébergement par défaut au sein de l'Espace économique européen, sans garantie d'absence totale de traitement hors UE ; certains sous-traitants de Mistral peuvent traiter des données depuis des pays tiers, auquel cas le transfert est encadré par les SCC.
- Vercel (hébergement applicatif) : opéré depuis les États-Unis (siège) avec datacenters européens ; les transferts éventuels sont encadrés par les Clauses Contractuelles Types (SCC) et l'EU-US Data Privacy Framework (DPF).
9. Assistance au Responsable de traitement
9.1 Droits des Personnes concernées
Compte tenu de la nature du traitement, l'Éditeur aide le Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des Personnes concernées (droits d'accès, de rectification, d'effacement, à la limitation, à la portabilité, d'opposition — articles 15 à 22 RGPD), notamment au moyen des fonctionnalités d'export et de gestion du Contenu mises à disposition dans le Service (article 28 §3 e) RGPD).
Si une demande d'une Personne concernée est adressée directement à l'Éditeur, ce dernier la transmet au Client dans les meilleurs délais et s'abstient d'y répondre directement, sauf instruction contraire du Client.
9.2 Sécurité, violations, analyses d'impact
L'Éditeur aide le Client à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification des violations, analyse d'impact relative à la protection des données, consultation préalable), compte tenu de la nature du traitement et des informations à la disposition de l'Éditeur (article 28 §3 f) RGPD).
10. Notification des violations de données
10.1 L'Éditeur notifie au Client toute violation de données à caractère personnel affectant les Données du Client dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance, et en tout état de cause dans un délai permettant au Client de respecter sa propre obligation de notification de 72 heures à l'autorité de contrôle (articles 33 §2 et 33 §1 RGPD).
10.2 Cette notification contient, dans la mesure du possible : la nature de la violation, les catégories et le nombre approximatif de Personnes concernées et d'enregistrements concernés, les conséquences probables, et les mesures prises ou proposées pour y remédier.
10.3 Il appartient au Client, en sa qualité de responsable de traitement, de procéder, le cas échéant, à la notification à l'autorité de contrôle (article 33) et à la communication aux Personnes concernées (article 34).
11. Sort des données en fin de traitement (réversibilité et suppression)
11.1 Réversibilité. Pendant toute la durée du contrat et pendant une période de 30 jours suivant sa résiliation ou son expiration, le Client peut exporter ses Données depuis le Service, dans un ou plusieurs formats structurés et couramment utilisés (notamment CSV et PDF, et Factur-X pour les factures).
11.2 Restitution / suppression. Au choix du Client exprimé avant l'expiration de la période de réversibilité, l'Éditeur restitue les Données du Client et/ou les supprime, ainsi que les copies existantes, à l'issue de cette période, sauf obligation de conservation imposée par le droit de l'Union ou le droit français (article 28 §3 g) RGPD). À défaut d'instruction du Client à l'expiration du délai, l'Éditeur procède à la suppression.
11.3 Les Données conservées au-delà au titre d'une obligation légale (notamment les pièces à valeur probante) le sont uniquement pour la durée et aux fins imposées par cette obligation, et demeurent protégées par les stipulations du présent Accord.
11.4 Données traitées par les sous-traitants ultérieurs d'IA. Les inputs transmis aux fonctionnalités d'IA sont soumis aux durées de conservation propres au sous-traitant concerné, précisées à l'Annexe 3 (à ce jour, conservation maximale de 30 jours côté Mistral, l'audio de transcription n'étant pas persisté côté Éditeur).
12. Audit et mise à disposition d'informations
12.1 L'Éditeur met à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'article 28 du RGPD (article 28 §3 h) RGPD).
12.2 L'Éditeur permet la réalisation d'audits, y compris des inspections, par le Client ou un auditeur tiers indépendant qu'il a mandaté, et y contribue, dans les conditions suivantes : sur préavis raisonnable de 30 jours, pendant les heures ouvrées, dans la limite d'un audit par an sauf incident de sécurité avéré ou demande d'une autorité de contrôle, sans perturber de manière disproportionnée les opérations de l'Éditeur, et sous réserve d'un engagement de confidentialité. L'Éditeur peut satisfaire à cette obligation en mettant à disposition des rapports ou certifications pertinents des sous-traitants ultérieurs lorsqu'ils existent (ex. ISO 27001, SOC 2).
13. Responsabilité
13.1 La responsabilité de chaque Partie au titre du présent Accord s'exerce dans les conditions et limites prévues par les CGV (notamment la clause de limitation de responsabilité) et par l'article 82 du RGPD.
14. Durée de l'Accord
Le présent Accord entre en vigueur à la date d'acceptation des CGV et demeure en vigueur tant que l'Éditeur traite des Données du Client pour le compte du Client, puis jusqu'à la complète restitution ou suppression des Données conformément à l'article 11.
Annexe 1 — Description du traitement
| Élément | Description |
|---|---|
| Objet du traitement | Fourniture du Service Interlo (gestion d'interventions) au Client. |
| Nature du traitement | Collecte, enregistrement, organisation, structuration, conservation, consultation, utilisation, export, effacement des Données du Client, y compris traitement par des fonctionnalités d'intelligence artificielle (génération de comptes-rendus, transcription vocale, propositions de devis/factures). |
| Finalité(s) | Permettre au Client de gérer ses interventions, devis, factures, planning, portail client, relances et encaissements vis-à-vis de ses propres clients finaux. |
| Catégories de Personnes concernées | Clients finaux du Client ; prospects du Client ; le cas échéant, contacts professionnels et tout tiers dont le Client saisit les données. Le Client est responsable de la licéité des données qu'il saisit (cf. CGU art. 5). |
| Types de données à caractère personnel | Données d'identification (nom, prénom) ; coordonnées (adresse postale, email, téléphone) ; données relatives aux interventions (descriptifs, notes de chantier, enregistrements audio dictés, photos) ; données financières non bancaires (montants de devis/factures). |
| Catégories particulières de données (Art. 9) | En principe aucune. Le Service n'est pas destiné à traiter des données sensibles. Le Client s'engage à ne pas saisir de telles données sans base légale appropriée. Les fonctionnalités de transcription vocale n'effectuent pas de reconnaissance vocale d'identité (pas de donnée biométrique au sens de l'art. 9). |
| Données relatives aux mineurs | En principe aucune. |
| Durée du traitement | Durée du contrat + période de réversibilité/suppression (art. 11) + durées légales de conservation applicables. |
Annexe 2 — Mesures techniques et organisationnelles de sécurité (Art. 32)
Mesures effectivement mises en œuvre par l'Éditeur :
- Isolation multi-locataire : cloisonnement des données par organisation au moyen de la sécurité au niveau des lignes (Row-Level Security) de PostgreSQL.
- Chiffrement en transit et au repos : communications chiffrées (TLS) ; base de données Neon chiffrée au repos ; chiffrement applicatif des coordonnées bancaires (IBAN) en AES-256-GCM avec clé versionnée et rotation outillée.
- Contrôle d'accès basé sur les rôles (RBAC : propriétaire, bureau, technicien) ; authentification par lien sécurisé (« magic link ») et code à usage unique (OTP HMAC) côté portail client.
- Journalisation des événements sensibles (AuditLog) à des fins de sécurité et de traçabilité, avec pseudonymisation de l'adresse IP (hash, jamais en clair).
- Minimisation / pseudonymisation : redaction des données personnelles avant transmission aux fonctionnalités d'IA ; absence de transmission de données personnelles dans les objets ou pré-en-têtes d'email.
- Gestion des secrets : clés d'API stockées uniquement dans les variables d'environnement de l'hébergeur, jamais dans le code source.
- Hébergement au sein de l'UE : base de données Neon (Francfort, Allemagne) ; exécution applicative Vercel (régions UE) ; les transferts éventuels sont encadrés par les SCC et l'EU-US Data Privacy Framework.
- Sauvegarde et continuité : sauvegardes continues et restauration à un instant T (PITR) gérées par l'hébergeur de base de données (Neon).
- Gestion des vulnérabilités : suivi et mise à jour des dépendances, revues de code et tests automatisés avant déploiement.
- Mesures organisationnelles : engagement de confidentialité, limitation des accès au besoin d'en connaître, procédure de gestion des incidents.
Annexe 3 — Liste des sous-traitants ultérieurs
Cette liste est tenue à jour et rendue accessible au Client via une URL publique stable : https://interlo.fr/legal/sous-traitants.
| Sous-traitant | Service fourni | Localisation des données | Transfert hors UE / Garanties |
|---|---|---|---|
| Neon Tech | Base de données PostgreSQL | Francfort, Allemagne (UE) | Aucun transfert hors UE. |
| Vercel Inc. | Hébergement applicatif (edge/CDN) | États-Unis (siège) + datacenters UE | Transferts encadrés par les Clauses Contractuelles Types (SCC) et l'EU-US Data Privacy Framework (DPF). |
| Mistral AI | Fonctionnalités d'IA : extraction structurée (Mistral Large) et transcription vocale (Voxtral) | Espace économique européen par défaut (endpoint api.mistral.ai, région fra1) ; sous-traitants Mistral : Microsoft Azure (Suède, Norvège), CoreWeave (EEE), Kong (EEE), Ory (Belgique, Allemagne) | EEE par défaut, sans garantie d'absence totale de traitement hors UE ; transferts éventuels par certains sous-traitants de Mistral encadrés par les SCC. DPA Mistral accepté par voie de clickwrap (CGU). Opt-out entraînement activé (org-wide). Rétention : 30 jours max par défaut ; audio de transcription non persisté côté Éditeur. |
| Resend Inc. | Envoi d'emails transactionnels (magic link, communications gérant → client) | États-Unis | Transfert US encadré (SCC + EU-US Data Privacy Framework). Sous-traitant ultérieur : Amazon Web Services (AWS SES). |
| OVH SAS | DNS et messagerie de contact | France (UE) | Aucun transfert hors UE. |
| Cloudflare R2 | Stockage des fichiers (photos d'intervention, PDF, logos) | Union européenne | Aucun transfert hors UE (bucket UE). |
| Sentry | Supervision technique (journalisation des erreurs applicatives) | Union européenne (région UE) | Aucun transfert hors UE (région UE). Les données personnelles sont redactées avant journalisation. |
| Stripe Payments Europe Ltd. | Traitement des paiements d'abonnement | Irlande (UE) | Sous-traitant pour le paiement des abonnements ; pas de transfert hors UE. |
Encaissement des clients finaux (Stripe Connect). Lorsque le Client active l'encaissement par carte de ses propres clients, ces paiements sont traités directement par Stripe au bénéfice du Client (« merchant of record »). L'Éditeur ne détient à aucun moment les fonds, ne perçoit aucune commission, et n'intervient pas dans ce flux financier ; la relation est régie par les conditions de Stripe acceptées par le Client.
Version des documents légaux : 2026-06-21