Dernière mise à jour : 5 mai 2026 · Version DPA : 1.0
Le Data Processing Agreement (DPA) IO BILL est un document standard, basé sur les Clauses Contractuelles Types européennes, qui encadre la sous-traitance des données personnelles entre votre entreprise (responsable de traitement) et OWL'S INDUSTRY (sous-traitant). Il est déjà accepté par défaut à la souscription et téléchargeable sans signature pour archivage.
📥 Télécharger le DPA (PDF)1.Qu'est-ce qu'un DPA ?
Un Data Processing Agreement (DPA) — ou « accord de sous-traitance » en français — est un contrat exigé par l'article 28 du RGPD qui encadre les relations entre :
- Le responsable de traitement (vous, qui décidez des finalités et moyens du traitement) ;
- Le sous-traitant (OWL'S INDUSTRY, qui traite les données pour votre compte).
Quand vous utilisez IO BILL pour facturer vos clients, vous saisissez des données personnelles relatives à ces clients (nom, adresse, contact). OWL'S INDUSTRY ne fait que traiter ces données pour votre compte, conformément à vos instructions. Le DPA précise les responsabilités, les sécurités, les durées et la liste des sous-traitants ultérieurs.
2.Pour qui ?
Le DPA concerne tous les Utilisateurs IO BILL professionnels. Il est particulièrement utile et souvent demandé dans les cas suivants :
- TPE/PME dont les clients (notamment grandes entreprises) demandent un DPA dans leur chaîne de sous-traitance ;
- Cabinets d'expertise comptable qui doivent eux-mêmes répondre à leurs propres obligations RGPD vis-à-vis de leurs clients ;
- Acteurs réglementés (santé, finance, professions libérales soumises au secret professionnel) ;
- Entreprises ayant désigné un DPO et procédant à un registre des traitements exhaustif.
Pour les Utilisateurs particuliers ou indépendants n'ayant pas d'obligation contractuelle de produire un DPA, le document reste téléchargeable et archivable mais aucune action n'est requise.
3.Que contient le DPA IO BILL ?
Le DPA est conforme au modèle des Clauses Contractuelles Types (CCT) de la Commission Européenne et inclut :
- Article 1 — Objet et durée : définit le périmètre du traitement et sa durée (alignée sur la durée de l'abonnement) ;
- Article 2 — Description du traitement : nature, finalité, types de données, catégories de personnes concernées (cf. Annexe I) ;
- Article 3 — Obligations du sous-traitant : ne traite les données que sur instructions documentées du responsable, garantit la confidentialité des personnes habilitées, met en œuvre les mesures de sécurité de l'article 32 RGPD, ne recourt pas à un sous-traitant ultérieur sans autorisation préalable (cf. Annexe II) ;
- Article 4 — Droits des personnes concernées : OWL'S INDUSTRY assiste le responsable dans la réponse aux demandes d'exercice des droits ;
- Article 5 — Notification des violations : OWL'S INDUSTRY notifie au responsable toute violation de données dans les 48 heures de sa découverte ;
- Article 6 — Sort des données en fin de contrat : restitution intégrale au format FEC/CSV/JSON puis suppression dans un délai de 30 jours, sauf obligations légales de conservation ;
- Article 7 — Audit : droit d'audit annuel par le responsable de traitement (sur préavis raisonnable) ;
- Article 8 — Transferts hors UE : aucun transfert hors UE par défaut ; en cas de transfert exceptionnel, application des CCT EU ;
- Article 9 — Loi applicable et juridiction : droit français, juridictions de Marseille ;
- Annexe I : description du traitement (catégories de données, personnes concernées, finalités) ;
- Annexe II : liste des sous-traitants ultérieurs autorisés (cf. ci-dessous) ;
- Annexe III : mesures techniques et organisationnelles (TOMs) détaillées.
4.Annexe II : sous-traitants ultérieurs
OWL'S INDUSTRY recourt aux sous-traitants ultérieurs suivants, tous soumis à des accords contractuels conformes à l'article 28 RGPD :
| Sous-traitant ultérieur | Localisation | Périmètre du traitement |
|---|---|---|
| Supabase Inc. | UE (AWS Francfort) | Hébergement BDD, stockage de fichiers, authentification |
| Vercel Inc. | UE (edge) | Hébergement frontal applicatif |
| Stripe Payments Europe Ltd. | UE (Irlande) | Traitement des paiements |
| Bridge by BPCE (Bankin' SAS) | UE (France) | Agrégation bancaire DSP2 |
| Mistral AI | UE (France) | OCR factures fournisseurs |
| Yousign SAS | UE (France) | Signature électronique eIDAS |
| Iopole | UE (France) | PDP transmission e-invoicing |
| OVH SAS | UE (France) | Sauvegardes secondaires, relais SMTP |
| Resend Inc. | UE (edge prio) | Emails transactionnels |
| Plausible Insights OÜ | UE (Estonie) | Analytics anonymes site vitrine |
Toute modification de cette liste (ajout d'un sous-traitant, changement) sera notifiée par email aux Utilisateurs avec un préavis de 30 jours minimum, durant lesquels le responsable de traitement peut s'opposer (l'opposition vaut résiliation du contrat sans pénalité).
5.Signature manuelle (cas particulier)
Le DPA est accepté par défaut à la souscription du Service via la case à cocher des CGU. Aucune signature manuscrite ou électronique additionnelle n'est requise pour la majorité des Utilisateurs.
Toutefois, si votre cabinet ou votre service juridique exige une signature manuelle du DPA (par exemple pour certaines procédures internes ou pour répondre à un audit RGPD spécifique), nous pouvons procéder à une signature électronique via Yousign en 24 heures :
- Téléchargez le DPA depuis le bouton ci-dessus ;
- Renvoyez-nous un email à contact@iobill.online avec en objet « Signature DPA » et en pièce jointe le DPA pré-rempli avec votre raison sociale et SIRET ;
- Nous vous renvoyons un lien Yousign pour double-signature électronique sous 24h ouvrées ;
- Vous recevez le DPA cosigné horodaté.
6.FAQ DPA
Le DPA est-il payant ?
Non. Le DPA est inclus dans tous les plans, y compris le plan Solo et la période d'essai gratuite. La signature électronique cosignée Yousign est également gratuite.
Puis-je modifier le DPA pour l'adapter à mes besoins ?
Le DPA est un document standard que nous appliquons à tous nos Utilisateurs pour des raisons d'industrialisation et de cohérence. Pour des cas particuliers (gros volumes, données sensibles, exigences spécifiques d'audit), nous pouvons étudier des aménagements pour les plans Cabinet et au-delà — contactez contact@iobill.online.
Le DPA couvre-t-il les transferts hors UE ?
Le DPA stipule qu'aucun transfert hors UE n'a lieu par défaut. En cas de transfert exceptionnel (par exemple pour un support utilisateur exceptionnel via un sous-traitant établi hors UE), les Clauses Contractuelles Types EU (décision 2021/914) s'appliquent et garantissent un niveau de protection équivalent.
Combien de temps les données sont-elles conservées après résiliation ?
Conformément à l'article 6 du DPA, les données sont restituées en intégralité à votre demande puis supprimées dans un délai de 30 jours, sauf si une obligation légale impose une conservation plus longue (notamment l'article L. 102 B du Livre des Procédures Fiscales qui impose 10 ans pour les factures).
Que se passe-t-il en cas de violation de données ?
OWL'S INDUSTRY notifie au responsable de traitement toute violation de données personnelles dans un délai de 48 heures suivant sa découverte, conformément à l'article 5 du DPA. Cette notification précise la nature de la violation, les catégories de données concernées, les conséquences probables, et les mesures prises ou proposées pour y remédier. Le responsable peut alors notifier la CNIL dans les 72h, conformément à l'article 33 RGPD.