Data Processing Agreement (DPA)

DATA PROCESSING AGREEMENT (DPA) - Accord de Traitement des Données - Connecteurs & Applications ELYONE Labs

En vigueur à compter du 01/01/2026

PRÉAMBULE

Le présent Accord de Traitement des Données (ci-après « DPA ») est conclu entre :

Le Responsable de Traitement :

[DÉNOMINATION SOCIALE DU CLIENT], dont le siège social est situé à [ADRESSE DU CLIENT], immatriculée sous le numéro [SIRET/RCS DU CLIENT] (ci-après « le Client »),

ET

Le Sous-Traitant :

ELYONE SARL, société à responsabilité limitée au capital de 8 000 €, dont le siège social est situé 40 rue d'Hautpoul, 75019 Paris, immatriculée au RCS de Paris sous le numéro SIRET 492 070 370 00027  (ci-après « ELYONE »).

Le présent DPA est conclu dans le cadre de l'utilisation par le Client des Connecteurs & Applications ELYONE Labs et constitue un accord de sous-traitance au sens de l'article 28 du Règlement (UE) 2016/679 (RGPD). En cas de contradiction entre le présent DPA et les CGU Applications, le DPA prévaut sur les questions relatives à la protection des données personnelles.

ARTICLE 1 — DÉFINITIONS

•    RGPD : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.
•    Données Personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, telle que définie à l'article 4(1) du RGPD.
•    Traitement : toute opération appliquée à des données personnelles (collecte, enregistrement, organisation, structuration, conservation, modification, extraction, synchronisation, transmission, effacement, etc.).
•    Violation de Données : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données Personnelles.
•    Sous-Traitant Ultérieur : tout sous-traitant auquel ELYONE a recours pour tout ou partie du traitement.
•    CCT : Clauses Contractuelles Types adoptées par la Commission européenne pour le transfert de données vers des pays tiers.

ARTICLE 2 — OBJET ET NATURE DU TRAITEMENT
2.1 Applications et données traitées

ELYONE est autorisée par le Client à traiter des Données Personnelles exclusivement pour les finalités liées à l'exécution des Applications suivantes :
•    ELYONE PLUG + : synchronisation bidirectionnelle de contacts, sociétés, produits, devis et commandes entre Sage 100 et HubSpot
•    ELYONE INVOICE PLUG + : remontée des factures Sage 100 dans HubSpot, suivi du recouvrement et module de relance — données traitées : contacts, factures, encours, historique de paiement
•    ELYONE CPQ : création de paniers et devis dans HubSpot à partir des tarifs et historiques Sage 100 — données traitées : contacts clients, produits, tarifs, cadenciers, commandes
•    ELYONE ODOO PLUG : synchronisation bidirectionnelle de contacts, sociétés, produits, devis et commandes entre Odoo et HubSpot
•    ELYONE FSM : gestion des interventions terrain, planification des techniciens et suivi client — données traitées : contacts clients, historique interventions, planning équipes
•    ELYONE Relance : automatisation des relances de factures impayées dans Odoo — données traitées : contacts, factures, créances, historique de relances
•    ELYONE Finance : pilotage de trésorerie dans Odoo — données traitées : flux de trésorerie, encaissements, décaissements, indicateurs financiers

Liste non exhaustive des données.

2.2 Catégories de personnes concernées

Les personnes concernées par les traitements réalisés dans le cadre du présent DPA sont notamment les clients et prospects du Client (personnes physiques ou représentants de personnes morales), les collaborateurs, commerciaux et techniciens du Client, ainsi que les fournisseurs et partenaires du Client dans la mesure où leurs données transitent par les Applications.

2.3 Durée

Le présent DPA est conclu pour la durée de la relation contractuelle entre les Parties. À l'expiration ou à la résiliation du contrat principal, ELYONE s'engage à restituer ou détruire les Données Personnelles conformément à l'article 9 du présent DPA.

ARTICLE 3 — OBLIGATIONS D'ELYONE EN QUALITÉ DE SOUS-TRAITANT
3.1 Traitement sur instruction documentée

ELYONE ne traite les Données Personnelles que sur instruction documentée du Client, sauf obligation légale contraire. Si ELYONE estime qu'une instruction constitue une violation du RGPD ou de toute disposition applicable en matière de protection des données, ELYONE en informera le Client sans délai.

3.2 Confidentialité

ELYONE garantit que les personnes autorisées à traiter les Données Personnelles sont soumises à une obligation de confidentialité contractuelle ou légale appropriée, et n'ont accès aux données qu'en stricte nécessité de leurs fonctions.

3.3 Sécurité

ELYONE met en œuvre et maintient les mesures techniques et organisationnelles appropriées visées à l'article 5 du présent DPA, afin d'assurer un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

3.4 Assistance au responsable de traitement

ELYONE assiste le Client, dans la mesure du possible et compte tenu de la nature du traitement, pour la satisfaction des demandes d'exercice de droits formulées par les personnes concernées, pour la réalisation d'Analyses d'Impact sur la Protection des Données (AIPD/DPIA) lorsqu'elles sont requises, et pour la notification des violations de données à l'autorité de contrôle et aux personnes concernées.

3.5 Notification des violations de données

ELYONE notifie au Client toute Violation de Données dans les meilleurs délais et au plus tard dans les 72 heures suivant la détection, par email à l'adresse désignée par le Client. La notification comportera au minimum la nature de la violation, les catégories et nombres approximatifs de personnes concernées, les coordonnées du point de contact, les conséquences probables et les mesures prises ou envisagées.

3.6 Registre des activités de traitement

ELYONE tient un registre de toutes les catégories d'activités de traitement effectuées pour le compte du Client, conformément à l'article 30(2) du RGPD, et le met à disposition du Client sur demande.

ARTICLE 4 — SOUS-TRAITANTS ULTÉRIEURS
4.1 Sous-traitants autorisés

Le Client autorise ELYONE à faire appel aux Sous-Traitants Ultérieurs suivants :
•    HubSpot, Inc. — CRM et synchronisation de données commerciales (contacts, sociétés, deals, devis) — localisation : USA / UE (Dublin) — garanties : CCT, DPA HubSpot
•    Sage Group plc — ERP Sage 100, synchronisation comptable et commerciale (clients, commandes, factures, tarifs) — localisation : UK / UE — garanties : CCT, DPA Sage
•    Odoo SA — ERP Odoo, modules Relance et Finance (factures, créances, trésorerie) — localisation : Belgique (UE) — garanties : CCT, DPA Odoo
•   Hébergeur infrastructure — hébergement des serveurs et données des Applications — localisation : France et Allemagne (Union Européenne principalement) — garanties : conformité RGPD
Toute modification de cette liste (adjonction ou remplacement) fera l'objet d'une information préalable au Client par email avec un préavis de 15 jours calendaires. Le Client peut s'opposer à cette modification en notifiant son refus motivé dans ce délai.

4.2 Obligations d'ELYONE vis-à-vis des Sous-Traitants

ELYONE impose contractuellement à chaque Sous-Traitant des obligations équivalentes à celles du présent DPA en matière de protection des données. ELYONE demeure pleinement responsable devant le Client de l'exécution de ces obligations par ses Sous-Traitants Ultérieurs.

ARTICLE 5 — MESURES DE SÉCURITÉ
5.1 Mesures techniques

•    Chiffrement des données en transit par protocole TLS 1.2 ou supérieur
•    Chiffrement des données au repos selon les standards en vigueur
•    Contrôle d'accès strict basé sur les rôles (RBAC) et authentification sécurisée
•    Journalisation des accès et détection des anomalies
•    Tests de pénétration et revues de sécurité périodiques
•    Procédure de gestion des correctifs et mises à jour de sécurité
•    Isolation logique des données par client
•    Infrastructure hébergée principalement en Union Européenne (France et Allemagne)

5.2 Mesures organisationnelles

•    Formation et sensibilisation régulières du personnel à la protection des données
•    Politique interne de gestion des incidents de sécurité
•    Engagement de confidentialité signé par les collaborateurs ayant accès aux données
•    Procédure de contrôle des accès aux systèmes de production

ARTICLE 6 — TRANSFERTS DE DONNÉES HORS UE

L'infrastructure d'hébergement des Applications ELYONE est principelement localisée en Union Européenne (France et Allemagne). Aucun transfert de données vers des pays tiers n'est opéré par ELYONE pour l'hébergement des Applications. Pour les traitements impliquant des Sous-Traitants pouvant opérer hors UE (notamment HubSpot, Sage ou Odoo), ELYONE s'assure que ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne. Sur demande écrite, ELYONE met à disposition du Client une copie des CCT applicables.

ARTICLE 7 — DROITS D'AUDIT

Le Client dispose du droit d'audit des activités de traitement d'ELYONE. ELYONE met à disposition du Client toute information nécessaire pour démontrer le respect des obligations du présent DPA et permet la réalisation d'audits ou d'inspections par le Client ou un auditeur mandaté, sur notification préalable de 30 jours calendaires minimum. ELYONE fournit une réponse écrite à tout questionnaire d'audit dans un délai raisonnable. Les audits sont réalisés aux frais du Client, pendant les horaires ouvrés, sans perturber les activités d'ELYONE. Les informations obtenues sont soumises à la confidentialité.

ARTICLE 8 — OBLIGATIONS DU CLIENT

Le Client, en sa qualité de Responsable de Traitement, s'engage à :
•    Fournir uniquement des instructions licites et conformes au RGPD
•    Disposer d'une base légale valide pour les traitements qu'il confie à ELYONE
•    Avoir informé les personnes concernées des traitements réalisés
•    S'assurer que les données transmises à ELYONE sont adéquates, pertinentes et limitées au strict nécessaire
•    Notifier sans délai ELYONE de toute demande d'exercice de droits reçue d'une personne concernée
•    Maintenir son registre des activités de traitement conformément à l'article 30(1) du RGPD

ARTICLE 9 — SORT DES DONNÉES EN FIN DE CONTRAT

À la résiliation ou à l'expiration du contrat, et au plus tard dans un délai de 30 jours suivant la date d'effet, ELYONE procédera, selon le choix du Client notifié par écrit, soit à la restitution de l'ensemble des Données Personnelles dans un format exploitable (CSV, JSON ou autre format convenu), soit à la suppression définitive et sécurisée de l'ensemble des Données Personnelles. ELYONE fournira au Client une attestation écrite de destruction ou de restitution. ELYONE peut toutefois conserver des données anonymisées à des fins statistiques, dès lors qu'elles ne permettent pas la réidentification des personnes.

ARTICLE 10 — RESPONSABILITÉ

Chaque Partie est responsable du respect de ses obligations au titre du présent DPA et du RGPD. En cas de violation imputable à ELYONE de ses obligations de sous-traitant, ELYONE supportera la part de responsabilité correspondant à sa faute propre. La responsabilité d'ELYONE au titre du présent DPA est plafonnée au montant des sommes effectivement versées par le Client au cours des trois (3) mois précédant le fait générateur du dommage, sauf en cas de dol ou faute lourde.

ARTICLE 11 — DROIT APPLICABLE ET JURIDICTION

Le présent DPA est soumis au droit français et au RGPD. En cas de litige relatif à son interprétation ou à son exécution, les Parties s'engagent à chercher une solution amiable dans un délai de 30 jours. À défaut, le litige sera soumis aux tribunaux compétents de Paris.

ARTICLE 12 — MODIFICATIONS

Le présent DPA peut être modifié par ELYONE pour tenir compte de l'évolution de la réglementation applicable ou des pratiques de traitement, sous réserve d'un préavis de 15 jours. En cas de modification substantielle, le Client peut résilier le contrat principal sans pénalité dans un délai de 30 jours suivant la notification.

ANNEXE A — INSTRUCTIONS DOCUMENTÉES DU CLIENT

Le Client autorise ELYONE à effectuer les opérations de traitement suivantes dans le cadre strict de l'exécution des Applications :
•    Lecture, extraction et synchronisation des données via les API des Plateformes Partenaires (HubSpot, Sage 100, Odoo)
•    Stockage temporaire des données nécessaire aux flux de synchronisation
•    Transformation et mappage des données entre les formats des Plateformes Partenaires
•    Journalisation des opérations de synchronisation à des fins de traçabilité et de support
•    Archivage des logs techniques pour une durée de 90 jours
Toute opération de traitement non listée ci-dessus devra faire l'objet d'une instruction écrite préalable du Client.

 

 

 

CONTACTEZ-NOUS :

commercial@elyone.com

+33 1 75 43 75 30

40 rue d'Hautpoul, 75019 Paris, France

 

 

Information

Accueil         Politique de confidentialité & cookies          Mentions légales & CGU          Conditions Générales de Vente (CGV) 

CGU Connecteurs & Applications         Data Processing Agreement (DPA)         Politique de confidentialité Connecteurs & Applications 

ELYONE © 2026 Tous droits réservés