Retour
Accord de traitement des données
Dernière mise à jour : 25 mai 2026
Le présent Accord de traitement des données (« DPA ») est conclu entre vous, le client de Tailride (le « responsable du traitement »), et Tailride S.à r.l., société de droit luxembourgeois, dont le siège social est situé au 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, TVA LU37209474 (le « sous-traitant », « Tailride », « nous »). Ce DPA fait partie intégrante des Conditions générales de Tailride (l'« Accord ») et s'applique chaque fois que Tailride traite des données à caractère personnel pour le compte du responsable du traitement dans le cadre du service. Les termes en majuscules non définis ici ont le sens qui leur est donné dans l'Accord, dans le Règlement (UE) 2016/679 (le RGPD) et dans le UK GDPR. La version anglaise du présent DPA est la version qui fait foi ; les traductions sont fournies uniquement à titre indicatif.
TL;DR — ce que ce DPA signifie en clair
Cette page est un contrat entre vous et Tailride concernant la manière dont nous traitons les données à caractère personnel que vous introduisez dans le produit. Voici ce que cela signifie réellement, sans jargon juridique :
• Vous gardez le contrôle de vos données. Vous êtes le « responsable du traitement » des données que vous importez (factures, reçus, contenu de boîte mail, contacts). Tailride est le « sous-traitant » — nous traitons ces données uniquement pour faire fonctionner le produit pour vous. • Nous faisons uniquement ce que vous nous demandez. Nous traitons vos données pour fournir les fonctionnalités de Tailride, les sécuriser et respecter nos obligations légales — rien d'autre. Nous ne vendons pas vos données et nous n'entraînons pas de modèles d'IA généralisés sur vos données. • Nous choisissons nos sous-traitants ultérieurs avec soin. Nous travaillons avec une courte liste de prestataires reconnus (hébergement cloud, e-mail transactionnel, OCR/IA, chat de support client). La liste actuelle figure à l'Annexe 3 avec l'entité juridique, la juridiction et la région de traitement pour chacun. Chacun d'eux traite les Données à caractère personnel du Client dans le cadre d'un accord de traitement des données conforme au RGPD, incorporé aux conditions que nous acceptons lorsque nous utilisons leurs services. Les prestataires de paiement, les analytics web/produit, les partenaires publicitaires et de marketing d'affiliation sont des responsables du traitement indépendants ou conjoints — ils ne sont pas des sous-traitants ultérieurs au sens du présent DPA et sont listés séparément dans notre Politique de confidentialité. • Vos données restent principalement dans l'UE. L'application, la base de données et le stockage des documents fonctionnent dans des régions de l'UE (Frankfurt, Stockholm, Dublin, Irlande). Un petit nombre de sous-traitants ultérieurs (par exemple IA/OCR ou e-mail transactionnel) peuvent traiter des données aux États-Unis — dans ce cas, nous nous appuyons sur les Clauses contractuelles types de la Commission européenne ou sur un mécanisme de transfert équivalent. • Nous protégeons vos données. Chiffrement en transit et au repos, authentification multifactorielle, accès selon le principe du moindre privilège, journaux d'audit et revue annuelle des accès. La liste complète des mesures techniques et organisationnelles figure à l'Annexe 2. • En cas de problème, vous serez informé. Nous vous notifierons toute violation confirmée de données à caractère personnel sans retard injustifié (et au plus tard dans les 72 heures après en avoir pris connaissance), et nous vous assisterons dans le traitement des demandes des personnes concernées (accès, suppression, portabilité) ainsi que dans toute demande d'une autorité de protection des données. • Ajout ou remplacement de sous-traitants ultérieurs. Nous maintenons la liste à jour sur cette page. Si nous ajoutons un nouveau sous-traitant ultérieur ou en remplaçons un, nous mettons à jour l'Annexe 3 ici-même. Si vous n'êtes pas d'accord avec un changement, vous pouvez nous écrire dans un délai de 30 jours et nous en discuterons de bonne foi — ou vous pouvez cesser d'utiliser le service concerné à la fin de votre période de facturation. • Fermeture de votre compte. Tant que votre compte reste actif — y compris en cas d'abonnement en pause ou de formule gratuite — nous conservons vos données afin que vous puissiez continuer à utiliser le produit. Pour les supprimer, fermez votre compte depuis Paramètres → Supprimer le compte ; vous disposerez alors de 30 jours pour exporter ce dont vous avez besoin, et nous supprimerons les données à caractère personnel de nos systèmes actifs dans un délai de 90 jours par la suite (certains enregistrements limités peuvent être conservés lorsque la loi l'exige, par exemple pour la comptabilité ou la lutte contre la fraude). Les sauvegardes chiffrées sont écrasées selon leur propre cycle (actuellement jusqu'à douze mois), sont maintenues isolées et utilisées uniquement à des fins de reprise après sinistre — si nous devions un jour restaurer à partir d'une sauvegarde, nous réappliquerions votre suppression aux données restaurées.
Ce résumé est fourni uniquement à titre indicatif. En cas de contradiction, le texte intégral du DPA ci-dessous — ainsi que les Clauses contractuelles types européennes incorporées par référence — prévaut.
1. Définitions
Outre les termes définis dans l'Accord, les définitions suivantes s'appliquent : • « Législation applicable à la protection des données » désigne (i) le Règlement (UE) 2016/679 (le RGPD), (ii) le UK Data Protection Act 2018 et le UK GDPR, (iii) la loi fédérale suisse sur la protection des données, et (iv) toute autre loi en matière de vie privée ou de protection des données applicable au Traitement effectué dans le cadre de l'Accord, dans chaque cas telle que modifiée de temps à autre. • « Responsable du traitement », « sous-traitant », « sous-traitant ultérieur », « Traitement », « données à caractère personnel », « personne concernée », « catégories particulières de données à caractère personnel » et « autorité de contrôle » ont le sens qui leur est donné dans la Législation applicable à la protection des données. • « EU SCCs » désigne les Clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021, Module Two (responsable du traitement vers sous-traitant), telles que mises à jour de temps à autre. • « UK Addendum » désigne l'International Data Transfer Addendum to the EU Commission SCCs publié par l'UK Information Commissioner's Office (version B.1.0) en vertu de la section 119A du UK Data Protection Act 2018. • « Violation de données à caractère personnel » a le sens qui lui est donné à l'article 4(12) du RGPD. • « Données à caractère personnel du Client » désigne les données à caractère personnel que Tailride traite pour le compte du responsable du traitement dans le cadre de l'Accord, telles que décrites plus précisément à l'Annexe 1.
2. Champ d'application et rôles
2.1 Rôles. S'agissant des Données à caractère personnel du Client, le responsable du traitement est le « responsable du traitement » et Tailride est le « sous-traitant » au sens de la Législation applicable à la protection des données. Pour les données que Tailride collecte de manière indépendante (par exemple, les données de compte et de facturation décrites dans notre Politique de confidentialité), Tailride agit en tant que responsable du traitement indépendant et ce traitement est régi par la Politique de confidentialité, et non par le présent DPA. 2.2 Champ d'application. Le présent DPA s'applique à tout Traitement de Données à caractère personnel du Client effectué par Tailride et ses sous-traitants ultérieurs dans le cadre de l'Accord. 2.3 Conformité. Chaque partie respecte ses obligations respectives au titre de la Législation applicable à la protection des données. Le responsable du traitement est responsable de la licéité des données qu'il transmet à Tailride et de disposer d'une base légale valable pour instruire Tailride de les traiter. 2.4 Pas de catégories particulières sans accord préalable. Tailride ne s'attend pas à recevoir de catégories particulières de données à caractère personnel (article 9 du RGPD) ni de données relatives aux condamnations pénales et aux infractions (article 10 du RGPD). Le responsable du traitement s'engage à ne pas importer de telles données, sauf accord écrit préalable et exprès.
3. Instructions de traitement données à Tailride
3.1 Instructions documentées. Tailride ne traitera les Données à caractère personnel du Client que sur la base d'instructions documentées du responsable du traitement, y compris toute configuration du service effectuée par le responsable du traitement. L'Accord (le présent DPA, la Politique de confidentialité, la commande/le paiement et l'utilisation du service par le responsable du traitement) constitue les instructions complètes et définitives du responsable du traitement à Tailride. 3.2 Instructions supplémentaires. Les instructions qui dépassent le champ du service peuvent être facturées en régie, sous réserve de l'acceptation préalable de Tailride. 3.3 Obligations légales. Si une loi de l'Union européenne ou d'un État membre (ou toute autre loi applicable) impose à Tailride de traiter les Données à caractère personnel du Client autrement que selon les instructions reçues, Tailride en informera le responsable du traitement avant un tel Traitement, sauf si cette loi interdit une telle information pour des motifs importants d'intérêt public. 3.4 Instructions illégales. Si Tailride estime qu'une instruction enfreint la Législation applicable à la protection des données, il en informera le responsable du traitement sans retard injustifié et pourra suspendre le Traitement concerné jusqu'à ce que le responsable du traitement modifie son instruction.
4. Confidentialité
Tailride veille à ce que l'ensemble du personnel autorisé à traiter les Données à caractère personnel du Client soit soumis à des obligations de confidentialité appropriées (contractuelles ou légales) et reçoive une formation appropriée en matière de protection des données. L'accès aux Données à caractère personnel du Client est limité au personnel qui en a besoin pour les besoins de l'Accord.
5. Mesures de sécurité
5.1 Mesures techniques et organisationnelles. Tailride met en œuvre et maintient les mesures techniques et organisationnelles (MTO) décrites à l'Annexe 2 afin d'assurer un niveau de sécurité adapté au risque pour les droits et libertés des personnes concernées. 5.2 Assistance aux obligations de sécurité. Compte tenu de la nature du Traitement et des informations à sa disposition, Tailride assistera le responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure raisonnablement possible, dans l'accomplissement de ses obligations au titre des articles 32 à 36 du RGPD (sécurité du traitement, notification des violations, analyses d'impact relatives à la protection des données et consultation préalable). 5.3 Mises à jour. Tailride peut mettre à jour ses MTO de temps à autre, à condition que toute mise à jour ne diminue pas matériellement le niveau global de protection des Données à caractère personnel du Client.
6. Sous-traitants ultérieurs
6.1 Autorisation générale. Le responsable du traitement accorde à Tailride une autorisation générale d'engager des sous-traitants ultérieurs pour traiter les Données à caractère personnel du Client aux fins prévues au présent DPA. La liste actuelle des sous-traitants ultérieurs figure à l'Annexe 3 du présent DPA. 6.2 Notification via la page DPA. Tailride maintient à jour l'Annexe 3 du présent DPA et publie tout ajout ou remplacement d'un sous-traitant ultérieur sur cette page. En acceptant le présent DPA, le responsable du traitement convient que la publication d'une Annexe 3 mise à jour à l'adresse https://tailride.so/dpa constitue la notification des changements aux fins de l'article 28(2) du RGPD. Les responsables du traitement souhaitant recevoir des notifications par e-mail des changements de sous-traitants ultérieurs peuvent s'y abonner en écrivant à mike@tailride.so. 6.3 Droit d'opposition. Le responsable du traitement peut s'opposer par écrit à un nouveau sous-traitant ultérieur pour des motifs raisonnables liés à la protection des données dans un délai de trente (30) jours à compter de la publication du changement sur cette page. Les parties en discuteront de bonne foi. À défaut d'accord entre les parties, le responsable du traitement peut résilier la partie concernée du service à la fin de sa période de facturation alors en cours ; Tailride n'est pas tenu de rembourser les frais déjà dus au titre de cette période de facturation. 6.4 Cascade des obligations. Tailride imposera à chaque sous-traitant ultérieur des obligations de protection des données au moins aussi protectrices que celles prévues au présent DPA (que ce soit par un accord signé séparément ou en acceptant l'accord de traitement des données publié par le sous-traitant ultérieur), et restera responsable envers le responsable du traitement du respect du présent DPA par chaque sous-traitant ultérieur comme si ses actes ou omissions étaient ceux de Tailride.
7. Transferts internationaux de données
7.1 Traitement dans l'EEE. Tailride traite principalement les Données à caractère personnel du Client au sein de l'Espace économique européen (EEE), notamment en Allemagne (Frankfurt), en Suède (Stockholm) et en Irlande (Dublin). 7.2 Transferts hors de l'EEE / du Royaume-Uni / de la Suisse. Lorsque Tailride ou un sous-traitant ultérieur transfère des Données à caractère personnel du Client en dehors de l'EEE, du Royaume-Uni ou de la Suisse vers un pays non couvert par une décision d'adéquation, Tailride veillera à ce qu'un mécanisme de transfert approprié s'applique, pouvant inclure : (a) les EU SCCs (Module Two), qui sont incorporées par référence dans le présent DPA et dans nos contrats avec les sous-traitants ultérieurs ; (b) pour les transferts soumis au UK GDPR, le UK Addendum aux EU SCCs ; (c) pour les transferts depuis la Suisse, les EU SCCs telles qu'adaptées par le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) ; et/ou (d) tout autre mécanisme de transfert légal, y compris le EU-US Data Privacy Framework (et ses extensions britannique et suisse) lorsque l'importateur est auto-certifié. 7.3 Annexes aux SCCs. L'exportateur de données est le responsable du traitement ; l'importateur de données est Tailride S.à r.l. Les informations requises par l'annexe I.A (liste des parties), l'annexe I.B (description du transfert) et l'annexe II (mesures techniques et organisationnelles) des EU SCCs figurent à l'Annexe 1 et à l'Annexe 2 du présent DPA. L'annexe III (liste des sous-traitants ultérieurs) correspond à l'Annexe 3. 7.4 Évaluation des transferts. Tailride a évalué et continuera d'évaluer les cadres juridiques des pays de destination de ses sous-traitants ultérieurs et a mis en place des mesures supplémentaires (chiffrement, contrôles d'accès, garanties contractuelles, transparence sur les demandes des autorités publiques) lorsque cela est approprié.
8. Demandes des personnes concernées
8.1 Assistance. Compte tenu de la nature du Traitement, Tailride assistera le responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes des personnes concernées exerçant leurs droits au titre du chapitre III du RGPD (droit d'accès, de rectification, d'effacement, de limitation, de portabilité des données et d'opposition). 8.2 Demandes directes. Si Tailride reçoit une demande directement d'une personne concernée relative aux Données à caractère personnel du Client, Tailride ne répondra pas sur le fond à la demande sauf si le responsable du traitement l'y a autorisé, et informera plutôt le responsable du traitement de la demande sans retard injustifié. 8.3 Libre-service. De nombreuses demandes des personnes concernées peuvent être traitées directement par le responsable du traitement via le produit Tailride (par exemple, suppression de fiches individuelles, export de données ou suppression complète du compte depuis les Paramètres).
9. Notification des violations de données à caractère personnel
9.1 Notification. Tailride notifiera au responsable du traitement toute violation de données à caractère personnel confirmée affectant les Données à caractère personnel du Client sans retard injustifié après en avoir pris connaissance, et en tout état de cause dans les soixante-douze (72) heures. 9.2 Informations. La notification décrira, dans la mesure raisonnablement disponible, (a) la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et de fichiers affectés ; (b) les conséquences probables de la violation ; et (c) les mesures prises ou proposées pour remédier à la violation et atténuer ses éventuels effets négatifs. Tailride fournira des informations complémentaires au fur et à mesure de leur disponibilité. 9.3 Coopération. Tailride coopérera raisonnablement avec le responsable du traitement et lui apportera une assistance raisonnable dans ses communications avec les autorités de contrôle et les personnes concernées affectées.
10. AIPD et consultations préalables
Compte tenu de la nature du Traitement et des informations à sa disposition, Tailride apportera au responsable du traitement une assistance raisonnable pour la réalisation des analyses d'impact relatives à la protection des données (AIPD) prévues à l'article 35 du RGPD et pour toute consultation préalable d'une autorité de contrôle prévue à l'article 36 du RGPD, lorsque la Législation applicable à la protection des données l'exige. Tailride satisfera généralement à cette obligation en mettant à disposition le présent DPA, la liste actuelle des sous-traitants ultérieurs (Annexe 3), les Mesures techniques et organisationnelles (Annexe 2) et sa documentation de sécurité standard. Une assistance sur mesure allant au-delà — par exemple, le remplissage d'un questionnaire d'AIPD propre au responsable du traitement ou la participation à des consultations avec une autorité de contrôle — pourra être fournie en régie, à la discrétion de Tailride.
11. Information et audits
11.1 Information. Sur demande écrite raisonnable, Tailride mettra à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et de l'article 28 du RGPD, y compris, le cas échéant, des résumés de certifications de sécurité indépendantes, des rapports d'audit, des résultats de tests d'intrusion et des réponses à des questionnaires, sous réserve d'obligations raisonnables de confidentialité. 11.2 Audits. Sans préjudice de la clause 11.1, le responsable du traitement (ou un auditeur indépendant mandaté par lui, sous réserve de confidentialité et à condition qu'il ne soit pas un concurrent de Tailride) peut réaliser des audits sur site des installations de traitement de Tailride au maximum une fois par année civile (sauf exigence d'une autorité de contrôle), moyennant un préavis écrit d'au moins trente (30) jours, pendant les heures ouvrables habituelles et sans perturber de manière déraisonnable les opérations de Tailride. Le responsable du traitement supporte ses propres frais pour tout audit ; Tailride supporte le coût d'une assistance raisonnable jusqu'à un maximum d'un (1) jour ouvré par année civile et par responsable du traitement, et peut facturer en régie au-delà. 11.3 Coopération avec l'autorité de contrôle. Tailride coopérera avec tout audit ou enquête mené par une autorité de contrôle compétente.
12. Restitution ou suppression des données à caractère personnel
12.1 Conservation pendant la durée d'activité du compte. Tant que le compte du responsable du traitement reste actif — y compris en cas d'abonnement en pause, de formule gratuite ou d'état autrement dormant — Tailride conserve les Données à caractère personnel du Client afin que le responsable du traitement puisse continuer à accéder au service et à l'utiliser. Le responsable du traitement peut déclencher la suppression à tout moment depuis Paramètres → Supprimer le compte dans le produit Tailride. 12.2 Restitution ou suppression à la fermeture ou à la résiliation. À la fermeture du compte du responsable du traitement, ou à la résiliation ou à l'expiration de l'Accord (chacune une « Date de fin »), et au choix du responsable du traitement, Tailride restituera ou supprimera les Données à caractère personnel du Client conservées pour son compte dans un délai de quatre-vingt-dix (90) jours à compter de la Date de fin. Le choix par défaut est la suppression. Pour éviter toute ambiguïté, la mise en pause d'un abonnement, le passage à une formule inférieure ou le passage à une formule gratuite ne constituent pas une Date de fin. 12.3 Export en libre-service. Avant la suppression, le responsable du traitement peut exporter ses données via les fonctionnalités disponibles dans le produit. Le responsable du traitement dispose d'au moins trente (30) jours à compter de la Date de fin pour effectuer un export en libre-service. 12.4 Sauvegardes et conservation légale. Tailride peut conserver les Données à caractère personnel du Client (a) dans des sauvegardes chiffrées, qui sont maintenues isolées des systèmes de production et utilisées uniquement à des fins de reprise après sinistre, pendant une période limitée jusqu'à ce que la sauvegarde soit écrasée selon le cycle normal de rotation des sauvegardes (actuellement jusqu'à douze (12) mois) ; et (b) lorsque cela est nécessaire pour se conformer à la loi applicable (par exemple, obligations comptables, fiscales ou de lutte contre la fraude). Si Tailride restaure à partir d'une sauvegarde contenant des Données à caractère personnel du Client qui avaient été précédemment supprimées conformément au présent article 12, Tailride réappliquera, sans retard injustifié après la restauration, la suppression correspondante aux données restaurées. Toute donnée conservée reste soumise au présent DPA.
13. Responsabilité
La responsabilité globale de chaque partie découlant du présent DPA ou s'y rapportant est soumise aux limitations et exclusions de responsabilité prévues dans l'Accord. Aucune disposition du présent DPA ne limite les droits ou recours dont les personnes concernées peuvent disposer directement à l'encontre du responsable du traitement ou du sous-traitant au titre de la Législation applicable à la protection des données.
14. Droit applicable et juridiction
Le présent DPA est régi par le droit du Grand-Duché de Luxembourg, sans préjudice des dispositions impératives en matière de protection des consommateurs du pays de résidence du responsable du traitement. Les tribunaux compétents de la Ville de Luxembourg ont juridiction exclusive, sauf disposition contraire de la Législation applicable à la protection des données (en particulier pour les droits des personnes concernées, pour lesquels les tribunaux du lieu de résidence habituelle de la personne concernée peuvent également être compétents). Pour les transferts régis par les EU SCCs ou le UK Addendum, le droit applicable et le for prévus dans ces clauses prévalent pour toute question relevant de leur champ d'application.
15. Modifications du présent DPA
Tailride peut mettre à jour le présent DPA de temps à autre pour refléter les évolutions de la Législation applicable à la protection des données, les évolutions de nos services ou les évolutions de notre liste de sous-traitants ultérieurs. Les mises à jour importantes seront annoncées sur cette page avec une nouvelle date de « Dernière mise à jour », et tout changement réduisant matériellement le niveau de protection des Données à caractère personnel du Client ne prendra effet pour un responsable du traitement existant qu'au moins trente (30) jours après notification (sauf si la Législation applicable à la protection des données exige une prise d'effet plus rapide).
Annexe 1 — Détails du traitement (Annexe I.B des EU SCCs)
Exportateur de données (responsable du traitement). Le Client de Tailride, identifié par les informations de compte, les informations de facturation et la commande/le paiement soumis à Tailride. Rôle : responsable du traitement. Importateur de données (sous-traitant). Tailride S.à r.l., 6 rue M. Schnadt, L-2530 Luxembourg, RCS Luxembourg B303779, TVA LU37209474. Contact protection des données : mike@tailride.so. Rôle : sous-traitant. Objet. La fourniture du service Tailride tel que décrit dans l'Accord : capture, OCR, extraction structurée par IA, organisation, stockage, recherche, partage et export ultérieur des factures, reçus et documents commerciaux associés, ainsi que le support client associé. Durée. La durée de l'Accord, plus toute période de conservation requise pour la rotation des sauvegardes ou les obligations légales (voir clause 12). Nature et finalité du traitement. Hébergement, OCR et extraction par IA, indexation, recherche, déduplication, partage, export et intégration des documents financiers sur instructions du responsable du traitement ; fourniture du support client associé et des opérations de compte/facturation. Catégories de personnes concernées. • Les utilisateurs autorisés du responsable du traitement (administrateurs, comptables, membres d'équipe) ; • Les clients, fournisseurs et contreparties du responsable du traitement dont les noms apparaissent sur les factures, reçus et documents associés ; • Toute autre personne physique dont les données à caractère personnel apparaissent dans les documents que le responsable du traitement choisit d'importer ou de connecter. Catégories de données à caractère personnel. • Données d'identification : nom complet, adresse e-mail professionnelle, adresse postale, numéros de TVA/d'identification fiscale, numéros de téléphone lorsqu'ils figurent dans les documents. • Données de compte : nom, e-mail, identifiants d'authentification hachés, préférence de langue, rôle. • Données de transaction : numéros de facture, dates, lignes de poste, montants, devises, statut de paiement. • Données de connexion : jetons OAuth pour les boîtes mail connectées, les fournisseurs de stockage cloud et les systèmes de comptabilité (stockés chiffrés au repos). • Données techniques : adresse IP, identifiants de navigateur/d'appareil, horodatages, journaux d'application. • Données de contenu : texte et images contenus dans les documents importés ou récupérés. Catégories particulières de données à caractère personnel. Aucune attendue. Le responsable du traitement s'engage à ne pas importer de catégories particulières de données à caractère personnel sauf accord écrit préalable. Fréquence des transferts. Sur une base continue pendant la durée de l'Accord. Autorité de contrôle compétente. La Commission nationale pour la protection des données (CNPD), Luxembourg, pour les transferts régis par les EU SCCs lorsque Tailride est l'importateur de données.
Annexe 2 — Mesures techniques et organisationnelles (Annexe II des EU SCCs)
Tailride met en œuvre les mesures techniques et organisationnelles suivantes afin d'assurer un niveau de sécurité adapté au risque. Ces mesures peuvent être mises à jour de temps à autre, à condition que le niveau global de protection ne soit pas réduit. A. Mesures organisationnelles • Politiques de sécurité de l'information documentées couvrant l'utilisation acceptable, la gestion des accès, la réponse aux incidents, la gestion des changements et la gestion des prestataires. • Revue annuelle des politiques de sécurité et des rôles. • Le personnel est soumis à des obligations de confidentialité écrites. • L'accès aux systèmes de production est accordé selon le principe du besoin d'en connaître et du moindre privilège, et revu au moins une fois par an. • Plan de réponse aux incidents documenté, comprenant les rôles, les voies de communication et les exigences de retour d'expérience. B. Contrôle d'accès • Single sign-on pour les systèmes internes lorsque cela est possible. • Authentification multifactorielle requise pour l'accès à la production et pour les comptes développeurs à privilèges. • Comptes personnels pour l'accès à la production ; pas d'identifiants partagés. • Jetons d'accès à durée limitée ; révocation lors d'un changement de rôle ou d'un départ. C. Chiffrement • TLS 1.2 ou supérieur pour les données en transit entre le client et Tailride et entre Tailride et ses sous-traitants ultérieurs. • Chiffrement au repos de la base de données de production et du stockage objet (AES-256 ou équivalent). • Chiffrement au repos des jetons OAuth pour les comptes tiers connectés. D. Réseau et hébergement • Production hébergée sur Vercel (région compute UE : Frankfurt) et sur des services cloud managés (AWS régions UE, MongoDB Atlas région UE, Upstash région UE). • Cloisonnement logique des données clients via des identifiants de tenant. • Protections WAF/CDN en périphérie. • Sous-traitants ultérieurs disposant de certifications standard de l'industrie (ISO 27001, SOC 2 Type II) privilégiés pour les infrastructures critiques. E. Exploitation • Journalisation centralisée des événements pertinents pour la sécurité ; journaux conservés au moins 30 jours. • Programme de gestion des vulnérabilités (analyse des dépendances, déploiement automatisé des correctifs). • Sauvegardes quotidiennes chiffrées de la base de données de production, avec restauration à un instant donné sur une fenêtre glissante de 7 à 35 jours et conservation de snapshots complets jusqu'à douze (12) mois ; les sauvegardes sont maintenues isolées des systèmes de production et utilisées uniquement à des fins de reprise après sinistre. • Tests de restauration sur une base périodique. F. Développement logiciel • Code source stocké dans des dépôts privés avec revue de code obligatoire pour les branches de production. • Séparation des environnements de développement, de pré-production et de production. • Secrets stockés dans un coffre-fort de secrets managé ; pas de secrets dans le code source. • Tests automatisés intégrés au pipeline CI. G. Gestion des prestataires • Sous-traitants ultérieurs sélectionnés sur la base de la sécurité, de la conformité et de la criticité métier. • Accords de traitement des données conclus avec tous les sous-traitants ultérieurs qui traitent des Données à caractère personnel du Client. • Mécanismes de transfert (EU SCCs / UK Addendum / DPF) mis en place lorsque cela est requis. H. Support aux personnes concernées • Suppression en libre-service intégrée des comptes et des fiches individuelles. • Processus documenté pour le traitement des demandes des personnes concernées reçues indirectement via le responsable du traitement.
Annexe 3 — Liste des sous-traitants ultérieurs (Annexe III des EU SCCs)
Tailride fait appel aux sous-traitants ultérieurs suivants pour fournir le service. Cette page constitue la liste de référence des sous-traitants ultérieurs et est tenue à jour ; tout ajout ou remplacement y est publié conformément à la clause 6. Les entrées indiquées comme activées par l'utilisateur ne sont utilisées que si le responsable du traitement active l'intégration correspondante. Les entrées marquées « Prévu » ne sont pas encore actives et sont listées à des fins de transparence ; elles ne commenceront à Traiter des Données à caractère personnel du Client que lorsque la fonctionnalité correspondante sera activée.
| Prestataire | Finalité | Entité juridique | Région de traitement | Garanties de transfert |
|---|---|---|---|---|
| Vercel Inc. | Hébergement web, edge compute, tâches cron et CDN. | Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA | EU (Frankfurt / fra1) compute, global CDN | EU SCCs + EU-U.S. DPF |
| Amazon Web Services EMEA SARL | Stockage objet des documents importés (Amazon S3) et extraction OCR (Amazon Textract). | AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg | EU (eu-central-1 Frankfurt / eu-north-1 Stockholm) | EU SCCs (AWS DPA) + EU-U.S. DPF |
| MongoDB, Inc. | Base de données applicative managée (MongoDB Atlas). | MongoDB, Inc., 1633 Broadway 38th Fl, New York, NY 10019, USA | EU (Atlas EU region) | EU SCCs + EU-U.S. DPF |
| Upstash, Inc. | File d'attente de tâches asynchrones (QStash) pour les opérations OCR, de synchronisation et d'export. | Upstash, Inc., 350 California Street, Suite 600, San Francisco, CA 94104, USA | EU (eu-central-1) | EU SCCs |
| Google Ireland Limited (Cloud Run) | Microservice backend interne hébergé sur Google Cloud Run. | Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland | EU (europe-west3 Frankfurt) | Within EEA + EU SCCs / DPF for onward US transfers |
| Hetzner Online GmbH | Hébergement cloud pour le worker en arrière-plan et le service de rendu PDF Gotenberg. | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Germany | EU (eu-central, Helsinki, Finland) | Within EEA + Hetzner DPA |
| Resend, Inc. | E-mails transactionnels (inscription, réinitialisation de mot de passe, reçus, notifications produit). | Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA | US | EU SCCs |
| Crisp IM SAS | Support par chat en direct — les responsables du traitement peuvent partager des captures d'écran et des détails des données de leur espace de travail lorsqu'ils contactent le support. | Crisp IM SAS, 2 boulevard de Launay, 44100 Nantes, France | EU (France) | Within EEA |
| OpenAI, LLC | Extraction de texte des factures. | OpenAI, LLC, 3180 18th Street, San Francisco, CA 94110, USA | US | EU SCCs (OpenAI EU DPA); zero-retention API mode |
| Microsoft Ireland Operations Ltd (Azure OpenAI / AI Vision) | OCR et compréhension de documents via Azure OpenAI / Azure AI Vision. | Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | EU (Azure EU data zones) | Within EEA + EU SCCs / DPF for onward US transfers |
| Google Ireland Limited (Gemini API) | Extraction de factures via l'API Google Gemini. | Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland | EU / US (global Google AI infrastructure) | EU SCCs + EU-U.S. DPF |
Cette liste couvre les Sous-traitants ultérieurs qui traitent des Données personnelles client pour le compte de Tailride au sens de l'article 28 du RGPD. Les catégories suivantes de tiers sont volontairement exclues de cette liste, car Tailride ne les engage pas comme Sous-traitants ultérieurs au titre de l'article 28 : (i) Partenaires de paiement (par exemple Stripe et, le cas échéant, Paddle en tant que futur Merchant of Record prévu) : ces prestataires agissent comme responsables du traitement indépendants pour les données de paiement qu'ils traitent au titre de leurs propres obligations légales et réglementaires (PCI-DSS, lutte contre le blanchiment, prévention de la fraude). Ils sont décrits dans la Politique de confidentialité. (ii) Partenaires d'analyse web et produit (par exemple Google Tag Manager, Google Analytics 4, DataFast) : Tailride détermine ce qu'il convient de mesurer sur son site web public et dans le produit, de sorte que Tailride agit comme responsable du traitement (et, avec le prestataire d'analyse, dans une relation de responsabilité conjointe ou indépendante). Ces outils sont chargés sous réserve du consentement aux cookies et sont décrits dans la Politique de confidentialité. (iii) Partenaires publicitaires (par exemple Meta Pixel et Conversions API, ainsi que Google Ads comme ajout futur prévu) : Tailride et la plateforme publicitaire agissent comme responsables conjoints ou indépendants du traitement pour les données de mesure publicitaire et de conversion. Ils sont chargés sous réserve du consentement aux cookies et décrits dans la Politique de confidentialité. (iv) Partenaires de marketing d'affiliation (par exemple Affonso) : Tailride utilise des événements d'attribution d'affiliation pour son propre marketing ; le prestataire d'affiliation agit comme responsable du traitement indépendant pour les données qu'il reçoit. Décrit dans la Politique de confidentialité. (v) Vérifications antifraude et de création de compte (par exemple vérification UserCheck des domaines d'e-mail jetables) : Tailride effectue ces vérifications dans son intérêt légitime propre de prévention de la fraude ; le prestataire de vérification agit comme responsable du traitement pour les données de domaine d'e-mail qu'il reçoit. Décrit dans la Politique de confidentialité. (vi) Prestataires auxiliaires qui ne traitent pas de Données personnelles client (par exemple API de taux de change et services de recherche de logos de fournisseurs comme Brandfetch, qui ne reçoivent qu'un nom de domaine de fournisseur). (vii) Intégrations, canaux de communication et destinations activés par l'utilisateur. Si le responsable du traitement connecte ou utilise Google Drive / Gmail / Sheets, Microsoft 365 / OneDrive / Outlook, QuickBooks Online, Xero, Microsoft Dynamics 365 Business Central, Odoo, des serveurs IMAP/SMTP, WhatsApp Cloud API, Telegram Bot API ou des webhooks personnalisés, ou si des documents sont reçus par téléversement via navigateur ou par e-mail choisi par le responsable du traitement ou la personne concernée, Tailride transmet ou reçoit des Données personnelles client via ce canal uniquement sur instruction du responsable du traitement ou par action de la personne concernée. Le compte tiers, le navigateur, le service e-mail, le canal de messagerie ou la destination est sélectionné, configuré ou utilisé par le responsable du traitement ou la personne concernée et fonctionne dans le cadre de la relation distincte de cette partie avec le prestataire concerné. Ces canaux et destinations ne sont pas des Sous-traitants ultérieurs de Tailride au titre de l'article 28.
Comment le présent DPA devient contraignant
Le présent DPA fait partie des Conditions générales de Tailride. En acceptant les Conditions générales (par exemple, lors de l'inscription au service ou en conservant un abonnement actif), le responsable du traitement accepte d'être lié par le présent DPA et incorpore par référence les EU SCCs (Module Two, responsable du traitement vers sous-traitant) et, le cas échéant, le UK Addendum, avec Tailride S.à r.l. en tant qu'importateur de données et le responsable du traitement en tant qu'exportateur de données. Les clients ayant besoin d'une copie contresignée du présent DPA sur papier à en-tête de Tailride — par exemple pour des dossiers achats — peuvent en faire la demande à mike@tailride.so. Tailride pourra signer un DPA substantiellement similaire proposé par le responsable du traitement, sous réserve d'une revue commerciale.
Contact
Contact protection des données et vie privée : mike@tailride.so Adresse postale : Tailride S.à r.l. 6 rue M. Schnadt L-2530 Luxembourg Grand-Duché de Luxembourg Autorité de contrôle compétente (lorsque Tailride agit en tant qu'importateur de données au titre des EU SCCs) : Commission nationale pour la protection des données (CNPD) 15, boulevard du Jazz L-4370 Belvaux Grand-Duché de Luxembourg https://cnpd.public.lu