Essai gratuit

Politique de confidentialité

Dernière mise à jour : 23 décembre 2024

Bepaid SRL, éditeur de PeppolExpress, sera amenée à traiter des données personnelles au titre desquelles le Client est responsable de traitement et agira en conséquence sur la base des seules instructions du Client, conformément au rôle de sous-traitant de Bepaid en vertu de la réglementation applicable en matière de protection des données à caractère personnel.

Pour les besoins du présent contrat, les termes « traitement », « Responsable de traitement », « sous-traitant », « personnes concernées », et « données à caractère personnel » ont le sens donné par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après, le « RGPD »).

Description du traitement faisant l'objet de la sous-traitance

Bepaid est autorisé à traiter pour le compte du responsable de traitement les données à caractère personnel nécessaires pour fournir le ou les service(s) suivant(s) :

Mise à disposition d'une application de gestion de facturation électronique via le réseau Peppol

Nature des traitements

Collecte, extraction automatique par IA, enregistrement, consultation, conversion de format (PDF vers UBL), transmission via réseau Peppol, communication par email et effacement

Types de données à caractère personnel traitées

  • Données d'identification : nom de l'entreprise, numéro de TVA, identifiant Peppol
  • Données de contact : email, adresse postale
  • Données relatives à la vie professionnelle : fonction, entreprise
  • Données de facturation : montants, lignes de factures, descriptions de produits/services
  • Documents : factures PDF, fichiers UBL, notes de crédit
  • Données de transaction : statuts d'envoi, accusés de réception Peppol

Catégories de personnes concernées

Base de données clients et contacts professionnels, et de manière plus spécifique :

  • Les utilisateurs de l'Application PeppolExpress
  • Les destinataires des factures (clients professionnels)
  • Les émetteurs de factures (fournisseurs professionnels)

Durée des traitements sous-traités

Durée du contrat d'abonnement, les Données pouvant toutefois être supprimées à tout moment par le Client. Les données de facturation sont conservées pendant 7 ans conformément aux obligations légales comptables belges. Il appartient notamment au Client de supprimer les données personnelles à l'issue de leur durée de conservation maximale.

Obligations générales de Bepaid en sa qualité de sous-traitant

En sa qualité de sous-traitant au titre du RGPD vis-à-vis du Client, Bepaid s'engage à mettre en œuvre l'ensemble des mesures nécessaires permettant au Client de respecter le RGPD et la réglementation applicable en matière de protection des données à caractère personnel.

Conformément à son rôle de sous-traitant, Bepaid s'engage plus spécifiquement à :

  • Traiter les données à caractère personnel dans le cadre strict et nécessaire des services prévus au titre du Contrat et, d'une manière générale, à n'agir que sur la seule instruction écrite et documentée du Client
  • Informer immédiatement le Client si une de ses instructions constitue une violation de la réglementation applicable en matière de protection des données à caractère personnel et suspendre l'exécution de ladite instruction jusqu'à confirmation ou modification de l'instruction par le Client
  • S'assurer que les personnes autorisées à accéder aux données à caractère personnel ont connaissance des instructions du Client et s'engagent à ne les traiter que dans le strict respect de celles-ci
  • Veiller à ce que les personnes autorisées à accéder aux données à caractère personnel reçoivent la formation nécessaire en matière de protection des données à caractère personnel
  • Ne pas concéder, louer, céder ou autrement communiquer à toute personne, tout ou partie des données à caractère personnel, même à titre gratuit, ainsi que, plus généralement, ne pas utiliser les données à caractère personnel à d'autres fins que celles strictement prévues au Contrat
  • Le cas échéant, aider le Client à la réalisation d'analyses d'impact relatives à la protection des données à caractère personnel
  • Le cas échéant, aider le Client à la réalisation de consultation préalable de l'autorité de contrôle

Sous-traitance ultérieure

Bepaid est autorisée en vertu du présent contrat à confier les données à caractère personnel aux sous-traitants ultérieurs suivants :

  • Digiteal (Belgique) : Access Point Peppol certifié pour l'envoi et la réception de documents électroniques sur le réseau Peppol
  • Hébergement cloud : Stockage sécurisé des données de l'Application et des documents
  • Stripe (Irlande) : Traitement des paiements d'abonnement
  • Anthropic (États-Unis) : Service d'intelligence artificielle Claude pour l'extraction automatique des données des factures PDF
  • Sentry (États-Unis) : Monitoring des erreurs et gestion des logs applicatifs (sans données personnelles sensibles)

Bepaid peut faire appel à un autre sous-traitant (ci-après, « le sous-traitant ultérieur ») pour mener des activités de traitement spécifiques. Dans ce cas, Bepaid informera préalablement et par écrit le Client de tout changement envisagé concernant l'ajout ou le remplacement d'autres sous-traitants. Cette information doit indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du sous-traitant et les dates du contrat de sous-traitance.

Le Client dispose d'un délai maximum d'un (1) mois à compter de la date de réception de cette information pour présenter ses objections. Cette sous-traitance ne peut être effectuée que si le responsable de traitement n'a pas émis d'objection pendant le délai convenu.

Bepaid s'assure que tout sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Bepaid demeure en tout état pleinement responsable devant le Client de l'exécution par tout autre sous-traitant de ses obligations.

Droit d'information et exercice des droits des personnes concernées

Le Client garantit à Bepaid qu'il a respecté l'ensemble des obligations nécessaires à la collecte et au traitement des données personnelles recueillies, lui incombant notamment aux termes du RGPD et qu'il a informé les personnes concernées de l'usage qui est fait desdites données personnelles via l'Application.

Il conviendra également à cet égard d'informer les personnes concernées que Bepaid pourra procéder, sur instruction du Client, à l'importation de leurs données personnelles au sein de l'Application.

Dans la mesure du possible, Bepaid aidera le Client à s'acquitter de son obligation de donner suite aux demandes d'exercice des droits des personnes concernées : droit d'accès, de rectification, d'effacement et d'opposition, droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l'objet d'une décision individuelle automatisée (y compris le profilage).

Lorsque les personnes concernées exercent auprès de Bepaid des demandes d'exercice de leurs droits, Bepaid adressera ces demandes dès réception par courrier électronique au Client afin de déterminer avec le Client comment traiter la demande.

Notification des violations de données à caractère personnel

Bepaid notifie au Client toute violation de données à caractère personnel dans un délai maximum de 72 heures après en avoir pris connaissance et par tout moyen de contact approprié, notamment par e-mail ou téléphone. Cette notification est accompagnée de toute documentation utile afin de permettre au Client, si nécessaire, de notifier cette violation à l'autorité de contrôle compétente.

Mesures de sécurité prises au titre du traitement

Pendant la durée du Contrat, les parties devront prendre toutes les mesures techniques et organisationnelles appropriées afin de protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, perte accidentelle, détérioration, diffusion ou accès non autorisés, notamment pendant le processus de transmission de données sur un réseau, et contre tout traitement illégal.

Mesures de sécurité mises en place

  • Chiffrement des données en transit (HTTPS/TLS)
  • Chiffrement des données au repos
  • Authentification sécurisée avec gestion des sessions
  • Hébergement en Europe (conformité RGPD)
  • Sauvegardes régulières et redondance des données
  • Journalisation des accès et des opérations sensibles
  • Contrôles d'accès basés sur les rôles

Assistance et Audit

Bepaid met à la disposition du Client la documentation nécessaire pour démontrer le respect de toutes ses obligations et pour permettre la réalisation d'audits, y compris des inspections, par le Client ou un autre auditeur qu'il a mandaté, et contribuer à ces audits.

Il est toutefois précisé que ces audits seront réalisés aux frais du Client et strictement limités à l'audit des mesures prises en matière de protection des données à caractère personnel, dans la limite d'un audit par an notifié par écrit au moins un (1) mois à l'avance à Bepaid.

Sort des données à caractère personnel

Au terme du Contrat, Bepaid s'engage, selon le choix du Client devant être notifié pendant un délai maximum de deux (2) mois à compter de la date de notification de la résiliation du Contrat, à détruire les données à caractère personnel ou à les restituer au Client dans un format standard (CSV, JSON) et selon des modalités de restitution à convenir par les parties.

Le renvoi doit s'accompagner de la destruction de toutes les copies existantes dans les systèmes d'information de Bepaid. Une fois détruites, Bepaid justifiera par écrit de la destruction.

Nonobstant ce qui précède, Bepaid est autorisée à conserver une copie des Données du Client dont la conservation est nécessaire aux fins de démontrer la bonne exécution de ses obligations au titre du Contrat pendant une durée qui ne saura être supérieure au délai de prescription applicable (10 ans maximum).

Obligations du Client vis-à-vis de Bepaid

Le Client s'engage à :

  • Documenter par écrit toute instruction concernant le traitement des données par Bepaid
  • Veiller, au préalable et pendant toute la durée du traitement, au respect des obligations prévues par le RGPD, notamment vis-à-vis des personnes concernées par les traitements
  • Superviser le traitement, y compris réaliser les audits et les inspections auprès de Bepaid
  • Respecter l'ensemble des obligations mises à sa charge en vertu du RGPD auprès des personnes concernées dont notamment leur information et le respect des durées de conservation en supprimant leurs données personnelles sur l'Application lorsque ladite durée de conservation des données est atteinte

Contact

Pour toute question relative à la protection de vos données personnelles, vous pouvez nous contacter à l'adresse :
privacy@peppolexpress.com

© Bepaid SRL 2025
TVA : BE0712727591
Chaussée de Charleroi 148, 6220 Fleurus, Belgique