Accord de traitement des données (DPA)
Le présent accord de sous-traitance (Data Processing Agreement, « DPA ») encadre les traitements de données personnelles que Plune réalise pour votre compte lorsque vous utilisez le service, conformément à l'article 28 du Règlement général sur la protection des données 2016/679 (RGPD). Version en vigueur au 2 juillet 2026.
1. Parties et rôles
Le présent DPA est conclu entre :
- Le sous-traitant : Inkspire, micro-entreprise exploitée par Edouard Hue, SIRET 890 422 603 00013, 39 rue de Jaumont, 57855 Saint-Privat-la-Montagne, France, éditeur du service Plune (ci-après « Plune »).
- Le responsable de traitement : le professionnel titulaire d'un compte Plune (ci-après « le Client »), pour les données personnelles de ses propres clients, prospects et contacts qu'il traite au moyen du service.
Précision importante : pour les données du compte du Client lui-même (identité, email, facturation de l'abonnement), Plune agit en qualité de responsable de traitement. Ces traitements sont décrits dans la politique de confidentialité. Le présent DPA couvre uniquement les données que le Client confie à Plune pour l'exécution du service.
2. Objet et acceptation
Le présent DPA fait partie intégrante des conditions générales d'utilisation et de vente. Il est accepté en même temps qu'elles, lors de la création du compte (case « J'accepte les Conditions générales d'utilisation »). En cas de contradiction entre le DPA et les CGU/CGV sur la protection des données personnelles, le DPA prévaut.
Chaque version du DPA est datée. Toute modification substantielle est publiée sur la présente page avant son entrée en vigueur (voir l'article 11 pour les sous-traitants ultérieurs).
3. Durée
Le DPA s'applique pendant toute la durée du contrat de service (abonnement payant, offre gratuite ou période d'essai). Les obligations relatives au sort des données (article 9) survivent à la fin du contrat.
4. Description du traitement
- Nature et finalités : hébergement, édition et gestion de devis et factures ; transcription vocale et structuration automatique des dictées ; signature électronique simple des devis ; envoi de documents, relances et suivi des paiements.
- Catégories de données : identité et coordonnées des clients du Client (nom, adresse, email, téléphone, SIRET le cas échéant) ; données de facturation (prestations, montants, conditions de paiement, historique des documents) ; enregistrements vocaux transitoires (supprimés après transcription, au plus tard sous 24 heures) ; données liées à la signature (empreinte SHA-256 du document, horodatage, adresse IP du signataire).
- Personnes concernées : clients, prospects et contacts professionnels du Client ; signataires des devis.
Le service ne requiert aucune donnée dite « sensible » au sens de l'article 9 du RGPD. Le Client s'engage à ne pas en dicter ni en saisir, sauf nécessité relevant de sa seule responsabilité.
5. Instructions documentées
Plune traite les données uniquement sur instruction documentée du Client. L'utilisation des fonctionnalités du service (création d'un devis, envoi d'une facture, demande de signature, déclenchement d'une relance) constitue cette instruction documentée. Plune informe le Client si une instruction lui paraît contraire au RGPD. Si le droit de l'Union européenne ou le droit français impose à Plune un traitement particulier, Plune en informe le Client avant le traitement, sauf interdiction légale.
6. Confidentialité
Plune veille à ce que les personnes autorisées à traiter les données (exploitant et, le cas échéant, prestataires intervenant sous sa responsabilité) soient soumises à une obligation de confidentialité, contractuelle ou légale, et n'accèdent aux données que dans la mesure nécessaire au service et au support.
7. Sécurité (article 32 RGPD)
Plune met en œuvre les mesures techniques et organisationnelles décrites en Annexe 2, notamment : chiffrement des échanges en transit (TLS), chiffrement au repos des bases de données, contrôle d'accès par code à usage unique avec limite de tentatives, séparation logique des organisations et journalisation des actions sensibles sur devis, factures et signatures. Ces mesures sont adaptées dans le temps en fonction de l'état de l'art et des risques.
8. Notification des violations de données
En cas de violation de données personnelles affectant les données traitées pour le compte du Client, Plune notifie le Client dans un délai maximal de 48 heures après en avoir pris connaissance, en précisant, dans la mesure des informations disponibles : la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises ou proposées. Le Client reste responsable, pour ses propres traitements, de la notification à la CNIL (72 heures, article 33 RGPD) et de l'information des personnes concernées (article 34) ; Plune lui apporte son assistance à cette fin.
9. Assistance, sort des données et réversibilité
- Droits des personnes : le service permet au Client de consulter, rectifier, exporter et supprimer lui-même les données de ses clients. Pour toute demande qui ne pourrait pas être traitée en libre-service, Plune assiste le Client dans un délai compatible avec le délai d'un mois de l'article 12 du RGPD.
- Analyses d'impact (AIPD) : Plune fournit au Client les informations raisonnablement nécessaires à la réalisation d'une analyse d'impact (article 35) et, le cas échéant, à la consultation préalable de la CNIL (article 36).
- Fin de contrat : le Client peut exporter l'intégralité de ses données à tout moment depuis son espace (formats CSV et PDF). Après résiliation, il conserve 90 jours d'accès en lecture seule pour finaliser ses exports. Au-delà, les données sont supprimées, sous réserve des conservations imposées par la loi (notamment 10 ans pour les factures, articles L123-22 du Code de commerce et L102 B du Livre des procédures fiscales).
10. Audits
Plune met à la disposition du Client les informations nécessaires pour démontrer le respect du présent DPA : la présente page, la politique de confidentialité, la page sécurité et, sur demande, les garanties publiées par les sous-traitants ultérieurs. Le Client peut en outre demander un audit, par demande écrite adressée à dpo@plune.app, au plus une fois par période de 12 mois, avec un préavis raisonnable de 30 jours. L'audit se déroule pendant les heures ouvrées, sans accès aux données des autres clients de Plune, et les frais sont partagés entre les parties.
11. Sous-traitants ultérieurs
Le Client autorise de manière générale le recours aux sous-traitants ultérieurs listés en Annexe 1. Plune impose à chacun d'eux, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure pleinement responsable envers le Client de leur exécution.
Information préalable et droit d'objection : tout ajout ou remplacement d'un sous-traitant ultérieur est annoncé par la mise à jour de la présente page (version datée) avant sa prise d'effet. Le Client peut s'y opposer pour un motif légitime tenant à la protection des données, par écrit à dpo@plune.app, dans un délai de 30 jours suivant la publication. À défaut de solution raisonnable, le Client peut résilier le service sans frais et exporter ses données dans les conditions de l'article 9.
12. Transferts hors Union européenne
Certains sous-traitants ultérieurs sont situés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (SCC) 2021/914 de la Commission européenne, intégrées aux accords de traitement conclus avec chaque prestataire, complétées par le chiffrement des données en transit. Le détail figure en Annexe 1.
13. Responsabilité
Chaque partie répond des dommages causés par un traitement non conforme dans les conditions de l'article 82 du RGPD. Les stipulations des CGU/CGV relatives à la responsabilité s'appliquent pour le surplus, sans pouvoir limiter les droits que les personnes concernées tirent du RGPD.
Annexe 1 : sous-traitants ultérieurs
Liste en vigueur au 2 juillet 2026 des sous-traitants ultérieurs intervenant sur les données traitées pour le compte du Client :
| Sous-traitant | Rôle | Pays de traitement | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données, authentification et stockage | Union européenne (Francfort) | DPA + hébergement UE |
| Vercel Inc. | Hébergement applicatif et CDN | États-Unis | DPA + clauses contractuelles types (SCC 2021/914) |
| OpenAI | Transcription vocale et structuration des dictées | États-Unis | DPA OpenAI + SCC 2021/914. Les données transmises via l'API ne sont pas utilisées pour l'entraînement des modèles. |
| Stripe Payments Europe Ltd. | Paiements et encaissement | Irlande (UE), siège aux États-Unis | DPA + SCC 2021/914 |
| Resend Inc. | Emails transactionnels (envoi de devis, factures, relances) | États-Unis | DPA + SCC 2021/914 |
| Twilio Inc. | SMS (relances et notifications, optionnel) | États-Unis | DPA + SCC 2021/914 |
Les prestataires utilisés par Plune pour ses propres traitements en qualité de responsable de traitement (supervision des erreurs, mesure d'audience soumise à consentement) sont listés dans la politique de confidentialité.
Annexe 2 : mesures techniques et organisationnelles
Mesures effectivement mises en œuvre, détaillées sur la page sécurité :
- Chiffrement TLS des échanges entre le navigateur et Plune (en transit).
- Chiffrement au repos des bases de données.
- Authentification par code à usage unique haché en SHA-256, valable 10 minutes, avec limite de tentatives ; vérification des mots de passe contre les fuites connues (Have I Been Pwned, procédé de k-anonymité).
- Séparation logique des organisations (cloisonnement des données entre comptes).
- Journalisation des actions sensibles sur devis, factures et signatures.
- Scellement des devis signés par empreinte SHA-256, avec piste d'audit (horodatage, adresse IP).
- Sauvegardes quotidiennes localisées dans l'UE, avec procédure de restauration documentée.
- Suppression des fichiers audio après transcription, au plus tard sous 24 heures.
- Minimisation des données et limitation des finalités dès la conception.
- Procédure de notification des violations : information du Client sous 48 heures (article 8 du présent DPA) et notification à la CNIL sous 72 heures pour les traitements dont Plune est responsable (articles 33 et 34 du RGPD).
Document fourni à titre de cadre contractuel standard. Pour des exigences sectorielles spécifiques (santé, juridique, marchés publics) ou une version PDF signée, contactez dpo@plune.app.
Version du 2 juillet 2026.
