Contrat de traitement des données (DPA)

1. Parties

Client (responsable du traitement) : la personne physique ou morale qui enregistre un compte Clozo et téléverse/transmet des données personnelles de tiers (par ex. clients, prospects, contacts) au service.

Sous-traitant : Andrei Diachenko, micro-entrepreneur, exerçant sous le nom commercial Clozo, Calle Covera 19, 5A, 33012 Oviedo, Asturies, Espagne. NIF Z1579875X · TVA UE ESZ1579875X.

2. Objet et durée (art. 28(3) introduction)

Objet : le traitement des données personnelles nécessaires à la fourniture du service Clozo (génération de devis, signature électronique, émission et envoi de factures, encaissement via Stripe, assistance IA textuelle optionnelle, génération de formats e-invoicing optionnels). Durée : de la création du compte jusqu'à 30 jours après la fermeture du compte ou la fin de la plus longue durée de conservation légale applicable au titre du droit UE/EM (selon la plus tardive).

3. Nature et finalité du traitement (art. 28(3)(a))

Nature : stockage, transmission, transformation (par ex. rendu PDF, génération XML) et traitement automatisé limité (amélioration de texte par IA avec données PII supprimées, fonctionnalité principale — base légale art. 6(1)(b) RGPD). Finalité : permettre au Client d'exploiter son activité freelance/PME via Clozo. Clozo ne traite les données personnelles que sur instructions documentées du Client, y compris les transferts vers des pays tiers, sauf obligation du droit de l'Union ou d'un État membre auquel Clozo est soumis ; dans ce cas, Clozo informe le Client de cette obligation avant le traitement, sauf si la loi l'interdit pour des motifs importants d'intérêt général.

4. Catégories de données et personnes concernées (art. 28(3))

Catégories de données personnelles : identification (nom, e-mail), professionnelles (raison sociale, numéro de TVA, adresse, IBAN/BIC), financières (montants des factures, métadonnées de paiement via Stripe), communication (contenu d'e-mail, transcriptions optionnelles du chat Crisp), techniques (IP via Cloudflare, user-agent, langue du navigateur). Catégories de personnes concernées : clients du Client, prospects, contacts de facturation et destinataires finaux des documents générés par Clozo. Aucune catégorie particulière de données personnelles (art. 9) n'est traitée de manière courante.

5. Obligations et droits du responsable du traitement (art. 28(3)(d))

Le Client est responsable de (a) disposer d'une base légale pour collecter et téléverser des données personnelles vers Clozo, (b) fournir aux personnes concernées les informations requises par l'art. 13/14, (c) répondre aux demandes des personnes concernées qui lui sont directement adressées, (d) garantir l'exactitude et la mise à jour des données téléversées, (e) tenir son propre registre des traitements au titre de l'art. 30, (f) configurer les paramètres Clozo (par ex. préférences de conservation, opt-in IA) en cohérence avec les bases légales retenues.

6. Confidentialité (art. 28(3)(b))

Clozo veille à ce que les personnes autorisées à traiter les données personnelles soient soumises à une obligation de confidentialité ou à une obligation légale appropriée de confidentialité. La seule personne disposant aujourd'hui d'un accès opérationnel est le micro-entrepreneur (Andrei Diachenko) ; les employés, sous-traitants ou personnel des sous-traitants ultérieurs (Stripe, Cloudflare, Resend, etc.) sont liés par leurs propres NDA et DPA.

7. Mesures de sécurité (art. 28(3)(c) + art. 32)

Clozo met en œuvre des mesures techniques et organisationnelles (MTO) adaptées au risque, notamment : TLS 1.3 en transit ; chiffrement équivalent AES-256 au repos (Postgres sur Railway UE, R2 sur Cloudflare UE) ; authentification JWT avec rotation du jeton de rafraîchissement ; limitation de débit sur les endpoints d'authentification ; sauvegardes quotidiennes chiffrées de la base ; détection d'incidents via Sentry ; rotation trimestrielle des secrets ; principe du moindre privilège sur l'accès Railway ; séparation des environnements staging/production. MTO détaillées sur demande à legal@useclozo.com.

8. Sous-traitants ultérieurs (art. 28(2) + (4))

Le Client autorise Clozo à engager les sous-traitants ultérieurs listés dans le registre public à /subprocessors. Clozo informe le Client au moins 30 jours à l'avance de toute addition ou substitution envisagée via le mécanisme de notification décrit à /subprocessors (abonnement e-mail, flux RSS). Le Client peut s'opposer à un nouveau sous-traitant ultérieur en contactant privacy@useclozo.com dans le délai de notification ; si aucun accommodement acceptable n'est trouvé, le Client peut résilier ce DPA et l'abonnement sous-jacent. Clozo impose à chaque sous-traitant ultérieur les mêmes obligations de protection des données que celles énoncées dans ce DPA, en particulier la fourniture de garanties suffisantes pour mettre en œuvre des MTO appropriées.

9. Assistance aux droits des personnes concernées (art. 28(3)(e))

Clozo fournit des endpoints en libre-service dans le tableau de bord Client (Paramètres → Confidentialité) pour aider le Client à répondre aux demandes des personnes concernées au titre des art. 15-22, dont export des données (art. 20), effacement (art. 17) avec délai de rétractation de 14 jours, et rectification (art. 16). Pour les demandes excédant les endpoints en libre-service, Clozo fournit une assistance supplémentaire sur demande à privacy@useclozo.com dans un délai raisonnable et sans frais supplémentaires, dans la limite de l'extraction ou suppression de données auxquelles le Client ne peut accéder seul.

10. Notification des violations (art. 28(3)(f) + art. 33)

Clozo notifie le Client sans retard injustifié, et en tout cas dans les 72 heures, après avoir pris connaissance d'une violation de données personnelles affectant les données du Client. La notification décrit au minimum la nature de la violation, les catégories et nombres approximatifs de personnes concernées et d'enregistrements, les conséquences probables et les mesures prises ou proposées. Clozo coopère aux obligations de notification du Client envers l'autorité de contrôle et les personnes concernées au titre des art. 33 et 34.

11. Effacement ou retour des données personnelles (art. 28(3)(g))

À la fin de l'abonnement sous-jacent, Clozo, au choix du Client, supprime ou retourne toutes les données personnelles après la fin des prestations et supprime les copies existantes, sauf si le droit de l'Union ou d'un État membre exige leur conservation (par ex. conservation des factures fiscales selon la directive TVA 2006/112/CE art. 244-247 : minimum 6 ans aux Pays-Bas, 10 ans en Allemagne, 8 ans en Pologne). En cas de conservation légale, Clozo isole les données conservées, restreint l'accès au strict nécessaire et supprime définitivement les données à la fin de la période.

12. Contact et audits (art. 28(3)(h))

Pour toute question DPA, demande d'audit ou demande relative aux droits des personnes : privacy@useclozo.com. Clozo met à disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations de l'art. 28 RGPD et permet et contribue à des audits — y compris des inspections — menés par le Client ou un autre auditeur mandaté, sous réserve d'un préavis raisonnable (30 jours) et d'un engagement de confidentialité.