Accord de traitement des données

Dernière mise à jour : 1 mars 2026

Le présent Accord de traitement des données (« Accord ») a été rédigé conformément à l'Article 28 du Règlement général sur la protection des données (RGPD) et régit le traitement des données personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du service StatementBridge.

Sous-traitant : FIDURO B.V., Stephensonweg 6, 4207 HB Gorinchem, RCS 78200695

Responsable du traitement : l'Utilisateur (toute personne physique ou morale qui utilise StatementBridge)

Article 1 — Définitions

  1. Responsable du traitement : l'Utilisateur de StatementBridge qui détermine les finalités et les moyens du traitement des données personnelles.
  2. Sous-traitant : FIDURO B.V., qui traite les données personnelles pour le compte du Responsable du traitement dans le cadre du service StatementBridge.
  3. Personne concernée : la personne physique à laquelle se rapportent les données personnelles.
  4. Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable, telle que visée à l'Article 4(1) du RGPD.
  5. Sous-traitant ultérieur : un tiers engagé par le Sous-traitant pour effectuer (une partie du) traitement.
  6. RGPD : le Règlement général sur la protection des données (Règlement (UE) 2016/679).

Article 2 — Objet et durée

  1. Le présent Accord porte sur le traitement des données personnelles qui a lieu dans le cadre du service StatementBridge, une application en ligne pour la conversion de relevés bancaires et de fichiers de transactions entre différents formats de fichiers.
  2. La durée du présent Accord est égale à la période pendant laquelle le Responsable du traitement dispose d'un compte actif auprès de StatementBridge.
  3. Le traitement des données personnelles a lieu exclusivement pendant les conversions de fichiers actives. Les fichiers téléchargés sont supprimés immédiatement après le traitement.

Article 3 — Nature et finalité du traitement

  1. Le traitement concerne la conversion de relevés bancaires et de fichiers de transactions entre les formats suivants : MT940, CAMT.053, CSV, Excel, OFX, CODA, DATEV et PDF.
  2. La finalité du traitement est de convertir les données de transactions financières dans un format de fichier compatible avec le logiciel comptable du Responsable du traitement.
  3. Optionnellement, le Responsable du traitement peut utiliser l'extraction IA de transactions à partir de fichiers PDF. Cette fonctionnalité utilise des API externes (Anthropic ou OpenAI) et n'est activée qu'à la demande expresse du Responsable du traitement.

Article 4 — Types de données personnelles

Les catégories suivantes de données personnelles sont traitées :

  • Données de compte — adresse e-mail et nom d'affichage
  • Données de transactions financières — numéros IBAN, montants, descriptions, dates de transaction et noms de contreparties
  • Données de paiement — identifiant client Stripe et détails d'abonnement
  • Données techniques — adresse IP anonymisée et agent utilisateur
  • Clés API — stockées sous forme chiffrée (AES-128/Fernet)

Article 5 — Catégories de personnes concernées

  1. L'Utilisateur (titulaire du compte) — la personne qui utilise StatementBridge.
  2. Les tiers dont les données figurent dans les relevés bancaires — les contreparties et bénéficiaires des transactions contenues dans les fichiers téléchargés.

Article 6 — Obligations du Sous-traitant

Le Sous-traitant s'engage à :

  1. Ne traiter les données personnelles que sur la base d'instructions documentées du Responsable du traitement, sauf si une obligation légale l'exige.
  2. S'assurer que les personnes autorisées à traiter les données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
  3. Prendre toutes les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, tel que visé à l'Article 32 du RGPD.
  4. Respecter les conditions relatives à l'engagement de sous-traitants ultérieurs telles que décrites à l'Article 7 du présent Accord.
  5. Assister le Responsable du traitement dans la réponse aux demandes des Personnes concernées en vue d'exercer leurs droits en vertu du RGPD.
  6. Assister le Responsable du traitement dans la réalisation d'une Analyse d'impact relative à la protection des données (AIPD) si nécessaire.
  7. Au choix du Responsable du traitement, supprimer ou restituer toutes les données personnelles après la fin des services de traitement et supprimer les copies existantes, sauf si la conservation est requise par la loi.
  8. Mettre à disposition toutes les informations nécessaires pour démontrer le respect des obligations prévues à l'Article 28 du RGPD, et permettre et contribuer à des audits.

Article 7 — Sous-traitants ultérieurs

Le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale pour engager les sous-traitants ultérieurs suivants :

Sous-traitant ultérieur Finalité Localisation Garanties
Stripe, Inc. Traitement des paiements États-Unis Clauses Contractuelles Types (CCT)
Render.com Hébergement de l'application et de la base de données UE (Francfort) Basé dans l'UE
Anthropic (optionnel) Extraction PDF par IA États-Unis CCT
OpenAI (optionnel) Extraction PDF par IA États-Unis CCT
  1. Le Sous-traitant informera le Responsable du traitement à l'avance de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants ultérieurs.
  2. Le Responsable du traitement a le droit de s'opposer aux changements de sous-traitants ultérieurs. Si l'objection ne peut être résolue, le Responsable du traitement a le droit de résilier l'Accord.
  3. Le Sous-traitant veille à ce que les mêmes obligations de protection des données que celles énoncées dans le présent Accord soient imposées à chaque sous-traitant ultérieur.

Article 8 — Transferts en dehors de l'EEE

  1. Les transferts de données personnelles vers les États-Unis s'effectuent sur la base de Clauses Contractuelles Types (CCT) conformément à l'Article 46(2)(c) du RGPD.
  2. Anthropic et OpenAI ne sont engagés qu'à la demande expresse de l'Utilisateur. Sans utilisation de la fonctionnalité d'extraction PDF par IA, aucun transfert vers ces parties n'a lieu.
  3. Le Sous-traitant veille à ce que tout transfert de données personnelles vers un pays situé en dehors de l'Espace Économique Européen (EEE) soit conforme au Chapitre V du RGPD.

Article 9 — Mesures de sécurité (Art. 32 RGPD)

Le Sous-traitant a mis en œuvre les mesures de sécurité techniques et organisationnelles suivantes :

  • Chiffrement HTTPS/TLS — toute communication entre l'utilisateur et le serveur est chiffrée
  • Hachage de mot de passe bcrypt — les mots de passe ne sont jamais stockés en clair
  • Chiffrement AES-128/Fernet — les clés API sont stockées sous forme chiffrée
  • Suppression immédiate — les fichiers téléchargés sont supprimés immédiatement après le traitement
  • Cookies de session sécurisés — HttpOnly, Secure, SameSite=Strict
  • Limitation de débit — protection contre les abus et la surcharge
  • Contrôles d'accès — les utilisateurs n'ont accès qu'à leurs propres données
  • Mises à jour de sécurité régulières — le logiciel et les dépendances sont régulièrement mis à jour
  • Journalisation anonymisée — les fichiers journaux ne contiennent pas de données personnelles identifiables

Article 10 — Notification de violation de données

  1. Le Sous-traitant notifiera le Responsable du traitement de toute violation de données (violation de données personnelles) sans délai excessif et au plus tard 72 heures après en avoir pris connaissance.
  2. La notification contiendra au minimum les informations suivantes :
    • la nature de la violation de données, y compris si possible les catégories et le nombre approximatif de Personnes concernées ;
    • les catégories et le nombre approximatif d'enregistrements de données personnelles concernés ;
    • les conséquences probables de la violation de données ;
    • les mesures prises ou proposées pour remédier à la violation de données et en atténuer les effets négatifs.
  3. Le Sous-traitant coopérera pleinement avec le Responsable du traitement dans l'enquête et le traitement de la violation de données.

Article 11 — Assistance concernant les droits des Personnes concernées

  1. Le Sous-traitant assistera le Responsable du traitement dans la réponse aux demandes des Personnes concernées concernant les droits suivants :
    • Droit d'accès (Art. 15 RGPD)
    • Droit de rectification (Art. 16 RGPD)
    • Droit à l'effacement (Art. 17 RGPD)
    • Droit à la limitation du traitement (Art. 18 RGPD)
    • Droit à la portabilité des données (Art. 20 RGPD)
    • Droit d'opposition (Art. 21 RGPD)
  2. L'Utilisateur peut supprimer son compte et toutes les données associées lui-même via les paramètres de l'application dans StatementBridge.

Article 12 — Restitution et suppression

  1. À la fin des services de traitement, toutes les données personnelles du Responsable du traitement seront supprimées.
  2. La suppression du compte via l'application entraîne la suppression définitive de toutes les données personnelles.
  3. Aucun fichier téléchargé n'est conservé après le traitement. Les fichiers sont supprimés du serveur immédiatement après la conversion.

Article 13 — Droits d'audit

  1. Le Responsable du traitement a le droit d'effectuer ou de faire effectuer des audits pour vérifier le respect du présent Accord.
  2. Le Sous-traitant coopérera avec les demandes d'audit raisonnables et mettra les informations nécessaires à disposition.
  3. En alternative, le Sous-traitant peut fournir un rapport d'audit indépendant (tel que SOC 2 ou une certification comparable) pour démontrer la conformité.

Article 14 — Droit applicable et litiges

  1. Le présent Accord de traitement des données est régi par le droit néerlandais.
  2. Les litiges découlant du présent Accord ou s'y rapportant seront soumis au tribunal compétent du district de Rotterdam.

Contact

FIDURO B.V.
Stephensonweg 6
4207 HB Gorinchem
Pays-Bas
E-mail : info@fiduro.nl
Téléphone : +31 183 201077
RCS : 78200695
TVA : NL861300221B01