Accord de traitement des données (DPA)

Dernière mise à jour : 16 juin 2026

Le présent accord de traitement des données (ci-après le « DPA ») forme une annexe indissociable des conditions générales de SendPay. Il encadre, conformément à l'article 28 du RGPD, le traitement par SendPay des données à caractère personnel pour le compte de l'émetteur. Il s'applique automatiquement dès lors que l'émetteur utilise le service ; en cas de contradiction avec les conditions générales, le présent DPA prévaut pour ce qui relève de la protection des données.

1. Rôles des parties

Pour les données personnelles contenues dans les factures et devis importés par l'émetteur et concernant ses propres clients (les payeurs), les parties conviennent que :

Le présent DPA ne couvre pas les traitements pour lesquels SendPay est lui-même responsable de traitement (comptes émetteurs, fonctionnement du service, suivi des paiements, sécurité), décrits dans la politique de confidentialité.

2. Objet, durée, nature et finalité du traitement

Objet
Le traitement des données personnelles des payeurs nécessaire à la fourniture du service SendPay à l'émetteur.
Nature et finalité
Génération et partage de liens de paiement, reconnaissance automatique du contenu des documents importés, envoi des relances par email et SMS, suivi de l'activité des liens et traitement de l'encaissement.
Durée
Le traitement dure aussi longtemps que l'émetteur utilise le service, puis prend fin dans les conditions de l'article 9 ci-dessous.
Catégories de personnes
Les payeurs, clients de l'émetteur (professionnels ou particuliers).
Catégories de données
Données d'identité et de contact (nom, adresse email, numéro de téléphone), contenu des factures et devis (montants, références, désignations), canal de relance préféré et données de suivi du lien. Aucune donnée sensible au sens de l'article 9 du RGPD n'est requise par le service.

3. Instructions documentées

SendPay ne traite les données que sur instruction documentée de l'émetteur. Constituent de telles instructions les présentes conditions, le DPA, ainsi que les actions de l'émetteur dans le service (import d'un document, envoi d'un lien, paramétrage des relances). SendPay informe l'émetteur s'il estime qu'une instruction constitue une violation du RGPD ou d'une autre disposition relative à la protection des données. SendPay ne procède à aucun transfert hors de l'Union européenne autre que ceux prévus à l'article 6.

4. Confidentialité

SendPay veille à ce que les personnes autorisées à traiter les données (ADL Labs SAS étant à ce jour exploitée par son dirigeant unique) s'engagent à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité, et n'aient accès aux données que dans la mesure nécessaire à l'exécution du service.

5. Sécurité

SendPay met en œuvre les mesures techniques et organisationnelles appropriées prévues à l'article 32 du RGPD, décrites dans la politique de confidentialité : chiffrement des échanges (HTTPS), hébergement au sein de l'Union européenne, accès restreint aux données, et recours à des prestataires certifiés (Stripe, certifié PCI-DSS, pour le traitement des paiements).

6. Sous-traitants ultérieurs

L'émetteur autorise SendPay à recourir aux sous-traitants ultérieurs nécessaires à la fourniture du service. SendPay leur impose, par contrat, des obligations de protection des données équivalentes à celles du présent DPA et demeure responsable de leur exécution. À la date de mise à jour, les sous-traitants ultérieurs susceptibles de traiter des données de payeurs sont :

SendPay informe l'émetteur de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur, par tout moyen approprié et avec un préavis raisonnable, lui permettant de formuler des objections. Les transferts hors de l'Union européenne susceptibles d'intervenir (notamment Sentry) sont encadrés par les garanties appropriées prévues par le RGPD (clauses contractuelles types ou cadre de protection des données UE–États-Unis).

7. Assistance à l'exercice des droits des personnes

SendPay assiste l'émetteur, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, pour répondre aux demandes d'exercice des droits des payeurs (accès, rectification, effacement, limitation, opposition, portabilité). Lorsqu'un payeur adresse directement une telle demande à SendPay, celui-ci la transmet à l'émetteur dans les meilleurs délais et n'y répond pas lui-même, sauf instruction de l'émetteur.

8. Assistance à la sécurité et notification des violations

SendPay assiste l'émetteur dans le respect de ses obligations de sécurité, de notification des violations de données et, le cas échéant, d'analyse d'impact relative à la protection des données (articles 32 à 36 du RGPD), compte tenu de la nature du traitement et des informations à sa disposition. SendPay notifie à l'émetteur toute violation de données concernant les payeurs dans les meilleurs délais après en avoir pris connaissance, afin de lui permettre de respecter, le cas échéant, son obligation de notification à la CNIL dans les 72 heures.

9. Sort des données en fin de traitement

À la cessation de la fourniture du service, et selon le choix de l'émetteur, SendPay supprime ou restitue les données des payeurs et détruit les copies existantes, sauf obligation légale de conservation. À ce titre, les pièces nécessaires aux obligations comptables et fiscales de SendPay (transactions et commissions) sont conservées dans les conditions de durée prévues par la politique de confidentialité.

10. Audit et documentation

SendPay met à la disposition de l'émetteur les informations nécessaires pour démontrer le respect des obligations du présent article 28 et permet la réalisation d'audits, y compris des inspections, par l'émetteur ou un auditeur qu'il mandate. Les audits sont menés sous réserve d'un préavis raisonnable, pendant les heures ouvrées, sans perturber le service et dans le respect de la confidentialité des autres clients de SendPay.

11. Contact

Pour toute question relative au présent accord, écrivez-nous à contact@sendpay.fr.