Retour a l'accueil

Accord de Traitement des Donnees

Data Processing Agreement (DPA) — Article 28 RGPD

Version 1.0 — 21 avril 2026

Pour les clients B2B : Cet accord est automatiquement integre a vos Conditions Generales d'Utilisation. Pour un DPA execute bilateralement (avec signatures) requis par votre compliance, contactez privacy@kiboerp.com.

1. Objet et champ d'application

Le present Accord de Traitement des Donnees (« DPA ») s'applique entre KiboERP SA (« Sous-traitant ») et le client utilisant la plateforme KiboERP (« Responsable de traitement ») conformement a l'article 28 du RGPD.

KiboERP traite des donnees personnelles pour le compte du client dans le cadre de la fourniture des services SaaS decrits dans les Conditions Generales d'Utilisation.

2. Categories de donnees traitees

  • Donnees d'identification des utilisateurs de la plateforme (employes, managers)
  • Donnees clients du tenant (noms, emails, telephones, adresses — module CRM)
  • Donnees RH (employes, contrats, salaires — module RH)
  • Donnees comptables et financieres (ecritures, factures — module Comptabilite)
  • Donnees de commandes et transactions (module POS, E-commerce)

3. Obligations du sous-traitant

KiboERP s'engage a :

  • Traiter les donnees personnelles uniquement sur instruction documentee du responsable de traitement, sauf obligation legale contraire.
  • Garantir que les personnes autorisees a traiter les donnees s'engagent a la confidentialite.
  • Mettre en oeuvre les mesures de securite appropriees (Art. 32 RGPD) : chiffrement TLS/AES-256, bcrypt, RBAC, 2FA, journaux d'audit.
  • Ne pas recruter d'autre sous-traitant sans informer prealablement le responsable de traitement (liste des sous-traitants disponible dans la Politique de confidentialite).
  • Aider le responsable de traitement a repondre aux demandes d'exercice de droits des personnes concernees.
  • Notifier tout violation de donnees dans les 24 heures suivant sa decouverte a l'adresse privacy@kiboerp.com.
  • Mettre a disposition toutes les informations necessaires pour demontrer le respect des obligations du present accord.
  • Supprimer ou restituer toutes les donnees personnelles a la fin de la prestation.

4. Transferts internationaux

Les donnees sont hebergees prioritairement dans la region UE (Frankfurt). Pour les composants hors UE (Resend, Sentry, Google Analytics), des Clauses Contractuelles Types (SCCs) de la Commission europeenne sont en place conformement a l'Art. 46 RGPD.

5. Duree et restitution des donnees

A la fin du contrat, KiboERP conserve les donnees 90 jours (periode de reactivation possible), puis les supprime definitivement — a l'exception des donnees comptables soumises a obligation legale de conservation (10 ans, OHADA).

Le client peut exporter ses donnees a tout moment via les fonctions d'export integrees ou l'API RGPD (GET /api/gdpr/export).

6. Audit

Le responsable de traitement peut, a ses frais et moyennant un preavis de 30 jours, mandater un auditeur pour verifier le respect du present accord. KiboERP peut substituer a cet audit la fourniture d'un rapport d'audit independant (SOC 2 ou equivalent).

7. Contact DPA

Pour toute question relative au present accord : privacy@kiboerp.com

Politique de ConfidentialiteConditions Generales d'UtilisationMentions legales