Data Processing Agreement RECOVMAX

DPA spécifique RECOVMAX

Avenant au Data Processing Agreement RECOV — applicable aux utilisateurs du service RECOVMAX (article 28 RGPD)

Version en vigueur au 8 mai 2026

Articulation avec le DPA RECOV. Le présent avenant complète le DPA RECOV en tenant compte des spécificités du service RECOVMAX, notamment le modèle à trois niveaux de traitement de données induit par la fourniture d'un service multi-clients à des professionnels mandatés par leurs propres clients TPE / freelances. L'acceptation des CGU RECOVMAX vaut acceptation du présent DPA RECOVMAX.

Sommaire

1. Objet et qualification des parties
2. Modèle à trois niveaux RGPD
3. Catégories de données et personnes concernées
4. Finalités et instructions documentées
5. Sous-traitants ultérieurs
6. Transferts hors Union européenne
7. Mesures techniques et organisationnelles
8. Conservation, suppression et restitution
9. Droits des personnes concernées (déb./clients)
10. Notification de violation
11. Audit
12. Cas particulier des Partenaires Externes
13. Cas particulier de Recovo (IA)
14. Cas particulier du score solvabilité
15. Responsabilités et garanties

Article 1 — Objet et qualification des parties

Le présent accord définit les modalités de traitement des données personnelles entre :

DEZVOLTA, SIREN 948 914 072, exploitant le service RECOVMAX (ci-après « Sous-traitant N1 » ou « RECOV ») ;
L'Utilisateur Cabinet ayant souscrit un abonnement RECOVMAX (ci-après « le Cabinet »), agissant en qualité de Sous-traitant des Clients Suivis ;
Les Clients Suivis du Cabinet (TPE, freelances, indépendants), responsables de traitement de premier rang vis-à-vis de leurs Débiteurs.

Le présent accord est conclu en application de l'article 28 du Règlement (UE) 2016/679 (RGPD) et tient compte des recommandations CNIL en matière de sous-traitance en cascade.

Article 2 — Modèle à trois niveaux RGPD

RECOVMAX organise le traitement des données personnelles selon une chaîne à trois niveaux :

Niveau	Acteur	Qualification RGPD	Personne(s) concernée(s)
1	Client Suivi (TPE/freelance)	Responsable de traitement	Ses Débiteurs (clients de son entreprise)
2	Cabinet (Utilisateur RECOVMAX)	Sous-traitant du Client Suivi (art. 28 RGPD)	Mandaté pour traiter les données des Débiteurs au nom du Client Suivi
3	RECOV / DEZVOLTA	Sous-traitant du Cabinet (sous-traitant ultérieur du Client Suivi, art. 28.4 RGPD)	Fournit l'infrastructure logicielle

Conséquence opérationnelle. Le Cabinet doit conclure avec chacun de ses Clients Suivis un contrat de sous-traitance RGPD (DPA cabinet ↔ TPE) conforme à l'article 28 du RGPD avant de saisir des données concernant les Débiteurs de ce Client Suivi dans RECOVMAX. RECOV met à disposition un modèle d'avenant DPA cabinet ↔ TPE à titre indicatif.

Article 3 — Catégories de données et personnes concernées

3.1 Données du Cabinet (utilisateur direct)

Identité (nom, prénom, email professionnel, téléphone, SIREN cabinet), données d'authentification (mot de passe haché), données de facturation Stripe (via sous-traitant), historique d'utilisation, logs d'audit.

3.2 Données des Clients Suivis (TPE / freelances mandants)

Identité (nom, raison sociale, SIREN/SIRET, email contact, téléphone), conditions de paiement par défaut, IBAN du Client Suivi (à des fins exclusives d'inclusion dans les relances, jamais à fin d'encaissement par le Cabinet ou par RECOV).

3.3 Données des Débiteurs

Identité (nom, prénom, raison sociale, SIREN/SIRET le cas échéant), email, téléphone, adresse postale, code postal, ville, contexte de la créance, montant TTC dû, date d'échéance, historique des actions amiables (relances envoyées, promesses, paiements, appels téléphoniques, courriers postaux), score indicatif de solvabilité (cf. art. 14).

3.4 Données spécialement signalées

Aucune donnée sensible au sens de l'article 9 RGPD n'est traitée par RECOVMAX. Il appartient au Cabinet de ne pas saisir de telles données dans les champs libres ;
Aucune donnée bancaire du Débiteur (IBAN, numéro de carte) n'est collectée par RECOVMAX ;
Les enregistrements d'appels téléphoniques, lorsqu'ils sont activés via un prestataire tiers (cf. CGU RECOVMAX), nécessitent le consentement préalable du Débiteur — le Cabinet en porte la responsabilité.

Article 4 — Finalités et instructions documentées

RECOV traite les données personnelles uniquement pour les finalités suivantes, sur instructions documentées du Cabinet (lui-même mandaté par le Client Suivi) :

Hébergement et stockage sécurisé des données saisies par le Cabinet ;
Génération automatisée de modèles d'emails, de mises en demeure PDF et de rapports mensuels ;
Calcul de pénalités de retard au titre des articles L441-10 et D441-5 du Code de commerce ;
Tenue d'un audit log immuable des actions menées ;
Mise à disposition d'un assistant analytique (Recovo) restituant des informations dérivées des données saisies ;
Génération d'un score indicatif de solvabilité du Débiteur à partir de données publiques ;
Préparation d'archives ZIP en vue d'une transmission à un Partenaire Externe.

Toute utilisation des données à d'autres fins (revente, profilage à des fins publicitaires, entraînement de modèles d'IA tiers, etc.) est strictement exclue.

Article 5 — Sous-traitants ultérieurs

Le Cabinet autorise RECOV à recourir aux sous-traitants ultérieurs suivants :

Sous-traitant	Finalité	Localisation	Régime de transfert
Supabase Inc.	Base de données PostgreSQL, stockage de fichiers, authentification	Frankfurt (UE — Allemagne)	Hébergement UE — pas de transfert hors UE pour les données stockées
Vercel Inc.	Hébergement applicatif, fonctions serverless	États-Unis / Europe (CDN)	Clauses contractuelles types (CCT) Commission européenne
Anthropic, PBC	API IA pour l'assistant Recovo (modèle Claude)	États-Unis	CCT + opt-out d'entraînement de modèle activé
Stripe Payments Europe Ltd.	Encaissement des abonnements Cabinet (jamais des Débiteurs)	Irlande (UE)	Sous-traitance UE
Resend, Inc.	Envoi d'emails transactionnels	États-Unis	CCT
API recherche-entreprises (DINUM)	Vérification SIREN/SIRET, données publiques INSEE	France	Service public — pas de transfert

RECOV informe le Cabinet de tout changement de sous-traitant ultérieur au moins 15 jours avant sa mise en œuvre. Le Cabinet dispose d'un droit d'opposition motivé. À défaut d'opposition dans ce délai, le changement est réputé accepté.

📋 Liste publique tenue à jour : la liste exhaustive et actualisée des sous-traitants (actifs + envisagés + non utilisés) est consultable sur recov.pro/sous-traitants, conformément à l'article 28-2 du RGPD. La date de dernière mise à jour y est mentionnée.

Article 6 — Transferts hors Union européenne

Les transferts de données vers les sous-traitants ultérieurs établis hors UE (Anthropic, Resend, Vercel pour les fonctions serverless) sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne (décision d'exécution UE 2021/914).

RECOV met en œuvre les mesures techniques complémentaires recommandées par la CNIL et l'EDPB, notamment :

Pseudonymisation des données de débiteurs lorsque techniquement possible ;
Chiffrement TLS 1.2+ en transit ;
Chiffrement au repos par les sous-traitants infrastructurels ;
Limitation aux données strictement nécessaires (data minimisation) — Recovo ne reçoit jamais l'ensemble du portefeuille du Cabinet, uniquement les agrégats et les dossiers prioritaires.

Article 7 — Mesures techniques et organisationnelles

RECOV met en œuvre les mesures suivantes pour garantir la sécurité des données :

Authentification : email + mot de passe haché (bcrypt), option d'authentification forte planifiée ;
Cloisonnement multi-tenants strict : Row Level Security (RLS) PostgreSQL — chaque Cabinet ne voit que les données de ses propres Clients Suivis et de leurs Débiteurs ;
Cloisonnement multi-utilisateurs : système de rôles (Owner/Manager/Chargé/Juriste/Comptable) avec audit log par utilisateur ;
Chiffrement : TLS 1.2+ en transit, chiffrement au repos par Supabase ;
Sauvegardes automatiques quotidiennes via Supabase ;
Audit log immuable : timeline append-only par dossier, conservation pendant toute la durée de l'abonnement et du cycle de fin d'accès ;
Mises à jour de sécurité régulières des dépendances ;
Confidentialité : engagement de confidentialité des personnes habilitées à accéder aux données.

Article 8 — Conservation, suppression et restitution

La durée de conservation est alignée sur le cycle de fin d'accès RECOVMAX tel que prévu à l'article 6 des CGU RECOVMAX :

Phase	Durée	Statut des données
Abonnement actif	Durée d'abonnement	Données accessibles, traitées selon les finalités définies
Période de grâce	15 jours	Conservation complète, plus aucun envoi sortant automatique
Lecture seule	30 jours	Conservation, export ZIP possible
Archivage chiffré	45 jours	Données conservées chiffrées, plus de connexion
Purge	—	Suppression définitive, sauf opt-in conservation 5 ans à fins probatoires

Le Cabinet peut à tout moment demander l'export ou la suppression de tout ou partie des données qu'il contrôle. Pour les données antérieures à la résiliation, l'export est automatique en fin de phase d'archivage.

Article 9 — Droits des personnes concernées

Les Débiteurs et les contacts des Clients Suivis disposent des droits prévus par le RGPD (accès, rectification, effacement, limitation, opposition, portabilité). En vertu du modèle à trois niveaux :

Toute demande d'un Débiteur doit être adressée en premier lieu au Client Suivi (responsable de traitement) ;
Le Client Suivi peut solliciter le Cabinet pour exécuter techniquement la demande dans RECOVMAX ;
RECOV s'engage à assister le Cabinet dans le traitement des demandes (export, anonymisation, suppression ciblée) dans un délai raisonnable et au plus tard sous 30 jours.

Lorsqu'un Débiteur s'adresse directement à RECOV, RECOV redirige la demande vers le Cabinet et notifie le Cabinet sans délai.

Article 10 — Notification de violation

RECOV notifie le Cabinet de toute violation de données personnelles dans les meilleurs délais, et au plus tard 48 heures après en avoir pris connaissance. La notification inclut :

La nature de la violation et, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ;
Les conséquences probables ;
Les mesures prises ou envisagées pour y remédier ;
Les coordonnées d'un point de contact dédié.

Le Cabinet est responsable de la notification à la CNIL (article 33 RGPD) et, le cas échéant, aux personnes concernées (article 34 RGPD), pour les données dont il est sous-traitant des Clients Suivis. Le Cabinet relaie l'information à ses Clients Suivis sans délai.

Article 11 — Audit

RECOV met à disposition du Cabinet, sur demande motivée, les informations nécessaires pour démontrer le respect des obligations du présent DPA : description des mesures techniques, attestations sous-traitants, cartographie des flux. Un audit sur site peut être réalisé sous réserve d'un préavis de 30 jours, d'un accord de confidentialité, et d'une fréquence raisonnable (au plus une fois par an, sauf incident significatif).

Article 12 — Cas particulier des Partenaires Externes

Hors périmètre RGPD de RECOV. Lorsque le Cabinet, dans le cadre du mandat reçu de son Client Suivi, transmet un dossier à un Partenaire Externe (commissaire de justice, avocat, cabinet de recouvrement contentieux), cette transmission constitue une communication de données à un destinataire tiers au sens de l'article 4-9 du RGPD.

RECOV n'est ni initiateur ni partie à cette communication. Le Cabinet (et son Client Suivi) doivent :

S'assurer du fondement licite de la communication (mandat du Client Suivi, intérêt légitime, exécution d'un contrat) ;
Conclure avec le Partenaire Externe un accord encadrant le traitement des données (DPA si le Partenaire agit comme sous-traitant ; contrat de communication de données s'il devient lui-même responsable de traitement, ce qui est le cas des avocats et commissaires de justice agissant dans le cadre de leur mandat ad litem) ;
Conserver une trace de la transmission et de son fondement.

RECOVMAX archive le ZIP transmis et la fiche partenaire à fins probatoires uniquement.

Article 13 — Cas particulier de Recovo (assistant IA)

Recovo, l'assistant IA intégré à RECOVMAX, repose sur l'API d'Anthropic (modèle Claude). RECOV applique les mesures suivantes :

Opt-out d'entraînement : RECOV active l'option commerciale d'Anthropic interdisant l'utilisation des données envoyées pour entraîner les modèles ;
Minimisation : seules les données nécessaires à la requête sont envoyées (agrégats portefeuille, top 5 dossiers prioritaires, score santé) — jamais l'ensemble des données saisies ;
Pas de rédaction automatisée : Recovo ne rédige aucune communication destinée à un tiers ; il restitue exclusivement des informations dérivées au Cabinet ;
Pseudonymisation des Débiteurs identifiés dans les requêtes lorsque techniquement possible (à terme — V2) ;
Conservation des conversations : 30 jours côté RECOV à fins de débogage, puis suppression. Anthropic applique sa propre politique de conservation (généralement 30 jours).

Le Cabinet doit informer ses Clients Suivis de l'utilisation d'un assistant IA dans le traitement (mention dans la politique de confidentialité du Client Suivi).

Article 14 — Cas particulier du score solvabilité

Le score indicatif de solvabilité d'un Débiteur (cf. article 10 des CGU RECOVMAX) est calculé à partir :

De données publiques officielles obtenues via l'API recherche-entreprises.api.gouv.fr opérée par la DINUM (statut entreprise, procédure collective publiée au BODACC, dirigeant fiché) — données publiques par nature, exemptées des obligations de l'article 28 RGPD au sens où elles sont émises par une autorité publique française ;
De signaux internes au Service (historique de paiement avec d'autres Clients Suivis du même Cabinet, anti-doublon débiteur).

Le score est conservé dans un cache d'une durée maximale de 7 jours, au-delà desquels les données publiques sont automatiquement re-vérifiées si le Débiteur fait l'objet d'une nouvelle action.

Le Cabinet reconnaît que ce score ne constitue pas une décision automatisée individuelle au sens de l'article 22 du RGPD : il est un outil d'aide à la décision et non une décision en lui-même.

Article 15 — Responsabilités et garanties

15.1 Garantie du Cabinet

Le Cabinet déclare et garantit :

Disposer d'un mandat valide de chacun de ses Clients Suivis ;
Avoir signé un DPA avec chacun de ses Clients Suivis ;
N'avoir saisi dans RECOVMAX que des données licitement collectées par ses Clients Suivis ;
Tenir à jour le registre des activités de traitement requis par l'article 30 du RGPD pour les traitements menés via RECOVMAX.

15.2 Garantie de RECOV

RECOV s'engage à exécuter ses obligations de sous-traitant ultérieur conformément au RGPD et au présent DPA, et à mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 7. En cas de violation imputable à RECOV, sa responsabilité est limitée conformément aux CGU RECOV.

15.3 Indemnisation réciproque

Chaque partie s'engage à garantir l'autre contre tout recours d'un tiers résultant d'une violation de ses propres obligations RGPD. Le Cabinet garantit notamment RECOV contre toute action d'un Débiteur ou d'un Client Suivi qui invoquerait l'absence de fondement licite ou de mandat, dès lors qu'aucune faute imputable à RECOV n'est démontrée.

Acceptation. En souscrivant à RECOVMAX, le Cabinet reconnaît avoir lu, compris et accepté l'intégralité du présent DPA RECOVMAX, en complément du DPA RECOV général et des CGU RECOVMAX.

Délégué à la protection des données / contact RGPD : pedro.berbel@dezvolta.org · DEZVOLTA — SIREN 948 914 072 — RCS Nanterre.