# DPA The Notice — Template RGPD Art. 28

Version : 2026-05-23  
Statut : template contractuel à faire relire et signer par les parties avant usage commercial.

## 1. Parties

Le présent Data Processing Agreement ("DPA") complète le contrat principal conclu entre :

- le Client professionnel, agissant en qualité de responsable du traitement ;
- The Notice, service édité par Olivier Le Corre ou toute entité juridique qui lui succéderait, agissant en qualité de sous-traitant au sens de l'article 4.8 du RGPD.

En cas de contradiction, le présent DPA prévaut pour les clauses relatives à la protection des données personnelles.

## 2. Objet et durée du traitement

The Notice traite les données personnelles uniquement pour fournir le service SaaS de fiches techniques, costing, pilotage de marge, audit BPMN et accompagnement Premium.

La durée du traitement correspond à la durée du contrat principal, augmentée des durées de réversibilité, sauvegarde, archivage légal et preuve contractuelle décrites dans le contrat ou la politique de confidentialité.

## 3. Nature et finalité du traitement

Les traitements réalisés pour le compte du Client incluent :

- hébergement des comptes utilisateurs et espaces de travail ;
- création, import, enrichissement et export de fiches techniques culinaires ;
- calcul de food cost, marge, allergènes, devis et documents opérationnels ;
- ingestion de factures, mercuriales ou données fournisseurs lorsque le Client les fournit ;
- génération assistée par IA lorsque le Client active ou demande cette fonctionnalité ;
- support, maintenance, sécurité, sauvegarde, observabilité et audit technique ;
- pour les offres Premium, analyse de processus, cartographie BPMN et accompagnement opérationnel.

The Notice n'utilise pas les données métier du Client pour une finalité indépendante non documentée.

## 4. Type de données à caractère personnel

Les catégories de données susceptibles d'être traitées sont :

- identité professionnelle : nom, prénom, fonction, établissement, société ;
- coordonnées : email, téléphone, adresse professionnelle ;
- données de compte : identifiants techniques, rôle, organisation, préférences ;
- données de facturation non bancaires : plan, montant, factures, statut de paiement ;
- données métier pouvant contenir des données personnelles : recettes, fiches, commentaires, fournisseurs, clients événementiels, devis, documents importés ;
- logs techniques : adresse IP, user-agent, horodatages, événements de sécurité et d'audit ;
- contenus transmis au support ou dans les demandes Premium.

The Notice ne demande pas de données sensibles au sens de l'article 9 du RGPD. Le Client s'engage à ne pas en importer sauf accord écrit et mesures complémentaires.

## 5. Catégories de personnes concernées

Les personnes concernées peuvent inclure :

- utilisateurs du Client : chefs, seconds, brigade, direction, administrateurs ;
- contacts professionnels du Client : fournisseurs, clients B2B, interlocuteurs événementiels ;
- prospects ou contacts créés dans le CRM The Notice lorsque le Client ou un visiteur les transmet ;
- intervenants support et administrateurs autorisés.

## 6. Obligations et droits du responsable du traitement

Le Client demeure responsable :

- de la licéité des traitements et de la base légale applicable ;
- de l'information des personnes concernées ;
- de l'exactitude des données transmises ;
- de la gestion des habilitations internes ;
- des réponses aux personnes concernées lorsque The Notice agit uniquement comme sous-traitant ;
- de la vérification des contenus générés par IA avant usage opérationnel, commercial, allergénique ou réglementaire.

Le Client peut donner à The Notice des instructions documentées, demander l'assistance raisonnable prévue par le RGPD et demander la suppression ou restitution des données en fin de contrat.

## 7. Obligations de The Notice

The Notice s'engage à :

- traiter les données uniquement sur instruction documentée du Client ;
- veiller à ce que les personnes autorisées soient soumises à une obligation de confidentialité ;
- mettre en place les mesures de sécurité décrites au présent DPA ;
- assister le Client pour les droits des personnes, la sécurité, les violations de données et les analyses d'impact lorsque nécessaire ;
- tenir une documentation raisonnable des traitements réalisés pour le compte du Client ;
- informer le Client si une instruction semble contraire au RGPD ou au droit applicable ;
- ne pas vendre les données personnelles du Client.

## 8. Sécurité du traitement — Article 32

The Notice applique des mesures techniques et organisationnelles proportionnées, notamment :

- chiffrement TLS pour les données en transit ;
- chiffrement au repos lorsque le sous-traitant d'infrastructure le fournit ;
- contrôle d'accès par rôles et principe du moindre privilège ;
- séparation des environnements et secrets serveur non exposés au client ;
- authentification et gestion de session via Supabase ;
- Row Level Security et politiques d'accès lorsque les tables sont exposées ;
- journalisation des actions critiques et surveillance des erreurs ;
- sauvegardes et capacité de restauration selon les garanties des prestataires ;
- revue des accès internes ;
- procédures de réponse incident et notification client.

## 9. Sous-traitants ultérieurs — Article 28.2 à 28.4

Le Client autorise The Notice à recourir aux sous-traitants ultérieurs listés en annexe 1 et sur la page publique `/legal/sous-traitants`.

The Notice s'engage à :

- imposer à chaque sous-traitant ultérieur des obligations de protection des données substantiellement équivalentes ;
- maintenir une liste publique ou accessible des sous-traitants ;
- notifier tout changement substantiel lorsque cela est contractuellement requis ;
- permettre au Client de formuler une objection raisonnable pour motif de protection des données.

En cas de transfert hors EEE, The Notice s'appuie sur une décision d'adéquation, les Clauses Contractuelles Types, le Data Privacy Framework lorsque applicable, ou des garanties équivalentes.

## 10. Droits des personnes — Articles 15 à 22

The Notice assiste raisonnablement le Client pour répondre aux demandes :

- droit d'accès ;
- droit de rectification ;
- droit à l'effacement ;
- droit à la limitation ;
- droit à la portabilité ;
- droit d'opposition ;
- retrait du consentement lorsque le traitement repose sur le consentement ;
- contestation d'une décision automatisée lorsque applicable.

Les demandes reçues directement par The Notice et concernant un Client identifié sont transmises au Client lorsque The Notice agit comme sous-traitant, sauf obligation légale contraire.

## 11. Notification de violation — Articles 33 et 34

The Notice notifie le Client dans les meilleurs délais après avoir pris connaissance d'une violation de données personnelles affectant les données traitées pour son compte.

La notification inclut, lorsque disponible :

- la nature de la violation ;
- les catégories et volumes approximatifs de données et personnes concernées ;
- les conséquences probables ;
- les mesures prises ou proposées ;
- le point de contact opérationnel.

The Notice assiste le Client pour documenter l'incident et, si nécessaire, préparer une notification à l'autorité de contrôle ou aux personnes concernées.

## 12. Audits — Article 28.3.h

The Notice met à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.

Un audit peut être demandé par le Client avec un préavis raisonnable, dans la limite d'un audit par an sauf incident majeur ou demande d'autorité. L'audit doit préserver la sécurité, les secrets d'affaires, les données des autres clients et la disponibilité du service.

The Notice peut répondre par documentation, questionnaire, rapport de sécurité, entretien technique ou audit encadré.

## 13. Sort des données en fin de contrat

À la fin du contrat, selon l'instruction du Client et sauf obligation légale de conservation, The Notice :

- restitue les données exportables dans un format raisonnablement exploitable ;
- supprime les données actives ;
- laisse expirer les sauvegardes selon les cycles techniques applicables ;
- conserve uniquement les données nécessaires à la preuve, la facturation, la sécurité ou une obligation légale.

Les données comptables, factures et traces nécessaires à la défense des droits peuvent être conservées pendant la durée légale applicable.

## 14. Assistance et analyses d'impact

Lorsque le traitement envisagé par le Client est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, The Notice fournit une assistance raisonnable pour l'analyse d'impact relative à la protection des données, sous réserve des informations disponibles et du périmètre du service.

## 15. Responsabilité

Chaque partie demeure responsable de ses obligations propres au titre du RGPD. The Notice n'est pas responsable des instructions illicites, données importées sans base légale, informations erronées fournies par le Client, ou usages opérationnels non vérifiés par le Client.

## Annexe 1 — Liste des sous-traitants

| Sous-traitant | Pays / région | Finalité | Données traitées |
| --- | --- | --- | --- |
| Supabase | UE, eu-west-1 Irlande | Base de données, auth, stockage applicatif | Données chefs, comptes, fiches, logs |
| Stripe | USA | Paiement, facturation, abonnements | Données paiement et facturation |
| OpenAI | USA | Génération IA selon fonctionnalités activées | Prompts, contenus métier nécessaires |
| Mistral AI | France / UE | Ingestion et structuration de factures | Factures, lignes fournisseurs, OCR |
| Resend | USA | Emails transactionnels | Email, contenu de notification |
| Vercel | USA | Hébergement frontend et fonctions | Logs, requêtes, métadonnées techniques |
| Anthropic | USA | Orchestration interne non exposée client | Briefs internes pseudonymisés lorsque nécessaire |

## Annexe 2 — Mesures techniques et organisationnelles

- TLS pour communications web et API.
- Secrets stockés côté serveur, jamais en `NEXT_PUBLIC_*`.
- Accès production limité aux personnes autorisées.
- Journalisation des événements critiques.
- RLS Supabase pour tables exposées.
- Validation des entrées sur routes publiques.
- Rate limiting sur routes sensibles.
- Sauvegardes opérées par les fournisseurs d'infrastructure.
- Procédure de suppression et export compte.
- Revue régulière des sous-traitants et de leurs DPA.