Retour à l’accueil

Accord de traitement des données (DPA)

Version en vigueur depuis le 6 mai 2026

Le présent Accord de traitement des données (Data Processing Agreement, ci-après « DPA ») complète les Conditions Générales de Vente d’Pastria et précise les engagements de Cogsonomy en sa qualité de sous-traitant au sens de l’article 28 du Règlement (UE) 2016/679 (RGPD), lorsque le client agit en qualité de responsable de traitement vis-à-vis des données qu’il dépose dans le service.

Ce DPA s’applique automatiquement à tout client professionnel utilisant Pastria. Il n’est pas nécessaire de le signer : son acceptation est réputée acquise par l’adhésion aux CGV. Une version PDF signée peut être fournie sur demande à pastria@cogsonomy.fr.

1. Parties

Sous-traitant :

  • Cogsonomy, SASU au capital de 1 500 €
  • 6 rue Saint Jean, 85250 Saint-Fulgent, France
  • SIRET 82538928100023, TVA intracommunautaire FR64825389281
  • Contact : pastria@cogsonomy.fr

Responsable de traitement : le client professionnel souscripteur d’un abonnement Pastria, identifié au moment de la souscription (raison sociale, SIRET, adresse, email professionnel).

2. Objet et durée du traitement

Objet : fourniture du service SaaS Pastria — hébergement, stockage, sauvegarde et restitution des données saisies par le client (recettes, fiches techniques, ingrédients, fournisseurs, registres HACCP, factures, données de prod).

Durée : aussi longtemps que le contrat d’abonnement est en vigueur. Au terme du contrat, les obligations du DPA s’appliquent à la phase de restitution et de suppression des données (cf. article 9).

3. Nature et finalité du traitement

Le sous-traitant traite les données pour les seules finalités suivantes :

  • Hébergement et mise à disposition de l’application
  • Sauvegarde et restauration en cas d’incident
  • Maintenance technique et corrective
  • Support utilisateur, sur demande explicite du client
  • Sécurité (détection d’incidents, journalisation)
  • Facturation et gestion contractuelle

Le sous-traitant n’utilise jamais les données métier du client (recettes, formules, fichiers fournisseurs) à des fins commerciales, statistiques agrégées commercialisées, entraînement de modèles d’IA tiers, ni revente.

4. Catégories de données et de personnes concernées

Catégories de données :

  • Données d’identification du compte (email, mot de passe haché, nom de l’établissement)
  • Données métier saisies par le client (recettes, ingrédients, coûts, stocks, registres)
  • Données de facturation (données du client lui-même, traitées via Stripe)
  • Données de connexion et journalisation technique (IP, user-agent, timestamps)

Catégories de personnes concernées :

  • Le client lui-même (artisan, dirigeant)
  • Le cas échéant, ses fournisseurs (coordonnées professionnelles saisies par le client)

Aucune donnée sensible au sens de l’article 9 du RGPD (santé, opinions, biométrie) n’est traitée dans le cadre du service.

5. Obligations du sous-traitant

Cogsonomy s’engage à :

  • Traiter les données uniquement sur instruction documentée du responsable de traitement, telle que matérialisée par les CGV et le DPA
  • Garantir la confidentialité des données et n’y donner accès qu’aux personnes habilitées et soumises à une obligation de confidentialité
  • Mettre en œuvre les mesures techniques et organisationnelles décrites à l’article 7
  • Aider le responsable de traitement à répondre aux demandes d’exercice de droits des personnes concernées (cf. article 8)
  • Notifier toute violation de données dans les meilleurs délais et au plus tard 48 h après en avoir pris connaissance
  • Mettre à disposition les éléments nécessaires à la démonstration de sa conformité (cf. article 10)
  • Ne pas transférer les données hors de l’Union européenne sans garantie appropriée (cf. article 6)

6. Sous-traitants ultérieurs

Le client autorise Cogsonomy à recourir aux sous-traitants ultérieurs suivants pour l’exécution du service :

PrestataireRôleLocalisation
OVHcloudHébergement de l’application et de la base de donnéesFrance (UE)
denv-RStockage objet S3 — fichiers utilisateurs (photos, exports) et sauvegardes chiffrées de la base de donnéesUnion européenne
Stripe Payments Europe LtdTraitement des paiements et facturationIrlande (UE)
OVHcloud (service mail)Envoi d’emails transactionnels et notificationsFrance (UE)

Toute évolution de cette liste est notifiée au client par email et publiée sur la présente page au moins 30 jours avant son entrée en vigueur. Le client dispose d’un droit d’opposition motivé pendant ce délai. À défaut d’opposition, l’ajout est réputé accepté.

Le sous-traitant impose à chacun de ses sous-traitants ultérieurs des obligations de protection des données équivalentes à celles du présent DPA.

7. Mesures techniques et organisationnelles

Cogsonomy met en œuvre les mesures suivantes :

7.1 Chiffrement et authentification

  • HTTPS/TLS 1.2+ pour tous les échanges réseau
  • Mots de passe stockés via Bcrypt (hachage à coût élevé), jamais en clair
  • Politique de mot de passe forte (minimum 12 caractères, contrôle Have I Been Pwned)
  • Authentification à deux facteurs (TOTP) disponible et recommandée
  • Secrets 2FA chiffrés en base
  • Sauvegardes chiffrées au repos sur stockage S3 OVH

7.2 Cloisonnement et accès

  • Cloisonnement strict des données entre clients (multi-tenant logique)
  • Accès administratif limité au strict nécessaire et journalisé
  • Politique de moindre privilège appliquée aux infrastructures

7.3 Disponibilité et résilience

  • Sauvegardes quotidiennes automatisées avec rétention de 30 jours
  • Procédure de restauration testée régulièrement
  • Supervision applicative (health-check) et alertes en cas d’indisponibilité

7.4 Mesures organisationnelles

  • Engagement de confidentialité du personnel ayant accès aux données
  • Mise à jour régulière des dépendances et correctifs de sécurité
  • Revue de code des modifications avant mise en production

8. Droits des personnes concernées

Le sous-traitant met à disposition du responsable de traitement des fonctionnalités lui permettant de répondre directement aux demandes d’exercice de droits :

  • Accès et portabilité : export complet des données au format structuré (ZIP) depuis l’interface utilisateur
  • Rectification : modification directe des données dans l’application
  • Effacement : suppression du compte et des données associées depuis le profil utilisateur
  • Limitation et opposition : traitées sur demande adressée à l’éditeur

Pour toute demande dépassant les fonctionnalités en libre-service, Cogsonomy assiste le responsable de traitement dans un délai raisonnable, sans frais supplémentaires sauf demandes manifestement infondées ou excessives.

9. Fin du contrat — restitution et suppression

À la fin du contrat (résiliation, non-renouvellement), au choix du responsable de traitement :

  • Le client dispose de 30 jours pour exporter l’ensemble de ses données via la fonctionnalité de portabilité intégrée
  • Au terme de cette période, les données sont supprimées des bases de production
  • Les sauvegardes sont purgées dans un délai maximal de 90 jours suivant la fin du contrat

Certaines données peuvent être conservées au-delà pour répondre à des obligations légales (facturation comptable : 10 ans). Ces données sont alors archivées de manière isolée et ne sont plus traitées qu’aux fins légales prévues.

10. Audit et démonstration de conformité

Le sous-traitant met à disposition du responsable de traitement, sur demande écrite raisonnable, les informations nécessaires à la démonstration du respect du présent DPA, notamment :

  • Description des mesures techniques et organisationnelles en place
  • Liste à jour des sous-traitants ultérieurs
  • Politique de gestion des incidents et plan de continuité

Compte tenu de la nature mutualisée du service SaaS, les audits sur site ne sont pas réalisables individuellement. Cogsonomy s’engage à fournir tout élément documentaire raisonnable permettant au client de remplir ses obligations vis-à-vis de la CNIL.

11. Notification de violation

En cas de violation de données à caractère personnel, Cogsonomy notifie le responsable de traitement par email à l’adresse de contact du compte, dans les meilleurs délais et au plus tard 48 heures après en avoir pris connaissance. La notification précise la nature de la violation, les catégories de données et de personnes concernées, les conséquences probables, les mesures prises et les recommandations à destination du responsable de traitement.

12. Contact

Toute demande relative au présent DPA est adressée à pastria@cogsonomy.fr. Une réponse est apportée dans un délai de 30 jours maximum.

13. Droit applicable et juridiction

Le présent DPA est soumis au droit français et au RGPD. Tout litige relève des juridictions du ressort du siège social de Cogsonomy, après tentative préalable de règlement amiable.

Documents complémentaires : Conditions Générales de Vente · Politique de confidentialité · CGU.