FidUpFidUp

Version 1.0 — 17 mai 2026

Data Processing Agreement (DPA)

Notre DPA est ouvert et téléchargeable avant tout contrat. Il est conforme à la nouvelle nLPD 2026 et compatible RGPD pour nos clients UE.

Note : le PDF téléchargeable est en cours de validation par notre avocat suisse. Cette version en ligne en résume les points clés.

1. Objet

Ce DPA régit le traitement des données personnelles par BeGenerous Digital Sàrl (sous-traitant) pour le compte du cabinet fiduciaire (responsable du traitement) dans le cadre de l'utilisation de FidUp.

2. Nature du traitement

Les opérations de traitement prévues :

  • Hébergement des données clients, mandats, factures, comptabilité
  • Hébergement des données LBA sensibles (profils risque, ADE, MROS)
  • Traitement IA (classification emails, drafts, classification documents) via Anthropic Claude
  • Envoi d'emails transactionnels (Resend)
  • Traitement des paiements (Stripe)

3. Sous-traitants ultérieurs

Liste complète sur la page souveraineté. Principaux :

  • Infomaniak Network SA (Genève, CH) : documents sensibles
  • Supabase (AWS Zurich, CH) : base de données structurée
  • Vercel Inc. (Frankfurt, DE) : compute serverless
  • Anthropic Ireland Ltd. (Dublin, IE) : IA Claude (zero data retention)
  • Resend Inc. (Frankfurt, DE) : emails transactionnels
  • Stripe Payments Europe (Dublin, IE) : paiements

4. Mesures de sécurité

  • Chiffrement AES-256-GCM des tokens OAuth et secrets
  • Row Level Security multi-tenant sur 100% des tables
  • Audit logs immutables, conservation 10 ans
  • TLS 1.3 pour toutes les connexions
  • 2FA obligatoire admins et AMLCO
  • Anti tipping-off sur les données MROS
  • Pentest annuel à partir de 2027

5. Violation de données

Notification du responsable de traitement sous 48 heures après prise de connaissance de la violation. Informations fournies : nature, personnes concernées, conséquences possibles, mesures prises.

6. Audits

Le responsable de traitement peut demander, à ses frais, un rapport d'audit une fois tous les 12 mois, avec préavis de 30 jours. Un rapport pentest et SOC 2 (à partir de 2027) sera mis à disposition sur demande.

7. Restitution et suppression

À la fin du contrat : 30 jours d'accès complet pour exporter les données (CSV, JSON, eCH-0217). Après cette période, suppression de toutes les données sous 90 jours, sauf obligation légale de conservation (art. 7 LBA, art. 958f CO).

8. Transferts internationaux

Les données sensibles restent en Suisse (Infomaniak Genève). Les données structurées en Suisse (Supabase Zurich). Les autres sous-traitants sont en UE avec adéquation nLPD ou clauses contractuelles types + addendum suisse.

Télécharger le DPA complet en PDF

Version PDF imprimable et signable. Le PDF validé par avocat sera disponible avant le launch.

Télécharger le PDF (brouillon)

Version validée attendue : Q3 2026

Prêt à tester FidUp ?

Le DPA est signé avant la mise en production. Essai 14 jours sans engagement préalable.

Essai 14 jours
Réserver un appel
DPA — Data Processing Agreement — FidUp - FidUp