CONDITIONS GÉNÉRALES
1. Identification d'API FIRST
La société API FIRST (API FIRST) est une société par actions simplifiée unipersonnelle inscrite au RCS d'Orléans sous le n°953 321 098 dont le siège social est situé LA TAILLE, ROUTE DE SULLY LA CHAPELLE, 45450 FAY-AUX-LOGES.
API FIRST peut être contactée à l'adresse mail suivante : contact@apifirst.fr.
2. Définitions
Aux fins des présentes Conditions Générales, les termes suivants, qu'ils soient employés au singulier ou au pluriel, auront la signification ci-après :
API FIRST :
désigne la société API FIRST, éditrice et exploitante de la Plateforme et prestataire des Services fournis conformément aux présentes Conditions Générales.
Services :
ensemble des fonctionnalités proposées par API FIRST, incluant notamment la réception, l'émission, la gestion, le contrôle, la transmission et l'acheminement des factures électroniques, ainsi que les services associés mentionnés dans les Conditions Générales.
Conditions Générales :
le présent document contractuel définissant les modalités d'accès, d'utilisation et de fourniture des Services, ainsi que les droits et obligations respectifs des Parties.
Client :
toute personne morale professionnelle ayant procédé à l'inscription sur la Plateforme et bénéficiant des Services fournis par API FIRST via l'ouverture d'un Compte.
Compte :
espace personnel créé pour le Client lors de son inscription, permettant l'accès aux Services via un identifiant et un mot de passe.
Plateforme Agréée ou PA :
désigne la plateforme numérique éditée par API FIRST et agréée par l'administration fiscale dans le cadre de la réglementation applicable à la facturation électronique, et habilitée à assurer pour le compte des assujettis les missions d'émission, réception, contrôle, transmission et archivage des factures électroniques et des données de transaction, conformément au Décret n° 2022-1299 du 7 octobre 2022 relatif à la généralisation de la facturation électronique dans les transactions entre assujettis à la taxe sur la valeur ajoutée et à la transmission des données de transaction.
Portail Public de Facturation ou PPF :
portail mis à disposition par l'administration fiscale pour recevoir ou transmettre les factures électroniques et données de facturation, avec lequel la Plateforme assure l'interopérabilité.
Maintenance :
actions correctives ou évolutives réalisées par API FIRST sur la Plateforme, pouvant conduire à des interruptions temporaires d'accès, dans les conditions définies aux présentes Conditions Générales.
Données personnelles :
Toute information se rapportant à une personne physique identifiée ou identifiable, traitée par API FIRST ou le Client dans le cadre de l'utilisation des Services, conformément au Règlement (UE) 2016/679 (RGPD) et la loi n°78-17 du 6 janvier 1978 modifiée.
Sous-traitant ultérieur :
tout prestataire auquel API FIRST peut avoir recours pour traiter des données personnelles pour le compte du Client, tel que listé en Annexe 1.
Force majeure :
événement répondant à la définition de l'article 1218 du Code civil, échappant au contrôle raisonnable des Parties et empêchant l'exécution de leurs obligations contractuelles.
Les Données :
désigne l'ensemble des informations, contenus, documents, fichiers, factures électroniques, données de transaction, journaux d'activité, éléments comptables, ainsi que toute donnée saisie, importée, générée, reçue ou transmise par le Client dans le cadre de l'utilisation des Services. Les Données incluent également, le cas échéant, les données personnelles au sens de la Réglementation applicable.
Mandat :
désigne l'autorisation formelle donnée par le Client à API FIRST, via la signature d'un mandat conforme aux exigences du dispositif national de facturation électronique, permettant à API FIRST d'assurer en son nom et pour son compte l'émission, la réception, le contrôle, la transmission, l'archivage et, plus généralement, l'exécution des opérations nécessaires au traitement des factures électroniques et des données de transaction, conformément à la réglementation applicable.
La portabilité :
désigne la procédure réglementée permettant au Client de changer de Plateforme Agréée, par laquelle les informations nécessaires à l'acheminement de ses factures électroniques et données de transaction sont transférées vers une nouvelle Plateforme Agréée. La portabilité inclut la mise à jour de l'annuaire central, la désactivation de l'acheminement sur la Plateforme Agréée d'API FIRST, ainsi que la confirmation formelle de la résiliation par API FIRST, dans un délai conforme aux exigences du dispositif national de facturation électronique.
3. Services proposés
API FIRST propose à ses clients (les Clients) une solution de facturation électronique conçue pour opérer en tant que Plateforme Agréée (les Services), accessible via apifirst.fr (la Plateforme Agréée).
4. Informations sur les Conditions Générales
| Fonction des Conditions Générales | Les conditions générales (les « Conditions Générales ») régissent la relation contractuelle d'API FIRST avec le Client et définissent : les modalités d'utilisation de ses Services, les obligations respectives des parties. Elles régissent exclusivement la souscription et l'utilisation des Services fournis par API FIRST. Les prestations de comptabilité proposées par la société DOUGS (SIREN n°810 319 517) sont régies par des conditions générales distinctes, accessibles ici. |
|---|---|
| Emplacement des Conditions Générales | Le Client peut les trouver par un lien direct en bas de page du site www.apifirst.fr. |
| Modalités d'acceptation des Conditions Générales | Le Client accepte les Conditions Générales en cochant une case dans le formulaire d'inscription. S'il n'accepte pas l'intégralité des Conditions Générales, il ne peut pas accéder aux Services. Elles peuvent être complétées par des conditions particulières, qui, en cas de contradiction, prévalent sur les Conditions Générales. |
5. Conditions d'accès aux Services
- Le Client est une personne morale agissant par l'intermédiaire d'une personne physique disposant du pouvoir ou de l'habilitation requise pour contracter au nom du Client et pour son compte.
- Le Client a la qualité de professionnel, entendu comme toute personne physique ou morale agissant à des fins entrant dans le cadre de son activité commerciale, industrielle, artisanale, libérale ou agricole, y compris lorsqu'elle agit au nom ou pour le compte d'un autre professionnel.
6. Modalités d'accès et de souscription aux Services
Pour souscrire aux Services, le Client doit remplir le formulaire accessible ici.
Le Client doit fournir à API FIRST l'ensemble des informations marquées comme obligatoires.
L'inscription entraîne automatiquement l'ouverture d'un compte au nom du Client (le Compte) qui lui permet d'accéder aux Services à l'aide de son identifiant de connexion et de son mot de passe.
L'identifiant et le mot de passe sont strictement confidentiels et personnels. Le Client s'engage à conserver la confidentialité de ces codes et s'interdit de les divulguer à quelque personne que ce soit. Le Client est seul responsable de l'utilisation de ces codes et de l'accès à la Plateforme, sauf preuve d'une utilisation frauduleuse qui ne pourrait pas lui être imputée.
Le Client reconnaît que les Services sont distincts cloisonnés des prestations de comptabilité proposées par la société DOUGS (SIREN n°810 319 517) sur le site www.dougs.fr. L'accès aux Services ne requiert pas la souscription préalable aux services de comptabilité de la société DOUGS. L'inscription aux Services donne uniquement accès à l'outil de facturation décrit à l'article 6.1.b « Objet des Services » ci-après.
7. Description des Services
7.1. Les Services
a. Contraintes techniques et prérequis
Avant toute souscription, le Client reconnaît qu'il peut prendre connaissance sur la Plateforme des caractéristiques des Services et de leurs contraintes, notamment techniques, accessibles ici.
Le Client reconnaît que la mise en œuvre des Services nécessite d'être connecté à internet et que la qualité des Services dépend de cette connexion, dont API FIRST n'est pas responsable. Le Client fait son affaire personnelle, à ses frais exclusifs, de l'acquisition, la mise en place, la maintenance et la connexion des différents éléments de la configuration et des moyens de télécommunication nécessaires à l'accès aux Services. Il lui appartient de même de souscrire les abonnements de télécommunication nécessaires.
b. Objet des Services
La Plateforme a pour objet de fournir au Client une solution de facturation électronique conçue pour opérer en tant que Plateforme Agréée, afin de lui permettre de se conformer à ses obligations légales en matière de transmission et de réception de factures électroniques.
Dans ce contexte, les Services sont fournis en conformité avec les exigences techniques et réglementaires applicables (Décret n° 2022-1299 du 7 octobre 2022 relatif à la généralisation de la facturation électronique dans les transactions entre assujettis à la taxe sur la valeur ajoutée et à la transmission des données de transaction).
Les Services permettent au Client, dans le cadre de son activité professionnelle de :
- Recevoir les factures : Recevoir et mettre à disposition du Client les factures électroniques émises par ses propres fournisseurs depuis d'autres Plateformes agréées.
- Émettre et gérer les factures : Saisir, déposer, émettre et transmettre ses factures électroniques, en garantissant l'authenticité de leur origine, l'intégrité de leur contenu et leur lisibilité, conformément aux formats réglementaires en vigueur ;
- Contrôler la conformité : Bénéficier de contrôles automatisés de conformité sur les données de facturation et de transaction avant leur transmission, afin de limiter les risques de rejet.
- Transmettre à l'administration : Assurer la transmission sécurisée des données de facturation requises par l'administration fiscale au Portail Public de Facturation ("PPF").
- Acheminer les factures : Identifier les destinataires des factures via l'annuaire central pour un acheminement sécurisé et traçable vers d'autres plateformes (PPF ou PA) ;
API FIRST se réserve la possibilité de proposer tout autre Service et le cas échéant de mettre à jour les présentes conditions générales ainsi que toute documentation technique y associée.
7.2. Les prestations complémentaires
Maintenance
Le Client bénéficie pendant la durée des Services d'une maintenance, notamment corrective et évolutive. Dans ce cadre, l'accès à la Plateforme peut être limité ou suspendu.
Concernant la maintenance corrective, API FIRST fait ses meilleurs efforts pour fournir au Client une maintenance corrective afin de corriger tout dysfonctionnement ou bogue relevé sur la Plateforme.
Concernant la maintenance évolutive, le Client bénéficie pendant la durée des Services d'une maintenance évolutive, qu'API FIRST pourra réaliser automatiquement et sans information préalable, et qui comprend des améliorations des fonctionnalités de la Plateforme, l'ajout de nouvelles fonctionnalités et/ou installations techniques utilisées dans le cadre de la Plateforme (visant à introduire des extensions mineures ou majeures).
L'accès à la Plateforme peut par ailleurs être limité ou suspendu pour des raisons de maintenance planifiée, qui peut inclure les opérations de maintenance corrective et évolutive susvisées.
Hébergement
API FIRST assure, dans les termes d'une obligation de moyens, l'hébergement de la Plateforme, ainsi que des données produites par la Plateforme ainsi que des données saisies sur la Plateforme, sur ses serveurs ou par l'intermédiaire d'un prestataire d'hébergement professionnel, et sur des serveurs situés dans un territoire de l'Union européenne.
Assistance technique
En cas de difficulté rencontrée lors de l'utilisation des Services, le Client peut contacter API FIRST aux coordonnées mentionnées à l'article « Identification d'API FIRST» et notamment à l'adresse mail contact@apifirst.fr.
Le service d'assistance technique est accessible du lundi au vendredi, hors jours chômés ou fériés, de 9 heures à 17 heures. En fonction du besoin identifié, API FIRST estimera le délai de réponse et en tiendra le Client informé.
8. Durée de souscription aux Services
Le Client souscrit aux Services pour une durée indéterminée à compter de la date de signature du Mandat.
9. Prix des Services
Les Services sont fournis sans contrepartie financière dans leur version actuelle. API FIRST se réserve le droit de proposer à l'avenir des fonctionnalités additionnelles payantes ou de faire évoluer son modèle tarifaire dans les conditions prévues à l'article « Modification des Conditions Générales ».
10. Droits de propriété intellectuelle
La Plateforme est la propriété d'API FIRST, de même que les logiciels, infrastructures, bases de données et contenus de toute nature (textes, images, visuels, musiques, logos, marques, etc.) qu'elle exploite. Ils sont protégés par tous droits de propriété intellectuelle ou droits des producteurs de bases de données en vigueur. La licence qu'API FIRST consent au Client n'entraîne aucun transfert de propriété.
Le Client bénéficie d'une licence en mode SaaS non exclusive, personnelle et non transmissible d'utilisation de la Plateforme pour la durée prévue à l'article « Durée de souscription aux Services ».
Il est notamment formellement interdit au Client :
- de procéder à toute forme de reproduction ou de représentation de la Plateforme ou de sa
documentation, ou d'altérer ou masquer de quelque manière que ce soit les marques, signes distinctifs,
mentions de copyright apposées ;
- d'intervenir sur le logiciel de quelque manière et pour quelque raison que ce soit, y compris pour en
corriger les erreurs, la maintenance évolutive et corrective étant assurée par API FIRST ;
- de modifier ou chercher à contourner tout dispositif de protection du logiciel.
11. Références commerciales
Sous réserve de l'obtention d'un accord préalable par tous moyens écrit, les parties pourront faire usage de leurs noms, marques et logos respectifs et faire référence à leurs plateformes respectives, à titre de références commerciales ou promotionnelles, pendant la durée de leur relation contractuelle et 3 ans au-delà.
12. Obligations et responsabilité du Client
12.1. Concernant la fourniture d'informations
Le Client s'engage à fournir à API FIRST toutes les informations nécessaires pour la souscription et l'utilisation des Services.
12.2. Concernant le Compte du Client
Le Client :
- garantit que les informations transmises dans le formulaire sont exactes et s'engage à les mettre à jour,
- reconnaît que ces informations valent preuve de son identité et l'engagent dès leur validation,
- est responsable du maintien de la confidentialité et de la sécurité de son identifiant et mot de passe. Tout accès à la Plateforme à l'aide de ces derniers étant réputé effectué par lui.
Le Client doit immédiatement contacter API FIRST aux coordonnées mentionnées à l'article « Identification d'API FIRST » s'il constate que son Compte a été utilisé à son insu. Il reconnaît qu'API FIRST aura le droit de prendre toutes mesures appropriées en pareil cas et notamment suspendre le fonctionnement du compte du Client ainsi que toutes mesures conservatoires nécessaires à la sécurité de la Plateforme et du compte du Client.
12.3. Concernant l'utilisation des Services
Le Client est responsable de son utilisation des Services et de toute information qu'il partage dans ce cadre. Il s'engage à utiliser les Services personnellement et à ne permettre à aucun tiers de les utiliser à sa place ou pour son compte.
Le Client doit utiliser le service conformément à son objet et non de façon détournée.
Le client est informé qu'il est fortement déconseillé d'utiliser des ordinateurs accessibles au public, compte tenu des risques inhérents à ce type d'accès et, notamment, la possibilité de compromission de la sécurité des codes d'accès (« Key-loggers »).
Le Client s'interdit de détourner les Services à des fins autres que celles pour lesquelles ils ont été conçus, et notamment pour :
- exercer une activité illégale ou frauduleuse,
- porter atteinte à l'ordre public et aux bonnes mœurs,
- porter atteinte à des tiers ou à leurs droits, de quelque manière que ce soit,
- violer une disposition contractuelle, législative ou réglementaire,
- exercer toute activité de nature à interférer dans le système informatique d'un tiers notamment aux fins d'en violer l'intégrité ou la sécurité,
- effectuer des manœuvres visant à promouvoir ses services et/ou sites ou ceux d'un tiers,
- aider ou inciter un tiers à commettre un ou plusieurs actes ou activités listés ci-dessus.
Le Client s'interdit également de :
- copier, modifier ou détourner tout élément appartenant à API FIRST ou tout concept qu'elle exploite dans le cadre des Services,
- adopter tout comportement de nature à interférer avec ou détourner les systèmes informatiques de API FIRST ou porter atteinte à ses mesures de sécurité informatique,
- porter atteinte aux droits et intérêts financiers, commerciaux ou moraux de API FIRST,
- commercialiser, transférer ou donner accès de quelque manière que ce soit aux Services, aux informations hébergées sur la Plateforme ou à tout élément appartenant à API FIRST.
Le Client garantit API FIRST contre toute réclamation et/ou action qui pourrait être exercée à son encontre à la suite de la violation de l'une des obligations du Client. Le Client indemnisera API FIRST du préjudice subi et la remboursera de toutes les sommes qu'elle pourrait avoir à supporter de ce fait.
13. Obligations et responsabilité d'API FIRST
La société API FIRST s'engage à fournir les Services avec diligence, étant précisé qu'elle est tenue à une obligation de moyens.
13.1. Obligations spécifiques en tant que Plateforme Agréée (PA)
En sa qualité de PA, API FIRST s'engage à :
- Respecter la réglementation en vigueur applicable aux plateformes de dématérialisation partenaires, notamment le décret n° 2022-1299 du 7 octobre 2022 ;
- Assurer les contrôles des données de facturation afin d'en vérifier la conformité aux formats légaux avant leur transmission au portail public de facturation ou à d'autres plateformes ;
- Garantir la sécurité et la traçabilité des flux de données ;
- Maintenir l'interopérabilité de ses Services avec le portail public de facturation (PPF) et les autres Plateformes de Dématérialisation Partenaires ;
- Assurer la conservation des factures et données de transaction pour les durées légales de conservation applicables ;
- Garantir un niveau de sécurité substantiel des moyens d'identification électronique des utilisateurs de la Plateforme, notamment par un mécanisme d'authentification à deux facteurs.
13.2. Concernant la qualité des Services
API FIRST fait ses meilleurs efforts pour fournir au Client des Services de qualité.
A cette fin, elle procède régulièrement à des contrôles afin de vérifier le fonctionnement et l'accessibilité de ses Services et peut ainsi réaliser une maintenance dans les conditions précisées à l'article « Maintenance ».
API FIRST n'est néanmoins pas responsable des difficultés ou impossibilités momentanées d'accès à ses Services qui auraient pour origine :
- des circonstances extérieures à son réseau (et notamment la défaillance partielle ou totale des serveurs du Client),
- la défaillance d'un équipement, d'un câblage, de services ou de réseaux non inclus dans ses Services ou qui n'est pas sous sa responsabilité,
- l'interruption des Services du fait des opérateurs télécoms ou fournisseurs d'accès à internet,
- l'intervention du Client notamment via une mauvaise configuration appliquée sur les Services,
- un cas de force majeure.
API FIRST est responsable du fonctionnement de ses serveurs, dont les limites extérieures sont constituées par les points de raccordement.
Les documents et informations fournies sur la Plateforme sont uniquement fournis à des fins de référence/information. Ils n'ont pas pour vocation de se substituer à un conseil ou un jugement professionnel, ni de fournir un conseil juridique ou autre par rapport à certaines circonstances particulières.
En outre, la Plateforme contient un certain nombre de liens hypertextes vers d'autres sites, mis en place avec l'autorisation d'API FIRST. Cependant, API FIRST n'a pas la possibilité de vérifier le contenu des sites ainsi visités, et n'assumera en conséquence aucune responsabilité de ce fait.
Par ailleurs, elle ne garantit pas que les Services :
- soumis à une recherche constante pour en améliorer notamment la performance et le progrès, seront totalement exempts d'erreurs, de vices ou défauts,
- étant standards et nullement proposés en fonction des contraintes personnelles du Client, répondront spécifiquement à ses besoins et attentes.
Même si API FIRST s'efforce de fournir des informations de qualité, elle ne garantit pas l'absence d'erreurs dans le contenu de la Plateforme. La responsabilité d'API FIRST ne saurait dès lors être engagée du fait des informations figurant sur la Plateforme. Toutes les informations indiquées sur le site API FIRST sont données à titre indicatif, et sont susceptibles d'évoluer. Par ailleurs, les renseignements figurant sur la Plateforme API FIRST ne sont pas exhaustifs. Ils sont donnés sous réserve de modifications ayant été apportées depuis leur mise en ligne.
13.3. Concernant la garantie de niveau de service de la Plateforme
API FIRST ne propose aucune garantie de niveau de service de la Plateforme.
Toutefois, API FIRST fait ses meilleurs efforts pour maintenir un accès à la Plateforme 24h/24h et 7j/7j sauf en cas de maintenance planifiée dans les conditions définies à l'article « Maintenance » ou de force majeure.
13.4. Concernant la sauvegarde des données sur la Plateforme
API FIRST fait ses meilleurs efforts pour sauvegarder toutes données produites par la Plateforme et/ou saisies sur la Plateforme.
Sauf en cas de fautes avérées de la part d'API FIRST, elle n'est néanmoins pas responsable de toute perte de données au cours des opérations de maintenance.
13.5. Concernant le stockage et la sécurité des données
API FIRST fournit des capacités de stockage suffisantes pour l'exploitation des Services.
API FIRST fait ses meilleurs efforts pour assurer la sécurité des données en mettant en œuvre des mesures de protection des infrastructures et de la Plateforme, de détection et prévention des actes malveillants et de récupération des données.
13.6. Concernant le recours à la sous-traitance et la cession
API FIRST peut recourir à des sous-traitants dans le cadre de l'exécution des Services, qui sont soumis aux mêmes obligations que les siennes dans le cadre de leur intervention. Elle reste néanmoins seule responsable de la bonne exécution des Services à l'égard du Client.
API FIRST pourra être remplacée par toute personne subrogée dans l'ensemble de ses droits et obligations au titre de sa relation contractuelle avec le Client. Le cas échéant, API FIRST informera le Client de cette substitution par tout moyen écrit.
14. Limitation de la responsabilité d'API FIRST
La responsabilité d'API FIRST est limitée aux seuls dommages directs avérés que le Client subit du fait de l'utilisation des Services.
A l'exception des dommages corporels, décès et faute lourde, et sous réserve d'avoir émis une réclamation par lettre recommandée avec accusé de réception, dans un délai d'un mois suivant la survenance du dommage, la responsabilité d'API FIRST ne saurait être engagée pour un montant supérieur au plafond de son assurance de responsabilité civile professionnelle soit la somme de 8 000 euros.
15. Modes de preuve admis
La preuve peut être établie par tout moyen.
Le Client est informé que les messages échangés par le biais de la Plateforme ainsi que les données recueillies sur la Plateforme et les équipements informatiques d'API FIRST constituent l'un des modes de preuve admis, notamment pour démontrer la réalité des Services réalisés et le calcul de leur prix.
16. Modalités de traitement des données à caractère personnel
16.1. Dispositions générales
Les Parties s'engagent, chacune pour ce qui la concerne, à se conformer à toutes les obligations légales et réglementaires qui leur incombent en matière de protection des données à caractère personnel, notamment la loi 78-17 du 6 janvier 1978 dans sa dernière version modifiée dite Loi Informatique et Libertés et le règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après ensemble la Réglementation applicable).
Aux fins de gestion de la relation contractuelle entre les Parties, chaque Partie traite les données à caractère personnel de ses interlocuteurs chez l'autre Partie en qualité de responsable de traitement au sens de la Réglementation applicable, et ce pour la durée des Services. Ce traitement est nécessaire à la bonne exécution des Services et ne concerne que des données d'identification (notamment nom, prénom, adresse email, numéro de téléphone) des interlocuteurs.
Le personnel des Parties, leurs services chargés du contrôle (commissaire aux comptes notamment) et leurs sous-traitants pourront avoir accès aux données à caractère personnel collectées.
Ce traitement pourra donner lieu à l'exercice par les interlocuteurs des Parties de leurs droits prévus par la Réglementation applicable, à savoir : (i) d'obtenir la communication et, le cas échéant, la rectification ou la suppression des données les concernant, (ii) de demander l'effacement ou la limitation du traitement, (iii) de s'opposer au traitement pour des motifs légitimes, (iv) de demander la portabilité des données les concernant, afin de les récupérer et de les conserver, et (v) d'introduire une réclamation auprès d'une autorité de contrôle compétente.
16.2. Traitements des données personnelles par API FIRST en tant que sous-traitant
Dans le cadre des Services, API FIRST est amené à traiter des données à caractère personnel au nom et pour le compte du Client en qualité de sous-traitant, tandis que le Client, lui agit en qualité de responsable de traitement au sens de la Réglementation applicable. Les caractéristiques des traitements sont décrites en Annexe 1 des Conditions Générales.
a. Traitement des données
API FIRST s'engage à ne traiter les données à caractère personnel que pour les finalités listées à l'Annexe 1 et conformément aux instructions documentées du Client, y compris en ce qui concerne le transfert des données en dehors de l'Union Européenne. API FIRST s'engage à informer le Client si, selon lui, une instruction constitue une violation de la Réglementation applicable. API FIRST se réserve le droit de suspendre, le traitement jusqu'à la modification par le Client de l'instruction en cause de manière à ce qu'elle ne viole plus la Réglementation applicable, sans engager sa responsabilité contractuelle du fait de cette suspension. Cette suspension ne donne lieu à aucun remboursement du prix des Services pour la période de suspension. Si le Client ne modifie pas mais maintient l'instruction en cause, API FIRST se réserve le droit de résilier les Services sans délai et sans frais.
En outre, si API FIRST est tenue de procéder à un transfert de données vers un pays tiers ou à une organisation internationale, en vertu du droit applicable aux Conditions Générales, il doit informer le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public.
b. Sécurité et confidentialité des données
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, API FIRST met en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
c. Autres sous-traitants
API FIRST est autorisé à faire appel aux sous-traitants (les Sous-traitant(s) ultérieur(s)) listés en Annexe 1 des Conditions Générales pour mener des activités de traitement spécifiques. En cas de changement dans la liste des Sous-traitants ultérieurs autorisés, API FIRST informera préalablement et par écrit le Client. Cette information devra indiquer clairement les activités de traitement sous-traitées, l'identité et les coordonnées du Sous-traitant ultérieur. Le Client dispose d'un délai de 15 jours à compter de la date de réception de cette information pour présenter ses objections légitimes et motivées. A défaut de notifications d'objections passé ce délai, le Client sera réputé avoir accepté le recours au Sous-traitant ultérieur. En cas d'objections persistantes du Client, les Parties se réuniront de bonne foi et feront leurs meilleurs efforts pour discuter d'une résolution. API FIRST pourra choisir de (i) ne pas avoir recours au Sous-traitant ultérieur ou (ii) de prendre les mesures correctrices demandées par le Client dans le cadre des objections formulées et avoir recours au Sous-traitant ultérieur. Si aucune des options n'est raisonnablement possible, et si API FIRST ne peut avoir recours pour des raisons légitimes à un autre sous-traitant pour le traitement envisagé, l'une ou l'autre des Parties pourra résilier les Services moyennant un préavis de 30 jours.
Le Sous-traitant ultérieur est tenu de respecter les obligations des Conditions Générales pour le compte et selon les instructions du Client. Il appartient à API FIRST de s'assurer que le Sous-traitant ultérieur présente les mêmes garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la Réglementation applicable. Si le Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, API FIRST demeure pleinement responsable devant le Client de l'exécution par le Sous-traitant ultérieur de ses obligations.
d. Transfert de données à caractère personnel hors de l'Union européenne
API FIRST est autorisé à transférer les données à caractère personnel traitées dans le cadre des Services vers des pays situés hors de l'Union européenne, sous réserve de la mise en place de garanties appropriées telles que définies au Chapitre V du RGPD.
e. Assistance et fourniture d'informations
API FIRST s'engage à :
- assister le Client et répondre dans les meilleurs délais à toute demande d'information lui étant adressée par le Client, que ce soit dans le cadre d'une analyse d'impact ou d'une demande présentée par les autorités de protection des données ou le délégué à la protection des données du Client ;
- dans la mesure du possible, assister le Client à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits prévus par la Réglementation applicable. Lorsque les demandes sont adressées directement à API FIRST, ce dernier (i) adresse ces demandes au Client dans les meilleurs délais par courrier électronique à l'adresse communiquée par le Client, et (ii) accuse réception des demandes, en indiquant aux personnes concernées que celles-ci ont bien été transférées au Client, en tant que responsable de traitement ;
- notifier au Client dans les meilleurs délais après en avoir pris connaissance toute violation des données à caractère personnel portant sur les traitements faisant l'objet de l'exécution des Services et lui communiquer toute information et documentation utile relative à cette violation.
f. Sort des données
API FIRST s'engage, au choix du Client, à supprimer les données à caractère personnel à la fin des Services ou à les renvoyer au Client et à ne pas en conserver de copie, sauf si la Réglementation applicable l'exige. Le Client dispose d'un mois à compter de la fin des Services pour exercer son choix. Passé ce délai, API FIRST supprimera toutes les données à caractère personnel.
g. Documentation
API FIRST met à disposition du Client, sur demande de celui-ci, toutes les informations et tous les documents nécessaires pour démontrer le respect de ses obligations et pour permettre la réalisation d'audits. Le Client a ainsi la possibilité de procéder à des audits 1 fois par an et à ses frais afin de vérifier la conformité d'API FIRST aux obligations prévues dans le présent article. Le Client informera API FIRST de la tenue de l'audit moyennant un préavis minimum de 2 semaines. L'identité de l'auditeur devra être acceptée d'un commun accord entre les Parties. API FIRST se réserve notamment le droit de refuser l'identité de l'auditeur retenu s'il appartient à une société concurrente. L'audit devra être réalisé pendant les heures ouvrées d'API FIRST et de manière à perturber le moins possible son activité. L'audit ne pourra ainsi porter atteinte de quelque façon que ce soit (i) aux mesures techniques et organisationnelles de sécurité déployées par API FIRST, (ii) à la sécurité et la confidentialité des données des autres clients d'API FIRST, et (iii) au bon fonctionnement et à l'organisation de la production d'API FIRST. Dans la mesure du possible, les Parties conviendront à l'avance du périmètre de l'audit. Le rapport d'audit sera adressé à API FIRST afin de permettre à ce dernier de formuler ses observations ou remarques éventuelles par écrit, lesquelles seront annexées à la version finale du rapport d'audit. Chaque rapport d'audit sera considéré comme une information confidentielle.
h. Réutilisation des données par API FIRST
Le Client autorise par les présentes API FIRST à traiter les données personnelles collectées dans le cadre des services (notamment les données de connexion et d'identification) aux fins d'amélioration des services d'API FIRST, et notamment de réalisation des statistiques sur la façon dont la solution est utilisée par les utilisateurs. API FIRST agira dans ce cadre en qualité de responsable de traitement au sens de la Réglementation applicable et s'engage à ce titre à respecter les dispositions légales sur la protection des données dans le cadre des traitements précités.
16.3. Obligations du Client vis-à vis d'API FIRST
Le Client s'engage à :
- fournir à API FIRST les données personnelles visées dans l'Annexe 1, à l'exclusion de toute donnée personnelle non pertinente, disproportionnée ou non nécessaire, et à l'exclusion de toute donnée « particulière » au sens de la Réglementation applicable, sauf si les traitements le justifient, à charge pour le Client d'établir ces justifications et de prendre toutes mesures, notamment d'information préalable, de recueil de consentement et de sécurité, appropriées pour de telles données particulières ;
- collecter sous sa responsabilité, de manière licite, loyale et transparente, les données personnelles fournies à API FIRST, pour l'exécution de ses services, et en particulier, s'assurer de la base légale de cette collecte et de l'information due aux personnes concernées ;
- tenir un registre des traitements et plus généralement, respecter les principes issus de la Réglementation applicable ;
- veiller au préalable et pendant toute la durée du traitement, au respect des obligations prévues par la Réglementation applicable.
17. Force majeure
Les Parties ne pourront être tenues pour responsables si la non-exécution ou le retard dans l'exécution de l'une quelconque de leurs obligations, telles que décrites dans les présentes découle d'un cas de force majeure, au sens de l'article 1218 du Code civil ou d'aléas sanitaires ou climatiques exceptionnels indépendants de la volonté des Parties.
La Partie constante l'événement devra sans délai informer l'autre Partie de son impossibilité à exécuter sa prestation et s'en justifier auprès de celle-ci. La suspension des obligations ne pourra en aucun cas être une cause de responsabilité pour inexécution de l'obligation en cause, ni induire le versement de dommages et intérêts ou pénalités de retard.
L'exécution de l'obligation est suspendue pendant toute la durée de la force majeure si elle est temporaire et ne dépasse pas trente (30) jours. Par conséquent, dès la disparition de la cause de la suspension de leurs obligations réciproques, les Parties feront tous leurs efforts pour reprendre le plus rapidement possible l'exécution normale de leurs obligations contractuelles. A cet effet, la Partie empêchée avertira l'autre de la reprise de son obligation par lettre recommandée avec demande d'avis de réception ou tout acte extrajudiciaire. Si l'empêchement est définitif ou dépasse une durée de trente (30) jours, les présentes seront purement et simplement résolues.
18. Fin des Services
En cas de changement de Plateforme Agréée, le Client doit initier sa demande auprès de la nouvelle Plateforme Agréée. Celle-ci adresse alors à API FIRST une demande officielle de portabilité conformément aux règles applicables au dispositif national de facturation électronique.
À réception de cette demande, et après vérification de son authenticité, API FIRST met en œuvre la résiliation via la procédure de portabilité.
Après la portabilité, les factures reçues n'ayant pas terminé leur cycle de vie seront toujours accessibles via la Plateforme Agréée. L'accès au compte sera possible après la résiliation selon les délais prévus par la loi.
La résiliation suite à la demande de portabilité devient effective à la date confirmée par API FIRST à la nouvelle Plateforme Agréée, dans un délai conforme aux exigences du dispositif national.
En cas de cessation d'activité, liquidation, ou radiation de la société du Client, celui-ci peut demander directement à API FIRST la résiliation de ses Services.
Dans ce cas :
- API FIRST procède à la désactivation du Compte du Client et à l'arrêt de tout acheminement des factures et données associées;
- API FIRST met à jour l'annuaire central pour supprimer l'association du Client avec la Plateforme;
- API FIRST informe le Client de la date effective de résiliation.
Au terme de l'utilisation des Services par le Client, API FIRST s'engage à restituer au Client ou à supprimer, à sa demande, Les Données et toutes les Données à Caractère Personnel traitées pour le compte de Client et être en mesure de lui certifier qu'il a procédé à cette suppression, à moins que le droit national n'impose de les conserver plus longtemps.
19. Sanctions en cas de manquement
Les obligations suivantes constituent des obligations essentielles à l'égard du Client (les Obligations essentielles) :
- ne pas fournir des informations erronées, incomplètes à API FIRST et mettre à jour les informations à chaque fois que cela est nécessaire
- ne pas utiliser les Services pour un tiers,
- ne pas exercer d'activités illégales, frauduleuses ou portant atteinte aux droits ou à la sécurité des tiers, l'atteinte à l'ordre public ou la violation des lois et règlements en vigueur.
En cas de manquement à l'une de ces Obligations essentielles, API FIRST peut :
- suspendre ou supprimer l'accès du Client aux Services,
- résilier le contrat entre la société API FIRST et le Client aux torts de celui-ci,
- publier sur la Plateforme tout message d'information qu'API FIRST juge utile,
- avertir toute autorité compétente, coopérer avec elle et lui fournir toutes les informations utiles à la recherche et à la répression d'activités illégales ou illicites,
- engager toute action judiciaire.
Ces sanctions sont sans préjudice de tous dommages et intérêts qu'API FIRST pourrait réclamer au Client.
En cas de manquement à toute obligation autre qu'une Obligation essentielle, API FIRST demandera par tout moyen écrit utile au Client de remédier au manquement dans un délai maximum de 15 jours calendaires. Les Services prendront fin à l'issue de ce délai à défaut de régularisation du manquement.
La fin des Services entraîne la suppression du Compte du Client.
20. Modification des Conditions Générales
API FIRST peut modifier ses Conditions Générales à tout moment et en informera le Client par tout moyen écrit (et notamment par email) 15 jours calendaires au moins avant leur entrée en vigueur.
Les Conditions Générales modifiées sont applicables dès leur entrée en vigueur.
Si le Client n'accepte pas ces modifications, il doit se désinscrire des Services selon les modalités prévues à l'article « Fin des Services ».
Si le Client utilise les Services après l'entrée en vigueur de ses Conditions Générales modifiées, API FIRST considère que le Client les a acceptées.
21. Loi applicable et juridictions compétentes
Les Conditions Générales sont régies par la loi française.
En cas de litige opposant le Client et API FIRST, et à défaut d'accord amiable dans les 2 mois suivant la première notification, celui-ci sera soumis à la compétence exclusive des tribunaux de Lyon (France), sauf dispositions impératives contraires.
ANNEXE 1
Données à caractère personnel
1. Description du traitement des données effectué par API FIRST pour le compte du Client
| Finalités du traitement | Fourniture des Services tels que définis aux Conditions Générales |
|---|---|
| Nature des opérations de traitement | La collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. |
| Type de données à caractère personnel traitées |
Données d'identification et de contact : - nom et prénom; - adresse postale; - adresse email; - numéro de téléphone; Données financières : - numéro et date de la facture; - montant HT, TVA, TTC; - détails des produits ou prestations facturés (libellés, quantités, prix unitaires); - identifiants du client et du fournisseur; - conditions de paiement, échéances, modes de règlement; - statut de la facture (émise, reçue, validée, payée, rejetée); - références de la commande, du devis ou du bon de livraison. Données de connexion : - identifiants de connexion des utilisateurs (login, mot de passe haché, rôle) - logs de connexion, adresses IP, journaux d'activité; - certificats électroniques et signatures numériques. |
| Catégories de personnes concernées | Les utilisateurs de la Plateforme, les destinataires des factures (clients de nos clients), les fournisseurs du Client. |
| Durée du traitement | Durée des Services |
2. Liste des Sous-traitants ultérieurs subséquents autorisés
| Sous-traitants ultérieurs subséquents autorisés | Activités de traitement sous-traitées | Localisation des traitements | Garanties appropriées mises en place en cas de transfert de données hors UE |
|---|---|---|---|
| Outscale | Hébergeur de données | Europe | Non applicable |
| Docaposte | Fournisseur d'identité numérique | Europe | Non applicable |
| Datadog | Gestion du monitoring | Europe | Non applicable |
| Pappers | Informations sur les entreprises | Europe | Non applicable |
| Peppol | Réseau interopérable de partage de données | Europe | Non applicable |
| Keycloak | Solution Open Source de gestion des identités et des accès | Europe | Non applicable |
3. Mesures de sécurité
API FIRST s'engage à mettre en œuvre des mesures de sécurité techniques et organisationnelles, alignées sur les bonnes pratiques de l'industrie et conformes aux exigences réglementaires afin de garantir la confidentialité, l'intégrité et la disponibilité des données.
| Domaine | Mesures de sécurité mises en oeuvre |
|---|---|
| Protection et Chiffrement | Confidentialité : Utilisation de protocoles de chiffrement standardisés et reconnus (état de l'art) pour les données en transit et au repos. Gestion des secrets : Politique stricte de gestion des clés de chiffrement et sécurisation des environnements de stockage. |
| Contrôle d'Accès | Authentification : Mécanismes d'authentification sécurisés pour les utilisateurs et restriction des accès aux seules personnes habilitées. Sécurité des identifiants : Stockage cryptographique sécurisé des mots de passe et politique imposant une complexité minimale. |
| Intégrité des Données | Inaltérabilité : Mise en œuvre de procédés techniques garantissant l'intégrité des données et flux traités Traçabilité : Conservation de journaux d'événements (logs) permettant d'assurer la traçabilité des accès et des opérations critiques, conformément à la réglementation. |
| Disponibilité et Continuité | Sauvegardes : Réalisation de sauvegardes régulières des données, stockées de manière sécurisée. Résilience : Architecture technique conçue pour assurer la disponibilité du service et dispositif de reprise d'activité en cas d'incident. |
| Audit et Surveillance | Veille de sécurité : Surveillance continue des systèmes pour détecter et prévenir les tentatives d'intrusion ou les comportements anormaux. Maintien en condition : Application régulière des correctifs de sécurité. |
| Localisation et Sous-traitance | Hébergement : Les données sont hébergées sur des serveurs sécurisés situés au sein de l'Union Européenne. Partenaires : Recours à des prestataires d'infrastructure reconnus et disposant de certifications de sécurité de premier plan (ISO 27001, SecNumCloud). |
Date de dernière version en vigueur : le 04/12/2025