Conditions Générales d’Utilisation (CGU) et Accord de Sous-Traitance RGPD/LPD – DocuCheck / Bridgea Sàrl

Dernière mise à jour : 09/11/2025

Important — DocuCheck est exclusivement réservé à des utilisateurs professionnels agissant dans le cadre de leur activité commerciale déclarée. Toute utilisation à des fins personnelles/consommation est exclue.
Modèle économique — Le service est actuellement proposé gratuitement, sans contrepartie financière ni engagement. Bridgea Sàrl se réserve le droit d’introduire des offres payantes ultérieurement, sans effet rétroactif.

1. Objet

Les présentes Conditions Générales d’Utilisation (CGU) ont pour objet de définir les modalités selon lesquelles Bridgea Sàrl, société de droit suisse inscrite au Registre du commerce du canton de Genève, ayant son siège social à Chemin De-La-Montagne, 59b, 1224 Chêne-Bougeries,IDE n° CHE-155.239.278, fournit le service en ligne DocuCheck à ses clients professionnels (le « Client »).

DocuCheck est une plateforme SaaS permettant de générer, structurer, automatiser et gérer des documents professionnels(notamment devis et contrats), intégrant une signature électronique simple (SES)par défaut avec piste d’audit renforcée.

Important : DocuCheck n’est pas un prestataire de signature AdES ou QESau sens du règlement eIDAS. Le Client demeure responsable du choix du niveau de signature approprié à ses usages.

Les présentes conditions s’appliquent quel que soit le pays d’origine du Client, sous réserve des dispositions impératives applicables.

2. Acceptation des conditions

Toute création de compte ou utilisation du service implique l’acceptation pleine et entière des présentesConditions Générales d’Utilisation (CGU), incluant l’Accord de Sous-Traitance.

Les présentes CGU constituent uncontrat unique, complet et juridiquement contraignantentre Bridgea Sàrl et le Client.

3. Description du service et évolution

Le service est mis à disposition gratuitement à titre de solution d’évaluation et d’amélioration continue. Les fonctionnalités peuvent évoluer. Bridgea Sàrl peut modifier, suspendre ou supprimer tout ou partie des fonctionnalités gratuites, sans indemnité.

Niveau de signature (SES/AdES/QES) — Par défaut, DocuCheck met en œuvre une signature électronique simple (SES) avec piste d’audit renforcée (horodatage, empreinte du document, adresse IP, identifiant de courriel/SMS). La SES convient aux usages B2B usuels. Pour les cas nécessitant une signature avancée (AdES) ou qualifiée (QES), le Client doit souscrire l’option dédiée ou recourir à un prestataire approprié. Le choix du niveau de signature relève de la seule responsabilité du Client et peut avoir des conséquences probatoires et financières (voir §7 – Allocation des risques).

Preuve et sécurité du parcours — La piste d’audit inclut au minimum : horodatage, empreinte du document, adresse IP, et identifiant de courriel/SMS. Les liens de signature sont protégés par des mécanismes anti‑abus.

Portée de la SES — La SES n’est pas un service de confiance qualifié au sens de l’eIDAS et ne constitue pas une conservation probatoire qualifiée. Pour les actes à fort enjeu probatoire, le Client s’engage à recourir à une AdES/QES auprès d’un prestataire approprié.

3.1. Traceurs et consentement

Traceurs strictement nécessaires au fonctionnement de DocuCheck (ex. sécurité, équilibrage de charge, session) peuvent être déposés sans consentement. Tout traceur non essentiel (ex. analytics non exemptés, publicité) n’est activé qu’après consentement lorsque requis par la loi applicable. Les choix peuvent être retirés à tout moment depuis l’interface dédiée.

4. Création et sécurité du compte

Le Client s’engage à fournir des informations exactes et à maintenir la confidentialité de ses identifiants. Toute action effectuée via le compte du Client est réputée effectuée par lui. Le Client met en place des mesures raisonnables (ex. authentification forte si proposée) pour sécuriser l’accès.

Sécurité côté Client — Le Client met en œuvre des mesures équivalentes (MFA lorsque disponible, gestion des accès/permissions, révocation rapide des accès obsolètes, hygiène des mots de passe).

Usages interdits — Sont interdits : tentative de contournement des mécanismes de sécurité, scraping massif, surcharge (DoS), insertion de malwares ou tout usage abusif de l’API/plateforme.

Bridgea Sàrl ne saurait être tenue responsable des accès non autorisés dus à la négligence du Client.

5. Durée – Résiliation – Suppression des données

Le compte est créé pour une durée indéterminée. Le Client peut supprimer son compte depuis son espace.Bridgea Sàrl peut suspendre/supprimer un compte sans préavis en cas de :
  • violation des CGU
  • usage frauduleux/illicite
  • atteinte à la sécurité/intégrité de la plateforme

Effets de la résiliation — restitution/suppression :À la fin du contrat et selon les instructions du Client, Bridgea restitue les données via les fonctions standard et supprime ou anonymise l’ensemble des données traitées pour son compte dans un délai de 30 jours, les sauvegardes étant purgées sous ≤ 90 jours.Exceptions :
  • Obligations légales propres à Bridgea (ex. comptabilité/facturation) justifiant une rétention distincte
  • Conservation minimale de journaux techniques et de la piste d’audit par Bridgea, en qualité de responsable distinct, aux seules fins de sécurité et de défense de droits (durée indicative : 5 ans sous droit UE ; jusqu’à 10 ans sous droit suisse)

DocuCheck n’est pas un service d’archivage probatoire (SAE/NF 461) ; le Client demeure seul responsable de satisfaire à ses obligations d’archivage et de conservation légale (ex. contrats électroniques consommateur ≥ 120 € : 10 ans ; pièces comptables : 10 ans).

Archivage & conservation :DocuCheck n’est pas un service d’archivage électronique à valeur probante ni un SAE (ex. NF 461). Le Client demeure seul responsable de ses obligations d’archivage et comptables.

6. Disponibilité – Maintenance

Bridgea Sàrl ne garantit pas une disponibilité ininterrompue. Des interruptions temporaires peuvent intervenir pour maintenance ou mises à jour.Bridgea met en œuvre des efforts raisonnables pour assurer la continuité et la sécurité du service.

7. Responsabilité – Garanties

DocuCheck est fourni « en l’état », sans conseil juridique ni audit de conformité, sans garantie expresse ni implicite (y compris de qualité marchande, d’adéquation à un besoin particulier, de disponibilité continue, d’exactitude ou d’absence d’erreurs), dans les limites autorisées par la loi.

Bridgea Sàrl est tenue à une obligation de moyens. Bridgea Sàrl ne répond notamment pas :(i) des erreurs/omissions dans les contenus et documents saisis/générés par le Client,(ii) des décisions/opérations juridiques ou commerciales du Client,(iii) de l’usage non conforme,(iv) des interruptions liées à maintenance/incidents/force majeure,(v) des actes des tiers auxquels le Client a ouvert l’accès,(vi) des services, déclarations ou pratiques de tout sous‑traitant ultérieur.

Limitation : Entre professionnels et dans la mesure permise, la responsabilité de Bridgea Sàrl pour le service gratuit est exclue. Pour toute future offre payante, la responsabilité totale et cumulée serait strictement limitée au montant effectivement payé par le Client pour les 12 derniers mois précédant le fait générateur, à l’exclusion de tout dommage indirect/immatériel (perte d’exploitation, profit, image, données, etc.), de toute perte consécutive, spéciale, exemplaire ou pénale, quel qu’en soit le fondement. Le seul et exclusif recours du Client sera limité à cette indemnisation pécuniaire.

Indemnisation : Le Client garantit et tient indemne Bridgea Sàrl, ses dirigeants et employés contre toute réclamation, dommage, amende, coût ou dépense résultant :(a) des instructions du Client,(b) des contenus qu’il importe/saisit,(c) du niveau de signature qu’il choisit (SES/AdES/QES),(d) de tout manquement à ses obligations légales, contractuelles ou déontologiques.

Allocation des risques — niveau de signature : Si une contestation relative à l’authenticité/validité d’une signature réalisée via la SES de DocuCheck aboutit à ce que la juridiction saisie estime la preuve insuffisante au regard du niveau de signature choisi par le Client, le Client supporte exclusivement (dans la mesure permise par le droit applicable et hors dol/faute lourde de Bridgea) l’intégralité des conséquences financières liées à ce choix, incluant les frais, dépens et honoraires raisonnables exposés par Bridgea pour sa défense, dans la mesure où ils ne seraient pas déjà récupérables au titre des règles procédurales applicables. Cette clause ne s’applique pas si l’insuffisance probatoire résulte d’un manquement prouvé de Bridgea à ses obligations techniques contractuelles.

Renonciations : Sous réserve du droit impératif, toute action doit être introduite dans un délai de 12 mois à compter du fait générateur allégué. Les actions collectives (class actions) ne sont pas prévues, dans la mesure où la loi le permet.

Droit de la consommation : Le Client demeure seul responsable du respect des règles de droit de la consommation applicables dans sa relation avec les Signataires particuliers (ex. information précontractuelle, droit de rétractation, clauses abusives).DocuCheck n’intervient qu’en qualité de prestataire technique. Les Signataires particuliers n’ont aucun lien contractuel avec Bridgea ; toute information précontractuelle/droit de rétractation relève du Client.

La piste d’audit (horodatages, empreintes, adresses IP, identifiants) constitue un commencement de preuve entre les Parties, sauf preuve contraire. Cette section s’applique sans reconnaissance de faute et sans préjudice des dispositions d’ordre public applicables.

8. Propriété intellectuelle

DocuCheck, son code, ses interfaces, logos et bases de données sont la propriété exclusive de Bridgea Sàrl. Le Client conserve la propriété de ses contenus et accorde à Bridgea un droit d’usage technique limité à l’hébergement et à la sécurité.

9. Protection des données (RGPD/LPD) – Accord de Sous-Traitance

9.1. Rôle des Parties

Client : Responsable du traitement au sens du RGPD (UE 2016/679) et de la LPD suisse.
Bridgea Sàrl : Sous-traitant agissant uniquement sur instructions documentées du Client pour fournir DocuCheck. Les Signataires (y compris particuliers) sont des personnes concernées des traitements dont le Client est responsable ; Bridgea agit en qualité de Sous-traitant.

Interdiction de données sensibles — Le Client s’interdit d’utiliser DocuCheck pour traiter des catégories particulières de données (art. 9 RGPD) ou des données pénales, sauf accord écrit préalable de Bridgea.

9.2. Localisation – Sous-traitants – Transferts

Infrastructures actuelles (voir Annexe B pour détails) :

  • Hébergement applicatif (front/edge) : Vercel Inc., 340 S Lemon Ave, Walnut, CA 91789, USA.
  • Base de données (stockage primaire) : NeonDB (Neon, Inc.), 209 Orange Street, Wilmington, DE 19801, USA, hébergée sur Microsoft Azure – région Germany West Central (Francfort, DE).
  • Nom de domaine/registre : GoDaddy (gestion DNS/registre, données techniques minimales).
  • Messagerie : Microsoft Outlook (Microsoft Ireland Operations Ltd / Microsoft Corporation).

Localisation des données : les données applicatives du Client sont stockées principalement en Allemagne (Francfort) via NeonDB/Azure. Des opérations techniques (caches, CDN, journaux, télémétrie) peuvent impliquer des traitements hors UE/Suisse, notamment chez Vercel et Microsoft.

Conformité des sous-traitants : Bridgea Sàrl vérifie que ses sous-traitants déclarent respecter le RGPD/LPD.
Transferts internationaux : Bridgea s’appuie sur les mécanismes de transfert applicables (p. ex. clauses contractuelles types – SCC – et/ou Data Privacy Framework – DPF, selon la couverture du prestataire). Ces mécanismes peuvent évoluer ; la documentation à jour est disponible sur demande.

À titre informatif : Neon n’est pas activé pour le DPF ; ses transferts sont couverts par les SCC intégrées à son DPA (voir Annexe B). Vercel est participant actif au DPF (UE/UK/CH) et prévoit des SCC/UK IDTA dans son DPA ; GoDaddy et Microsoft sont également participants actifs au DPF (UE/UK/CH) (voir Annexe B).

Le Client reconnaît l’usage de sous-traitants ultérieurs listés en Annexe B. Bridgea Sàrl pourra mettre à jour cette liste.Les modalités de notification et d’objection sont celles décrites au paragraphe « Mises à jour des sous-traitants ultérieurs » ci-après.

9.3. Sécurité et confidentialité

Bridgea Sàrl met en œuvre des mesures techniques et organisationnelles appropriées pour assurer la confidentialité, l’intégrité et la disponibilité des données traitées.

9.4. Breach – Notification d’incident

En cas de violation de données personnelles, Bridgea Sàrl notifiera le Client sans délai injustifié et, en tout état, au plus tard 72 heures après en avoir eu connaissance, sur la base des informations raisonnablement disponibles au moment de la notification, sans reconnaissance de responsabilité, et coopérera de bonne foi.

Responsabilités de notification : Le Client demeure responsable des notifications réglementaires (autorités, personnes concernées). Bridgea fournit les éléments factuels disponibles pour faciliter ces notifications.

9.5. Droits des personnes – Assistance

Le Client demeure seul responsable du respect des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité, limitation). Bridgea Sàrl apporte une assistance raisonnable (outils/export, logs) pour permettre au Client de répondre aux demandes dans des délais compatibles (objectif : 10 jours ouvrés).

Le Client fournit aux Signataires l’information RGPD requise (art. 13/14) et répond à leurs demandes de droits ; Bridgea fournit une assistance technique raisonnable (exports/logs).

9.6. Confidentialité

Le personnel et les prestataires de Bridgea Sàrl sont soumis à un devoir de confidentialité contractuel et légal. Les accès sont journalisés et limités au strict nécessaire.

9.7. Fin de contrat – Restitution/Suppression

À la fin du contrat, Bridgea Sàrl supprime ou anonymise les données dans les délais prévus à la Section 5, et met à disposition des exports standard (Annexe A). Les copies résiduelles dans les sauvegardes sont purgées selon le cycle en vigueur.

Gel légal : Sur notification écrite d’un litige, d’un audit ou d’une obligation légale documentée, Bridgea peut suspendre temporairement la suppression pour la durée strictement nécessaire, limitée aux données pertinentes, avant reprise des processus d’effacement.

9.8. Documentation – Registre

Bridgea Sàrl tient une documentation des traitements opérés pour le compte du Client (registre au sens de l’art. 30 §2 RGPD) et peut la mettre à disposition des autorités compétentes sur demande légale.

9.9. Audit documentaire (art. 28 RGPD)

Sur préavis raisonnable, Bridgea met à disposition ses attestations et éléments de sécurité disponibles (p. ex. rapports d’audit de ses prestataires) et coopère à des audits documentaires proportionnés (sans accès au code source ni à l’infrastructure sensible), une fois par an.

10. Droit applicable – Juridiction

Les présentes CGU sont régies par le droit suisse. Tout litige relève des tribunaux du canton de Genève, sous réserve des dispositions impératives applicables.

11. Acceptation

Le Client reconnaît avoir pris connaissance et accepté l’intégralité des présentes CGU et de l’Accord de Sous-Traitance en cochant la case lors de la création de compte.

Annexes (intégrées à l’Accord de Sous-Traitance – art. 28 RGPD)

Annexe A — Description du traitement

Nature / Objet : fourniture de la plateforme DocuCheck (génération/gestion de documents professionnels, signature électronique simple (SES) par défaut avec piste d’audit renforcée, stockage, support, sécurité, journalisation).

Catégories de données :

  • Données d’identification professionnelles (nom, fonction, société, email pro, téléphone pro)
  • Données de compte (identifiants hachés, rôles, logs)
  • Contenus saisis/importés par le Client (textes de devis/contrats, métadonnées)
  • Données techniques (adresses IP, horodatages, user-agents)
  • Données relationnelles minimales des clients finaux du Client si le Client les saisit (p. ex. nom, email, coordonnées professionnelles pour devis/contrats)

Personnes concernées : Utilisateurs autorisés du Client ; Signataires tiers (y compris particuliers) ; contacts du Client.

Durée de conservation : pendant la relation contractuelle puis 30 jours (sauvegardes ≤ 90 jours), sauf obligations légales/défense de droits.

Opérations : collecte, enregistrement, organisation, structuration, conservation, adaptation, extraction, consultation, limitation, effacement, sécurisation, support.

Instructions : les seules instructions proviennent du Client via les fonctionnalités/paramètres usuels. Toute instruction hors périmètre doit être documentée et acceptée.

Sous-traitance ultérieure : voir Annexe B.

Formats d’export : CSV / JSON / PDF (selon type de données) via les fonctions standard ou sur demande raisonnable.

Gel légal : en cas de litige notifié par écrit, la suppression peut être temporairement suspendue pour la durée strictement nécessaire au respect des obligations légales.

Annexe B — Sous-traitants ultérieurs et finalités

Vercel Inc. (USA) — Hébergement applicatif (front/edge, CDN, logs de performance et erreurs). DPA (30.03.2023) : rôle de sous-traitant pour les Customer Data, SOC 2 Type 2, assistance aux droits via le Client, suppression/export à fin de contrat, mécanismes de transfert SCC 2021 (Modules 1/2/3) + UK IDTA + clauses spécifiques CH. Vercel est participant actif au Data Privacy Framework (EU/UK/CH). Notification des nouveaux sous-traitants : mise à jour + email si abonnement, délai d’objection de 5 jours calendaires, recours exclusif = résiliation pour convenance sans remboursement.

Neon, Inc. (USA) — Base de données PostgreSQL managée. Hébergement principal en Allemagne (Azure Germany West Central – Francfort). Audits SOC 2/3, ISO/IEC 27001:2022 et 27701:2019. Transferts internationaux : SCC Modules 2/3 dans le DPA Neon (docking clause active, autorisation générale de sous-traitants, droit/juridictions irlandaises, annexes I/II réputées complétées). UK Addendum + adaptations suisses (FDPIC, droit suisse, tribunaux suisses). Neon notifie le Client (et non les personnes concernées) en cas de demande d’accès gouvernementale et fournit une certification de suppression sur demande écrite.

Microsoft (IE/USA) — Outlook/Exchange Online (messagerie) et services Microsoft 365 ; Azure (IaaS/PaaS sous-jacent pour Neon) ; télémétrie/sécurité. Microsoft agit en sous-traitant Cloud selon la Microsoft Customer Agreement / Privacy Statement. Mécanismes de transfert : DPF (EU/UK/CH) + SCC et/ou UK IDTA. Des traitements internationaux peuvent intervenir selon la documentation Microsoft applicable.

GoDaddy — Registre de nom de domaine et DNS ; revente/activation Microsoft 365 (messagerie). GoDaddy agit en sous-traitant pour les données techniques minimales (contacts de registre, DNS). DPA (13/09/2024) : mesures techniques/organisationnelles (Schedule 2), cadre de sous-traitance (Section 3), mécanismes de transfert (Schedule 4) : DPF (EU/UK/CH), puis SCC 2021 (Modules 2/3) ou UK IDTA. Participant actif au Data Privacy Framework (EU/UK/CH). Notification et droit d’objection selon DPA ; seul recours : résiliation des services concernés.

Microsoft (Outlook/Microsoft 365) — Prestataire de messagerie et services associés (via GoDaddy ou directement). Microsoft traite les données de messagerie du Client en qualité de sous-traitant Cloud, selon sa Microsoft Customer Agreement / Privacy Statement. Transferts : DPF (EU/UK/CH), SCC et/ou UK IDTA. Les paramètres (sécurité, rétention, localisation) relèvent du Client.

Mises à jour des sous-traitants ultérieurs – Notification et droit d’objection (art. 28(2) RGPD)

Autorisation générale : Le Client autorise Bridgea Sàrl à recourir à des sous-traitants ultérieurs pour l’exécution de DocuCheck, sous réserve du respect de l’article 28 RGPD et des présentes CGU/DPA. La liste figure à la présente Annexe B et peut être mise à jour.

Notification : Bridgea informera le Client de tout ajout/remplacement d’un sous-traitant ultérieur par mise à jour de la liste et notification (dans l’espace client et/ou par email). En cas d’urgence sécurité ou exigence légale, la notification peut intervenir après mise en place.

Délai d’objection : Le Client dispose de 5 jours calendaires à compter de la notification pour s’opposer par écrit, en motivant des raisons liées à la protection des données. Si un prestataire amont prévoit un délai plus long, Bridgea l’indiquera dans la notification.

Traitement de l’objection : Les Parties se consultent de bonne foi pour résoudre l’objection (mesures compensatoires, configuration alternative). À défaut d’accord, le seul recours du Client sera, sans indemnité, (i) la désactivation de la fonctionnalité dépendante, ou (ii) la résiliation du service pour convenance.

Conformité amont : Le Client reconnaît que les délais de notification/objection de Bridgea ne sauraient excéder ceux offerts par les prestataires amont.

  • Vercel : 5 jours calendaires pour objection ; recours exclusif = résiliation pour convenance (sans remboursement).
  • GoDaddy : 60 jours de préavis (sauf urgence) et 30 jours pour objection ; possibilité de résilier la partie concernée si non résolu.