Est-ce vraiment gratuit ?

Oui, 100 % gratuit. PactApp ne facture aucun frais pour la création de contrats, la signature électronique ou le suivi des remboursements. L'application est entièrement gratuite pour les particuliers.

PactApp a-t-il une valeur juridique ?

Oui. Les contrats générés sont conformes aux articles 1359, 1367 et 1905 du Code civil français. La signature électronique respecte le règlement européen eIDAS (SES et PAdES). Chaque contrat est horodaté et possède une empreinte cryptographique unique.

Comment signe l'emprunteur ?

L'emprunteur reçoit un lien sécurisé par email ou SMS. Il peut signer directement depuis son navigateur ou l'application mobile. La signature est sécurisée par OTP (code à usage unique) et vérification d'identité.

Et si l'emprunteur ne rembourse pas ?

PactApp propose une protection juridique en 3 niveaux : relance amiable automatique, mise en demeure formelle (lettre recommandée électronique), et accompagnement pour la procédure judiciaire. Chaque étape est documentée et horodatée pour constituer un dossier de preuves solide.

Mes données sont-elles protégées ?

Toutes les données sont hébergées en Europe (France, région Paris) sur des serveurs conformes au RGPD. Les documents sont chiffrés, les accès sont contrôlés par RLS (Row Level Security) et l'application ne partage aucune donnée avec des tiers.

Le Cerfa 2062 est-il obligatoire ?

Oui, pour tout prêt entre particuliers dont le montant dépasse 5 000 €, la déclaration Cerfa 2062 est obligatoire auprès de l'administration fiscale. PactApp génère automatiquement ce formulaire pré-rempli pour vous simplifier la démarche.

Mis a jour le 3 mars 2026

Accord de traitement des donnees (DPA)

Le present accord de traitement des donnees (« DPA ») definit les conditions dans lesquelles PactApp (Xactyzis Inc) traite les donnees a caractere personnel de ses utilisateurs, conformement a l'article 28 du Reglement (UE) 2016/679 (RGPD).

1. Objet et parties

Le present DPA s'applique entre :

Responsable de traitement

L'Utilisateur

Personne physique majeure utilisant PactApp pour formaliser un pret entre particuliers.

Sous-traitant

Xactyzis Inc (PactApp)

SAS au capital de 10 000 euros, siege social : 12 rue de la Paix, 75001 Paris, France.

Ce DPA fait partie integrante des Conditions Generales d'Utilisation et de la Politique de confidentialite de PactApp.

2. Nature et finalite du traitement

PactApp traite les donnees personnelles de ses utilisateurs aux seules fins suivantes :

Creation et gestion des comptes utilisateurs (authentification, profil)
Generation, signature electronique et archivage des contrats de pret
Verification d'identite (KYC) pour les contrats depassant les seuils legaux
Envoi de notifications et d'emails transactionnels lies aux contrats
Suivi des remboursements et des echeances
Gestion des litiges et de l'escalade amiable
Generation de documents legaux (Cerfa 2062, mises en demeure, avenants)
Amelioration du service via des analytics agreges

Les categories de donnees traitees et les categories de personnes concernees sont detaillees dans notre Politique de confidentialite.

3. Obligations de PactApp en tant que sous-traitant

Conformement a l'article 28 du RGPD, PactApp s'engage a :

3.1 Instructions documentees

Ne traiter les donnees a caractere personnel que sur instruction documentee du Responsable de traitement (l'Utilisateur), y compris en ce qui concerne les transferts de donnees vers un pays tiers.

3.2 Confidentialite

S'assurer que les personnes autorisees a traiter les donnees a caractere personnel s'engagent a respecter la confidentialite ou soient soumises a une obligation legale appropriee de confidentialite.

3.3 Mesures de securite (Art. 32)

Mettre en oeuvre les mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque, incluant : le chiffrement des donnees en transit (TLS 1.3) et au repos (AES-256), la pseudonymisation le cas echeant, la capacite a restaurer la disponibilite des donnees, et des tests reguliers de securite.

3.4 Sous-traitance ulterieure

Ne pas recruter un autre sous-traitant sans l'autorisation prealable, ecrite et specifique du Responsable de traitement. En cas de changement de sous-traitant, PactApp en informera les Utilisateurs avec un delai raisonnable pour formuler des objections.

3.5 Assistance

Aider le Responsable de traitement, par des mesures techniques et organisationnelles appropriees, a s'acquitter de son obligation de donner suite aux demandes dont les personnes concernees le saisissent en vue d'exercer leurs droits (acces, rectification, effacement, portabilite, opposition, limitation).

3.6 Notification de violation (Art. 33)

Notifier le Responsable de traitement dans les meilleurs delais apres avoir eu connaissance d'une violation de donnees a caractere personnel. Cette notification comprendra la nature de la violation, les categories de personnes concernees, les consequences probables et les mesures prises pour y remedier.

3.7 Suppression ou restitution

Au choix du Responsable de traitement, supprimer ou restituer toutes les donnees a caractere personnel au terme de la prestation de services, sauf obligation legale de conservation (ex : contrats conserves 10 ans).

3.8 Audit

Mettre a la disposition du Responsable de traitement toutes les informations necessaires pour demontrer le respect des obligations prevues a l'article 28 du RGPD et permettre la realisation d'audits, y compris des inspections, par le Responsable de traitement ou un auditeur mandate.

4. Mesures techniques et organisationnelles

PactApp met en oeuvre les mesures de securite suivantes pour proteger les donnees personnelles de ses utilisateurs :

Chiffrement en transit

TLS 1.3 sur toutes les communications

Chiffrement au repos

AES-256 (infrastructure Supabase/AWS)

Controle d'acces

Row Level Security (RLS) sur toutes les tables

Authentification

JWT + OTP + biometrie locale optionnelle

Rate limiting

Protection contre les abus (table DB + CRON)

CORS

Origine restreinte a https://pactapp.eu

Headers securite

HSTS, CSP, X-Frame-Options, X-Content-Type-Options

Integrite

Audit trail SHA-256 avec hash chain immutable

PKI

CA root PactApp + certificats per-user (eIDAS AES)

KYC on-device

Donnees biometriques jamais transmises au serveur

Monitoring

Sentry pour detection proactive des erreurs

Sauvegardes

Backups automatiques quotidiens (Supabase)

5. Liste des sous-traitants ulterieurs

PactApp fait appel aux sous-traitants ulterieurs suivants pour le traitement des donnees personnelles. Chaque sous-traitant est lie par des obligations de protection des donnees equivalentes a celles decrites dans le present DPA :

Supabase Inc.

Infrastructure principale (BDD, Auth, Storage, Edge Functions)

Localisation : EU-West-3 (Paris, France) — AWS

Donnees traitees : Toutes les donnees applicatives

DPA : https://supabase.com/legal/dpa

Vercel Inc.

Hebergement web, CDN, Analytics (landing page)

Localisation : CDG1 (Paris) — Edge global

Donnees traitees : Pages visitees, metriques de performance, adresse IP

DPA : https://vercel.com/legal/dpa

Resend Inc.

Hors UE

Envoi d'emails transactionnels

Localisation : US (AWS SES us-east-1)

Donnees traitees : Adresse email du destinataire, contenu de l'email

DPA : https://resend.com/legal/dpa

PostHog Ltd.

Analytics mobile

Localisation : EU (Francfort, Allemagne — Hetzner)

Donnees traitees : Evenements de navigation, identifiant utilisateur anonymise

DPA : https://posthog.com/docs/privacy/dpa

Functional Software Inc. (Sentry)

Hors UE

Monitoring d'erreurs (mobile + landing)

Localisation : US (par defaut)

Donnees traitees : Stack traces, metadata technique (pas de PII)

DPA : https://sentry.io/legal/dpa/

AR24 SAS

Lettres recommandees electroniques (LRE)

Localisation : France

Donnees traitees : Nom, adresse postale, contenu de la LRE

DPA : Sur demande

Transferts hors UE : Certains sous-traitants (Resend, Sentry) peuvent traiter des donnees en dehors de l'Union europeenne. Ces transferts sont encadres par les Clauses Contractuelles Types (CCT) de la Commission europeenne et/ou le EU-US Data Privacy Framework (DPF), conformement au chapitre V du RGPD.

6. Notification de violation de donnees

Conformement aux articles 33 et 34 du RGPD, en cas de violation de donnees a caractere personnel, PactApp s'engage a :

Notification rapide

Notifier la violation a l'autorite de controle competente (CNIL) dans un delai de 72 heures apres en avoir eu connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes concernees.

Information des personnes concernees

Informer les personnes concernees dans les meilleurs delais lorsque la violation est susceptible d'engendrer un risque eleve pour leurs droits et libertes, en indiquant la nature de la violation, les consequences probables et les mesures prises ou proposees.

Documentation

Documenter toute violation de donnees, y compris les faits, ses effets et les mesures prises pour y remedier, dans un registre des violations tenu a la disposition de la CNIL.

7. Droit d'audit

L'Utilisateur (ou un auditeur tiers mandate) peut, sur demande ecrite adressee a privacy@pactapp.eu, verifier le respect par PactApp de ses obligations en matiere de protection des donnees.

PactApp cooperera de bonne foi pour fournir les informations necessaires et faciliter la realisation de l'audit. Les couts de l'audit sont a la charge de l'Utilisateur demandeur, sauf en cas de non-conformite averee de PactApp.

8. Duree et resiliation

Le present DPA entre en vigueur a la date d'acceptation des CGU par l'Utilisateur et reste en vigueur aussi longtemps que PactApp traite des donnees a caractere personnel pour le compte de l'Utilisateur.

A la resiliation ou a l'expiration du DPA, PactApp supprimera ou restituera toutes les donnees a caractere personnel conformement a la Politique de confidentialite, sous reserve des obligations legales de conservation.

9. Contact

DPO — Xactyzis Inc / PactApp

Email : privacy@pactapp.eu

Adresse : 12 rue de la Paix, 75001 Paris, France

Accord de traitement des donnees en vigueur depuis le 3 mars 2026.