Brouillon — texte initial, en cours de validation juridique. Les clauses peuvent évoluer.

Document légal

Accord de sous-traitance

Dernière mise à jour: 1 mai 2026

Le présent accord de sous-traitance (« DPA ») est conclu entre FerrLabsSous-traitant ») et le client identifié dans le compte FerrLabs ou dans le bon de commande (« Responsable de traitement »). Il fait partie intégrante des conditions générales. Il encadre le traitement de données personnelles pour le compte du Responsable dans le cadre des SaaS FerrLabs (FerrVault, FerrTrack, FerrGrowth, et les fonctions cloud de FerrFlow).

Ce DPA est proposé en offre pré-signée : la souscription à un plan payant ou le chargement de données personnelles client dans un produit vaut acceptation. Une copie contre-signée peut être demandée à dpo@ferrlabs.com.

1. Définitions

Les termes en majuscules ont le sens donné par le RGPD (règlement UE 2016/679). « Données Personnelles Client » désigne les données personnelles soumises par le Responsable ou ses utilisateurs finaux aux SaaS FerrLabs et traitées par FerrLabs pour le compte du Responsable.

2. Objet et durée

FerrLabs traite les Données Personnelles Client uniquement pour fournir les services contractés, pour la durée de l'abonnement actif, et pendant le délai de grâce post-résiliation (30 jours pour export).

3. Catégories de personnes concernées et de données

Le traitement concerne typiquement :

  • Personnes concernées : employés, prestataires, partenaires, utilisateurs finaux du Responsable.
  • Catégories de données : identification (nom, email, rôle), credentials d'authentification (hash de mot de passe, jetons de session), contenu professionnel chargé par le Responsable (secrets vault, issues, contenu de pages, soumissions de formulaires), métadonnées de connexion (empreintes IP, user-agents, timestamps).
  • Catégories particulières : aucune. Le Responsable s'engage à ne pas charger de données sensibles (article 9 RGPD) dans les produits sans accord écrit séparé.

4. Obligations du Sous-traitant

FerrLabs s'engage à :

  • Traiter les Données Personnelles Client uniquement sur instruction documentée du Responsable (la configuration des produits via l'UI et les APIs constitue ces instructions) ;
  • Veiller à ce que le personnel autorisé soit lié par une obligation de confidentialité ;
  • Mettre en œuvre les mesures techniques et organisationnelles appropriées (cf. sécurité) ;
  • N'engager des sous-traitants ultérieurs que par contrat écrit imposant des obligations équivalentes (cf. sous-traitants) ;
  • Assister le Responsable dans la satisfaction des demandes des personnes concernées (articles 15-22 RGPD), des obligations de sécurité (articles 32-36 RGPD), et des analyses d'impact applicables (articles 35-36 RGPD) ;
  • Notifier au Responsable, sans retard injustifié (sous 72 heures), toute violation de données personnelles, avec les informations requises par l'article 33(3) RGPD ;
  • Au choix du Responsable, restituer ou supprimer les Données Personnelles Client à la fin du contrat, sous réserve des obligations légales de conservation.

5. Sous-traitance ultérieure

Le Responsable autorise FerrLabs à recourir aux sous-traitants ultérieurs listés sur la page sous-traitants. FerrLabs notifie le Responsable de tout nouveau sous-traitant au moins 30 jours avant son activation ; le Responsable peut s'y opposer pour motif légitime dans ce délai.

6. Transferts hors UE

Les Données Personnelles Client sont stockées et traitées en Union européenne par défaut. Certains sous-traitants peuvent traiter des données limitées hors UE (notamment Stripe aux USA pour les paiements). FerrLabs garantit que tout transfert est encadré par un mécanisme adéquat : décision d'adéquation EU-US Data Privacy Framework, Clauses Contractuelles Types (Module 3 — sous-traitant à sous-traitant), ou autres garanties prévues au chapitre V du RGPD.

7. Mesures de sécurité

FerrLabs met en œuvre au minimum :

  • Chiffrement en transit (TLS 1.3) et au repos (chiffrement au niveau stockage, plus chiffrement par-vault pour les secrets FerrVault) ;
  • Authentification forte (hash argon2id des mots de passe, JWT signés, 2FA optionnel) ;
  • Isolation réseau (réseau cluster privé, ingress uniquement sur les endpoints documentés) ;
  • Cloisonnement logique entre Responsables (isolation multi-tenant au niveau application et base de données) ;
  • Sauvegardes avec tests de restauration documentés ;
  • Logging continu des actions administratives, accès restreint ;
  • Veille vulnérabilités et gestion des patches.

Mesures détaillées sur la page sécurité.

8. Audit et droit à l'information

Le Responsable peut demander, au plus une fois par an (ou en cas de suspicion raisonnable de violation), des informations raisonnables démontrant la conformité au présent DPA. FerrLabs répond sous 30 jours. Les audits sur site sont réservés aux Responsables sous contrat Enterprise et soumis à un accord de portée et de confidentialité distinct.

9. Responsabilité

La responsabilité au titre du présent DPA est soumise aux limitations des conditions générales. La responsabilité légale en cas de violation de données personnelles est allouée conformément à l'article 82 RGPD.

10. Contact

Délégué à la protection des données / contact privacy : dpo@ferrlabs.com.

English version: Data Processing Agreement.