Ce DPA s'applique automatiquement lorsque vous souscrivez une offre payante FerrLens (Pro, Team ou Enterprise). Il régit la façon dont FerrLabs (« nous », le sous-traitant) traite les données personnelles pour votre compte (« vous », le responsable de traitement) au titre de l'art. 28 du RGPD. L'usage gratuit / anonyme n'est pas couvert — il n'y a pas de relation responsable / sous-traitant car nous ne traitons pas de données personnelles pour votre compte.
1. Champ d'application
FerrLabs SAS traite des données personnelles uniquement dans la mesure nécessaire pour fournir le service FerrLens auquel vous avez souscrit : conservation de votre historique de scans, de vos monitors sauvegardés, de vos tokens API, de l'état de connexion des membres de votre équipe. Rien d'autre.
2. Données que nous traitons pour vous
- Les URLs et entrées que vous soumettez via les outils (en général pas des données personnelles, mais nous les traitons comme telles par défaut).
-
Vos identifiants de compte et ceux des membres de votre équipe (email, nom) provenant de
auth.ferrlabs.com. - Votre historique de scans, configurations de monitors sauvegardées, snapshots de partage que vous créez.
- Données de facturation (gérées par Stripe — voir sous-traitants).
3. Durée
Pour la durée de votre abonnement, plus 30 jours pour les demandes d'export / suppression après annulation. Au-delà de 30 jours, nous supprimons définitivement vos données (exportez-les avant).
4. Nos obligations
- Traiter les données uniquement sur vos instructions documentées (cliquer sur des boutons dans l'UI / appeler l'API compte comme instruction documentée).
- Garantir que notre équipe est tenue à la confidentialité.
- Mettre en œuvre des mesures techniques et organisationnelles (chiffrement au repos, chiffrement en transit, logs d'accès, RBAC moindre privilège, sauvegardes régulières, réponse à incident).
- Vous notifier sans délai indu (sous 72 heures) de toute violation de données personnelles affectant vos données.
- Vous aider à répondre aux demandes des personnes concernées (accès, effacement, rectification, portabilité) — typiquement en vous fournissant une UI pour le faire vous-même ; sinon sous 30 jours après votre demande.
- Supprimer ou retourner toutes les données personnelles à la fin de l'accord (à votre choix).
5. Sous-traitants
Nos sous-traitants sont listés à /fr/legal/subprocessors et mis à jour à chaque ajout. Vous verrez la mise à jour dans le changelog FerrLabs. Si vous vous opposez à un nouveau sous-traitant, vous pouvez annuler votre abonnement dans les 30 jours avec remboursement au prorata.
6. Transferts internationaux
Tous les traitements ont lieu en France (UE). Seule exception : Stripe traite les paiements dans l'UE mais est une société américaine ; les transferts s'opèrent sous le EU-US Data Privacy Framework.
7. Audit
Une fois par année civile, avec un préavis de 30 jours, vous pouvez auditer notre conformité à ce DPA en posant des questions écrites ; nous répondons sous 30 jours avec preuves à l'appui. Les audits sur site sont réservés aux clients enterprise et planifiés à l'avance.
8. Responsabilité et garantie
Les termes de responsabilité de nos Conditions d'utilisation s'appliquent. Chaque partie reste responsable de sa propre conformité au RGPD.
9. Signer une copie séparée
Pour les équipes achats qui ont besoin d'un DPA contre-signé sur papier à en-tête, écrivez à legal@ferrlabs.com. Nous utilisons le modèle standard aligné sur les CCT de gdpr.eu pré-rempli avec nos coordonnées — pas de surprises.