Ce document constitue l'Accord de Traitement de Données ("DPA") au sens de l'article 28 du RGPD entre le Client (responsable de traitement) et Freelance OS (sous-traitant), pour les Données Personnelles traitées dans le cadre du contrat de service.
En souscrivant aux services payants de Freelance OS, le Client accepte le présent DPA. Une version signée individuellement peut être demandée à contact@freelance-os.fr.
1. Définitions
Les termes "Données Personnelles", "Personne Concernée", "Responsable de Traitement", "Sous-Traitant", "Violation de Données" ont le sens donné par le RGPD.
2. Parties
- Responsable de traitement : le Client, identifié dans le contrat de service ou la facture.
- Sous-traitant : MEIZ (EURL) (RCS Paris 854 034 683), éditeur de Freelance OS, représentée par Jean Saunie. Contact : contact@freelance-os.fr.
3. Objet
Freelance OS traite les Données Personnelles pour le compte du Client dans le cadre des services Kernel et de l'application membre, conformément aux instructions documentées du Client (configuration du workspace, paramétrage des intégrations, contenus saisis).
4. Durée
Le DPA s'applique pendant toute la durée du contrat de service. Certaines obligations (confidentialité, suppression, audit) survivent à la résiliation.
5. Nature, finalités et catégories
| Aspect | Description |
|---|---|
| Nature du traitement | Hébergement, stockage, transmission, génération de contenu, analyse, orchestration d'APIs tierces (régies publicitaires, OAuth providers) |
| Finalités | Fournir les services prévus au contrat (Studio, Counsel, CRM, Workbench, Ads, etc.) |
| Catégories de données | Identifiants compte, contenu utilisateur, données de facturation, données d'invités, tokens OAuth chiffrés, données techniques, données de campagnes publicitaires (configuration et métriques agrégées), audiences publicitaires, événements de conversion (CAPI), leads collectés via Lead Ads |
| Catégories de personnes concernées | Membres du workspace, prospects et clients du Client, invités à des bookings, personnes ciblées ou ayant interagi avec les campagnes publicitaires gérées via le Service |
6. Obligations de Freelance OS
Instructions documentées
Freelance OS traite les Données Personnelles uniquement selon les instructions documentées du Client. Toute instruction contraire à la loi sera signalée immédiatement.
Confidentialité
Les personnes autorisées à traiter les Données Personnelles sont tenues à une obligation de confidentialité contractuelle ou statutaire.
Sécurité
Freelance OS met en œuvre les Mesures Techniques et Organisationnelles décrites en Annexe TOMs (voir ci-dessous).
Sous-traitance ultérieure
Freelance OS recourt aux sous-traitants listés sur /sous-traitants. Le Client donne son autorisation générale pour ces sous-traitants existants. Tout changement substantiel sera notifié 30 jours à l'avance, avec droit d'opposition du Client pendant 14 jours (avec résiliation sans pénalité).
Assistance
Freelance OS assiste le Client, dans la mesure du possible, pour répondre aux demandes des personnes concernées (accès, rectification, effacement, portabilité), réaliser les analyses d'impact (AIPD) et consulter l'autorité de contrôle si nécessaire.
Notification de violation
En cas de Violation de Données affectant le Client, Freelance OS notifie le Client sans délai injustifié, et au plus tard dans les 72 heures suivant la prise de connaissance, par email à l'adresse de contact du compte. La notification décrit la nature de la violation, les catégories et le volume approximatif de personnes concernées, les conséquences probables et les mesures prises.
Fin de contrat
À la fin du contrat, et au choix du Client, Freelance OS supprime ou restitue les Données Personnelles dans un délai de 30 jours, sauf obligation légale de conservation (notamment Counsel, 10 ans).
Audit
Freelance OS met à disposition du Client les informations nécessaires pour démontrer le respect du présent DPA. Sur demande raisonnable et préavis de 30 jours, le Client (ou un auditeur tiers indépendant et soumis à NDA) peut conduire un audit, aux frais du Client, hors cas d'urgence ou de suspicion fondée de non-conformité.
7. Transferts hors UE
Les transferts vers des sous-traitants situés hors UE s'effectuent sur la base des Clauses Contractuelles Types (décision 2021/914 de la Commission européenne), Module 3 (sous-traitant à sous-traitant ultérieur) lorsque applicable, complétées par les mesures supplémentaires décrites en Annexe TOMs.
8. Responsabilité
La responsabilité de Freelance OS au titre du présent DPA est régie par les conditions de responsabilité du contrat de service principal.
9. Loi applicable
Droit français. Tribunaux compétents : Paris.
Annexe TOMs : Mesures Techniques et Organisationnelles
Mesures techniques
- Chiffrement en transit : TLS 1.3 sur tous les endpoints publics.
- Chiffrement au repos : AES-256 pour la base de données Supabase, AES-256-GCM pour les secrets workspace.
- Isolation tenant : Row Level Security (RLS) Postgres sur 76+ tables. Chaque requête est filtrée par
workspace_idet par appartenance de l'utilisateur. - Authentification : MFA TOTP disponible, sessions Supabase Auth, rotation des refresh tokens.
- Logs d'audit : enregistrement des opérations sensibles (auth, super_admin, modifications de RLS).
- Sauvegardes : sauvegardes quotidiennes Supabase, point-in-time recovery 7 jours.
- Sécurité réseau : pas d'exposition directe de la base de données, accès uniquement via API Supabase et fonctions serverless authentifiées.
Mesures organisationnelles
- Principe du moindre privilège : accès aux Données Personnelles strictement limité aux personnes habilitées.
- Confidentialité : engagement contractuel de confidentialité pour tout collaborateur ou prestataire.
- Politique d'incident : procédure documentée pour détection, qualification et notification des Violations de Données.
- Revue périodique : revue annuelle de la liste des sous-traitants, des accès et des journaux d'audit.
- Suppression sécurisée : suppression logique puis purge physique des données à la fin du contrat ou sur demande, hors rétention légale.