Accord de sous-traitance (DPA)
Derniere mise a jour : 14 avril 2026
Le present Accord de sous-traitance (ci-apres "DPA" pour Data Processing Agreement) est conclu conformement a l'article 28 du Reglement General sur la Protection des Donnees (RGPD — Reglement UE 2016/679) entre :
- Le Responsable de traitement (ci-apres le "Client") : toute personne physique ou morale inscrite sur la Plateforme ConsentLab et utilisant le Widget sur son ou ses sites web.
- Le Sous-traitant (ci-apres "ConsentLab" ou le "Sous-traitant") : Bob le Developpeur (SIRET 891 488 512 00015), editeur de la Plateforme ConsentLab.
Le present DPA fait partie integrante des Conditions Generales d'Utilisation et des Conditions Generales de Vente. Il entre en vigueur des l'utilisation du Widget par le Client.
1. Objet et perimetre du traitement
1.1 Nature du traitement
ConsentLab traite des donnees personnelles pour le compte du Client dans le cadre de la collecte, de l'enregistrement et de la conservation des preuves de consentement cookies des Visiteurs des sites web du Client.
1.2 Finalite
Le traitement a pour finalite exclusive de permettre au Client de se conformer a ses obligations legales en matiere de consentement cookies (article 82 de la loi Informatique et Libertes, directive ePrivacy, RGPD) et de conserver les preuves de consentement requises en cas de controle par les autorites.
1.3 Categories de donnees traitees
| Donnee | Nature | Methode de collecte |
|---|---|---|
| Hash visiteur (visitor_hash) | Identifiant pseudonymise (SHA-256 irreversible : IP + user-agent + sel journalier rotatif) | Calcule cote serveur, IP jamais stockee en clair |
| Choix de consentement | JSON : necessary, analytics, marketing (boolean) | Transmis par le Widget lors du choix du Visiteur |
| Identifiant de consentement (consent_id) | UUID unique par acte de consentement | Genere par le Widget |
| User-agent | Chaine du navigateur/appareil | Transmis automatiquement par le navigateur |
| Pays (ip_country) | Code pays ISO deduit de l'IP | Geolocalisation cote serveur, IP non conservee |
| Horodatage (created_at) | Date et heure UTC du choix | Enregistre cote serveur |
1.4 Categories de personnes concernees
Les personnes concernees sont les Visiteurs des sites web du Client qui interagissent avec le Widget ConsentLab (bandeau de consentement cookies).
1.5 Duree du traitement
Le traitement est effectue pendant toute la duree du contrat entre le Client et ConsentLab. A l'expiration ou la resiliation du contrat, les dispositions de l'article 8 s'appliquent.
2. Obligations du Sous-traitant
Conformement a l'article 28-3 du RGPD, ConsentLab s'engage a :
2.1 Instructions documentees (Art. 28-3-a)
Traiter les donnees personnelles uniquement sur instruction documentee du Client. Le Client donne instruction a ConsentLab de traiter les donnees aux seules fins decrites dans le present DPA. Toute instruction supplementaire devra faire l'objet d'un accord ecrit.
2.2 Confidentialite (Art. 28-3-b)
Veiller a ce que les personnes autorisees a traiter les donnees personnelles s'engagent a respecter la confidentialite ou soient soumises a une obligation legale appropriee de confidentialite.
2.3 Securite (Art. 28-3-c / Art. 32)
Mettre en oeuvre les mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque, notamment :
- Anonymisation des donnees visiteurs par hachage SHA-256 irreversible avec sel journalier rotatif
- Chiffrement des communications en transit (TLS/HTTPS)
- Hebergement exclusif en France (OVH, Roubaix)
- Isolation des donnees entre Clients (filtrage par API Key et projet)
- Protection contre les attaques par force brute (rate limiting)
- Headers de securite HTTP (Helmet.js)
- Conteneurisation Docker avec utilisateur non-root
- Audit automatise des dependances en integration continue
- Controle d'acces par role (client / admin)
2.4 Sous-traitance ulterieure (Art. 28-2 et 28-4)
ConsentLab recourt aux sous-traitants ulterieurs suivants, auxquels le Client donne son autorisation generale par l'acceptation du present DPA :
| Sous-traitant | Fonction | Localisation des donnees | Garanties |
|---|---|---|---|
| OVHcloud (OVH SAS) | Hebergement infrastructure, base de donnees PostgreSQL | Roubaix, France | ISO 27001, HDS, SOC 2 |
| Stripe (Stripe Payments Europe, Ltd.) | Traitement des paiements (pas de donnees de consentement) | Irlande (UE) | PCI-DSS, RGPD compliant |
| Resend | Envoi d'emails transactionnels (pas de donnees de consentement) | Etats-Unis | EU-US Data Privacy Framework |
ConsentLab informera le Client de tout ajout ou remplacement de sous-traitant ulterieur avec un preavis minimum de trente (30) jours. Le Client dispose d'un droit d'opposition motive. En cas d'opposition justifiee et non resolue, le Client pourra resilier le contrat sans penalite.
Note : Stripe et Resend ne traitent aucune donnee de consentement des Visiteurs. Seul OVHcloud heberge les donnees de consentement.
2.5 Assistance au Client (Art. 28-3-e et 28-3-f)
ConsentLab s'engage a aider le Client, dans la mesure du possible, a :
- Repondre aux demandes d'exercice de droits des personnes concernees (acces, rectification, effacement, portabilite)
- Respecter ses obligations en matiere de securite des traitements (Art. 32)
- Notifier les violations de donnees a l'autorite de controle (Art. 33) et aux personnes concernees (Art. 34)
- Realiser des analyses d'impact (AIPD) si necessaire (Art. 35-36)
2.6 Notification des violations (Art. 33)
En cas de violation de donnees personnelles, ConsentLab s'engage a en informer le Client dans un delai maximum de quarante-huit (48) heures apres en avoir pris connaissance, en communiquant :
- La nature de la violation
- Les categories et le nombre approximatif de personnes concernees
- Les consequences probables
- Les mesures prises ou proposees pour y remedier
3. Obligations du Client (Responsable de traitement)
Le Client s'engage a :
- Etre le responsable de traitement des donnees de consentement de ses Visiteurs
- Disposer d'une base legale valide pour la collecte des consentements
- Informer ses Visiteurs conformement aux articles 13 et 14 du RGPD
- Configurer correctement le Widget conformement a ses obligations legales
- Ne transmettre aucune donnee de sante ou categorie particuliere (Art. 9 du RGPD) via le Widget
- Documenter le traitement dans son registre des activites de traitement (Art. 30 du RGPD)
4. Transferts hors UE
Les donnees de consentement des Visiteurs sont exclusivement hebergees en France (OVH, Roubaix). Aucun transfert hors de l'Union europeenne n'est effectue pour les donnees de consentement.
Les services tiers (Stripe, Resend) ne traitent pas de donnees de consentement des Visiteurs. Pour les donnees de compte Client (voir Politique de confidentialite), les transferts sont encadres par le EU-US Data Privacy Framework le cas echeant.
5. Audits et controles (Art. 28-3-h)
ConsentLab met a disposition du Client toutes les informations necessaires pour demontrer le respect des obligations prevues par l'article 28 du RGPD et permet les audits, y compris les inspections, realises par le Client ou un auditeur qu'il a mandate.
Les audits sont realises sous reserve d'un preavis raisonnable de quinze (15) jours ouvrables, dans le respect de la confidentialite des donnees des autres clients de ConsentLab, et aux frais du Client demandeur. ConsentLab se reserve le droit de limiter l'audit a une portee proportionnee et de proposer un audit par un tiers independant en alternative.
6. Duree de conservation
Les donnees de consentement sont conservees pendant toute la duree du contrat entre le Client et ConsentLab. La duree de conservation recommandee des preuves de consentement est de cinq (5) ans, correspondant au delai de prescription de droit commun (article 2224 du Code civil).
Le Client peut demander l'export de ses donnees de consentement a tout moment depuis le tableau de bord de la Plateforme (export CSV).
7. Cooperation avec les autorites
ConsentLab s'engage a cooperer avec la CNIL ou toute autre autorite de controle competente dans le cadre de toute enquete ou procedure relative aux traitements effectues pour le compte du Client.
8. Sort des donnees en fin de contrat (Art. 28-3-g)
A l'expiration ou la resiliation du contrat, ConsentLab s'engage, au choix du Client exprime par ecrit :
- A restituer l'ensemble des donnees de consentement dans un format structure et lisible par machine (CSV), dans un delai de trente (30) jours suivant la demande
- A supprimer l'ensemble des donnees de consentement et leurs copies existantes, sauf obligation legale de conservation
A defaut d'instruction du Client dans un delai de quatre-vingt-dix (90) jours suivant la fin du contrat, ConsentLab procedera a la suppression definitive des donnees.
9. Responsabilite
Conformement a l'article 82 du RGPD :
- ConsentLab n'est pas responsable des sanctions prononcees a l'encontre du Client du fait de la non-conformite du Client a ses propres obligations de responsable de traitement
- ConsentLab assume la responsabilite des dommages causes par un traitement pour lequel il n'a pas respecte les obligations prevues par le RGPD qui incombent specifiquement aux sous-traitants
- ConsentLab est exonere de responsabilite s'il prouve que le fait generateur du dommage ne lui est nullement imputable (Art. 82-3)
10. Droit applicable
Le present DPA est soumis au droit francais et au RGPD. En cas de litige, les parties s'engagent a rechercher une solution amiable prealablement a toute action judiciaire.
11. Contact
Pour toute question relative au present DPA ou a la protection des donnees : privacy@consentlab.eu.