forhia

Data Processing Agreement (DPA)

Version standard du 26 avril 2026 · valable pour tous les Clients ayant souscrit à un plan payant.

Le présent DPA (« Accord ») complète les Conditions Générales de forhia et précise les engagements de forhia (« Sous-traitant») envers le Client (« Responsable de traitement ») conformément à l'article 28 du Règlement (UE) 2016/679 (« RGPD »). En cas de contradiction avec les CGU, le présent DPA prévaut sur les questions de protection des données.

Article 1 — Objet et durée

forhia agit en qualité de sous-traitant pour le compte du Client dans le cadre des traitements nécessaires à la fourniture du service décrit dans les CGU. L'Accord prend effet à la souscription et reste en vigueur tant que forhia traite des données pour le compte du Client.

Article 2 — Description du traitement

ÉlémentDescription
NatureHébergement, analyse algorithmique, génération de contenu assistée par IA, restitution de résultats.
FinalitéExécution du contrat tel que décrit dans les CGU.
Catégories de personnesUtilisateurs autorisés du Client (collaborateurs RH, marketing, direction).
Catégories de donnéesIdentité professionnelle (email, nom, fonction), données de connexion, données d'usage du service.
DuréeDurée du contrat + politique de rétention forhia.

Article 3 — Obligations de forhia

forhia s'engage à :

  1. ne traiter les données que sur instruction documentée du Responsable de traitement, sauf obligation légale contraire ;
  2. garantir que toute personne autorisée à traiter les données est soumise à une obligation de confidentialité contractuelle ou légale ;
  3. mettre en œuvre les mesures de sécurité décrites à l'Annexe 2 conformément à l'article 32 RGPD ;
  4. assister le Responsable de traitement dans le respect de ses obligations Articles 32 à 36 RGPD (sécurité, notifications, AIPD) ;
  5. notifier le Responsable de traitement sans délai injustifié, et au plus tard 72 heures après en avoir eu connaissance, de toute violation de données à caractère personnel le concernant ;
  6. aider le Responsable de traitement à répondre aux demandes des personnes concernées (articles 15 à 22 RGPD) en mettant à disposition les fonctionnalités d'export et de suppression de la plateforme ;
  7. à la fin du contrat, supprimer ou anonymiser les données personnelles conformément à la politique de rétention, sauf obligation légale de conservation.

Article 4 — Sous-traitants ultérieurs

Le Client autorise le recours aux sous-traitants ultérieurs listés sur la page /legal/subprocessors. Toute modification matérielle est notifiée au moins 30 jours avant prise d'effet, le Client disposant d'un droit d'opposition motivé.

Article 5 — Transferts hors UE

Tout transfert de données hors de l'Union européenne est encadré soit par les Clauses Contractuelles Types de la Commission (décision 2021/914) intégrées par référence, soit par une certification au Data Privacy Framework (DPF) lorsque le sous-traitant y est inscrit. Les textes des clauses applicables sont fournis sur demande.

Article 6 — Audit

Le Client peut, sous préavis raisonnable et dans des conditions respectant la confidentialité de l'environnement multi-tenant, diligenter un audit annuel des mesures de sécurité forhia. Sont considérées comme satisfaisantes la fourniture des rapports d'audit des sous-traitants infra (Supabase, Railway), la documentation interne de forhia, et les attestations de conformité affichées en politique de confidentialité.

Article 7 — Responsabilité

Chaque partie est responsable du respect de ses propres obligations. La répartition de la responsabilité entre Responsable et Sous-traitant est gouvernée par l'article 82 RGPD et par les CGU forhia.

Annexe 1 — Détail des traitements

Voir politique de confidentialité et document interne Registre Article 30 disponible sur demande.

Annexe 2 — Mesures techniques et organisationnelles

  • Chiffrement TLS 1.2+ en transit, AES-256 au repos.
  • Contrôle d'accès via Supabase Auth + RLS Postgres (cloisonnement tenant).
  • Authentification multi-facteurs disponible sur tous les comptes (email magique + OAuth).
  • Journal d'audit immuable côté base.
  • Sauvegardes Postgres quotidiennes avec rétention 7 jours (Supabase).
  • Revue de code obligatoire avant déploiement, scan de secrets automatisé.
  • Rate-limiting sur tous les points d'authentification et IA.
  • Scrubbing PII sur télémétrie Sentry (regex stricte).
  • Tests RLS automatisés en CI.
  • Formation sécurité initiale + revue annuelle pour le personnel habilité.

Annexe 3 — Sous-traitants ultérieurs

Liste tenue à jour sur /legal/subprocessors.