Accord de traitement des données (DPA)
Version en date du 13 mars 2026
Annexe aux Conditions Générales d’Utilisation de GitHood
Article 1 - Objet
Le présent accord définit les conditions dans lesquelles GitHood (ci-après le “Sous-traitant”) traite des données à caractère personnel pour le compte du Client (ci-après le “Responsable de traitement”) dans le cadre de la fourniture du Service.
Article 2 - Description du traitement
| Élément | Description |
|---|---|
| Finalité | Suivi et gestion de l’activité de développement logiciel, tel que décrit dans la Documentation |
| Nature des traitements | Collecte, stockage, consultation, analyse et suppression |
| Types de données | Identifiants de comptes (login, nom, adresse email, avatar), activité de développement (pull requests, revues de code, commits), métadonnées associées (horodatages, statuts) |
| Catégories de personnes | Développeurs et contributeurs des dépôts connectés par le Client |
| Durée | Pendant toute la durée du contrat, et supprimées dans un délai de 30 jours après résiliation, sauf obligations légales de conservation (notamment 10 ans pour les données de facturation) |
Article 3 - Obligations du Sous-traitant
Le Sous-traitant s’engage à :
3.1 Traiter les données uniquement sur instruction documentée du Client et aux seules fins décrites à l’Article 2.
3.2 Garantir la confidentialité des données traitées. Les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité.
3.3 Mettre en oeuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, notamment : - Chiffrement des données en transit (TLS) et au repos - Chiffrement des tokens d’accès API (Cloak/Vault) - Authentification par OAuth (Google, Microsoft) - Gestion des sessions avec expiration automatique - Hébergement en Union Européenne (Clever Cloud, région Paris)
3.4 Ne pas sous-traiter le traitement sans autorisation préalable écrite du Client, sous réserve de l’Article 5.
3.5 Assister le Client dans le respect de ses obligations relatives aux droits des personnes concernées (accès, rectification, effacement, portabilité).
3.6 Notifier le Client dans un délai de 72 heures après avoir pris connaissance d’une violation de données.
3.7 Au terme du contrat, supprimer l’ensemble des données à caractère personnel dans un délai de 30 jours, sauf obligation légale de conservation.
Article 4 - Obligations du Client
Le Client s’engage à :
4.1 Informer les personnes concernées (développeurs et contributeurs) du traitement de leurs données dans le cadre du Service.
4.2 S’assurer de la licéité du traitement, y compris le fondement juridique applicable (intérêt légitime ou consentement).
4.3 Fournir des instructions conformes à la réglementation en vigueur.
Article 5 - Sous-traitants ultérieurs
Le Client autorise le recours aux sous-traitants ultérieurs suivants :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Clever Cloud | Hébergement et base de données | France (Paris) |
| Stripe | Gestion de la facturation et des paiements | UE / US (clauses contractuelles types) |
| PostHog | Analyse d’usage du Service | UE |
| Scaleway | Envoi d’emails transactionnels (TEM) | France (Paris) |
| Sentry | Surveillance des erreurs applicatives | UE / US (clauses contractuelles types) |
Les données sources sont collectées via les API de la plateforme du Client (GitHub, GitLab) selon les accès configurés par le Client.
Le Sous-traitant informera le Client de tout ajout ou remplacement de sous-traitant ultérieur avec un préavis de 30 jours. Le Client dispose d’un droit d’opposition motivé.
Article 6 - Transferts hors UE
En cas de transfert de données hors de l’Union Européenne, le Sous-traitant s’assure de la mise en place de garanties appropriées conformément au RGPD (clauses contractuelles types, décision d’adéquation, ou autre mécanisme reconnu).
Article 7 - Audit
Le Client peut, à ses frais et avec un préavis raisonnable de 15 jours ouvrables, procéder ou faire procéder à un audit afin de vérifier le respect du présent accord, dans la limite d’un audit par an.
Article 8 - Durée
Le présent accord entre en vigueur à la date de souscription au Service et reste en vigueur pendant toute la durée du contrat. Les obligations de confidentialité et de suppression des données survivent à la résiliation.