Cette politique décrit les données personnelles collectées par FerrLabs (Bryan Ferrando, Entrepreneur individuel, SIREN 104 243 951) en tant que responsable de traitement pour les données du compte, conformément au RGPD. Pour le contenu publié par le Client (issues, commentaires), FerrLabs agit en qualité de sous-traitant au sens de l'article 28 RGPD — voir « Rôles » ci-dessous.
Rôles (responsable / sous-traitant)
Pour le contenu publié par le Client (issues, commentaires, pièces jointes, données issues de l'intégration GitHub), FerrLabs agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le Client est responsable de traitement. Un contrat de sous-traitance (DPA) est disponible sur demande.
Données collectées
- Compte : adresse e-mail, mot de passe (haché en Argon2id), nom d'affichage, fuseau horaire, locale.
- Organisation : nom, slug, taille d'équipe, pays.
- Contenu Client : issues, commentaires, pièces jointes, labels, métadonnées de projet, journal d'activité.
- Intégration GitHub : payloads webhook (titres de PR, messages de commit, références d'issue, identifiants des auteurs de PR), jetons OAuth (chiffrés au repos), identifiants de dépôt.
- Journal d'audit : adresse IP, user-agent, horodatages des actions sensibles.
- Cookies :
fl_session(httpOnly, SameSite=Lax, durée 7 jours) — strictement nécessaire au fonctionnement de l'authentification. - Logs serveur : conservation 30 jours.
Intégration webhook GitHub
Lorsque vous activez l'intégration GitHub, FerrTrack reçoit et stocke les payloads webhook (titres de PR, messages de commit, références d'issue) pour permettre l'auto-link entre PRs et issues. Aucune donnée GitHub n'est transmise à des tiers. Les payloads webhook sont conservés au maximum 12 mois.
Finalités
- Authentification et accès au service.
- Fonctionnement, sécurité et investigation d'incidents.
- Stockage et restitution du contenu Client (issues, projets).
- Auto-link entre PRs GitHub et issues FerrTrack.
- Facturation des abonnements payants.
- Réponse aux obligations légales.
Bases légales (art. 6 RGPD)
- Exécution du contrat (6.1.b) pour les comptes et abonnements.
- Intérêt légitime (6.1.f) pour la sécurité, le journal d'audit et la prévention des abus.
- Obligation légale (6.1.c) pour les données comptables et fiscales.
Sous-traitants
- OVH SAS — hébergement (France).
- Stripe Inc. — paiement (États-Unis, certifié Data Privacy Framework) — actif lors de l'activation d'un abonnement payant.
- Resend — emails transactionnels — actif lors de l'envoi d'emails transactionnels.
- GitHub (Microsoft Corp.) — source des webhooks pour les liens PR et commits (États-Unis, certifié Data Privacy Framework) — actif lorsque l'intégration GitHub est activée.
Durée de conservation
| Donnée | Durée |
|---|---|
| Compte actif | Tant que le compte existe |
| Compte supprimé | 90 jours puis purge définitive |
| Contenu Client (issues) | Durée de vie du projet, plus 30 jours après suppression |
| Journal d'activité | Durée de vie du projet |
| Payloads webhook GitHub | 12 mois |
| Journal d'audit | 24 mois |
| Logs serveur | 30 jours |
| Données de facturation | 10 ans (art. L.123-22 Code de commerce) |
Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, de suppression, de portabilité, d'opposition et de limitation du traitement.
Pour exercer vos droits : contact@ferrlabs.com. Les demandes portant sur le contenu Client sont transmises au Client (responsable de traitement).
Vous pouvez également déposer une réclamation auprès de la CNIL (cnil.fr).
Délégué à la protection des données (DPO)
FerrLabs n'a pas désigné de DPO. Ce n'est pas requis pour une micro-entreprise n'effectuant pas de traitement à grande échelle de données sensibles (art. 37 RGPD).
Transferts hors Union européenne
Lorsque applicable, vers des sous-traitants situés dans des pays disposant d'une décision d'adéquation ou certifiés Data Privacy Framework (Stripe, GitHub). Aucun transfert vers un pays sans garantie adéquate n'est effectué.
Modifications
Cette politique peut être mise à jour. La date de dernière modification figure en haut de cette page.
English version: Privacy policy.