Capibara

Accord de traitement des données (DPA)

Dernière mise à jour : 30 juin 2026.

Le présent Data Processing Agreement (« DPA ») complète les Conditions Générales d'Utilisation (CGU) entre Forge Network, éditeur et exploitant du service (« Capibara », sous-traitant au sens de l'article 28 du RGPD), et le client (« Tenant », responsable de traitement). Il définit les conditions dans lesquelles Capibara traite des données à caractère personnel pour le compte du Tenant.

1. Objet et durée

Capibara traite les données à caractère personnel uniquement pour exécuter la prestation de service souscrite par le Tenant et pour la durée de cette souscription. À la résiliation, les données sont retournées au Tenant (export RGPD) puis supprimées dans les 30 jours.

2. Nature et finalités du traitement

  • Hébergement et exécution du service SaaS souscrit par le Tenant.
  • Sauvegarde, restauration et conservation des données du Tenant.
  • Sécurité, prévention de la fraude, conformité réglementaire.
  • Support client à la demande du Tenant.

3. Catégories de personnes concernées

Utilisateurs internes du Tenant (employés, collaborateurs, sous-traitants), contacts métier (clients du Tenant, prospects, fournisseurs), visiteurs des sites publics opérés par le Tenant.

4. Catégories de données traitées

Données d'identification, coordonnées professionnelles, métadonnées d'usage, contenus saisis par le Tenant. Capibara ne traite pas de données sensibles au sens de l'article 9 du RGPD sauf instruction explicite et écrite du Tenant.

5. Localisation et transferts

Les données sont hébergées en Union européenne (datacenters situés en France). Aucun transfert hors UE n'est effectué sans clauses contractuelles types ou décision d'adéquation au sens du RGPD. La liste des sous-traitants ultérieurs est publiée et tenue à jour (Sous-traitants).

6. Mesures de sécurité

  • Chiffrement des données au repos (AES-256) et en transit (TLS 1.2+).
  • Isolation multi-tenant : un schéma PostgreSQL par tenant, accès cloisonnés.
  • Authentification 2FA disponible, RBAC fin, journalisation d'audit.
  • Sauvegardes chiffrées quotidiennes hors-site, plan de continuité documenté.
  • Revue de sécurité continue, mises à jour critiques sous 72 h.

7. Sous-traitants ultérieurs

Capibara recourt à des sous-traitants pour l'hébergement (Ikoula), le paiement (Stripe) et l'IA générative activée à la demande (Google Gemini). La liste nominative à jour est publiée ici. Capibara notifie le Tenant avant tout changement substantiel.

8. Droits des personnes concernées

Le Tenant gère les demandes d'exercice des droits (accès, rectification, effacement, portabilité, opposition). Capibara met à disposition les outils techniques : export complet des données et purge sur demande.

9. Violation de données

En cas de violation de données concernant le Tenant, Capibara notifie le Tenant sans délai injustifié et au plus tard sous 72 h après en avoir eu connaissance, avec les éléments permettant au Tenant de remplir ses propres obligations vis-à-vis de l'autorité de contrôle.

10. Audit et coopération

Capibara tient à disposition du Tenant la documentation nécessaire pour démontrer le respect des obligations RGPD. Un audit annuel sur pièces est possible sur demande raisonnable. Les audits sur site sont réservés aux situations exceptionnelles (incident grave) et encadrés par un préavis.

11. Restitution et suppression à la fin du contrat

À la résiliation, le Tenant dispose de 30 jours pour exporter ses données. Au-delà, Capibara supprime définitivement toutes les copies, sauf obligation légale de conservation (factures comptables, par exemple).

12. Acceptation

La souscription à un abonnement Pro ou Business vaut acceptation du présent DPA. Une version PDF signable est disponible sur demande pour les clients Business ayant des contraintes particulières (dpo@capibara.fr).

Document établi par Forge Network. Version 1.0 — 30 juin 2026.

DPA — Accord de traitement des données — Capibara · Capibara