Aller au contenu

Accord de sous-traitance des données personnelles – FalconDraft

Dernière mise à jour : 26/05/2026 — Version 2.0

1. Objet

Le présent accord de sous-traitance des données personnelles a pour objet de définir les conditions dans lesquelles FalconDraft traite des données personnelles pour le compte de ses clients dans le cadre de la fourniture de ses services.

Il complète les Conditions Générales de Vente, la Politique de confidentialité et tout devis ou document contractuel accepté entre FalconDraft et le client.

Le présent accord s'applique lorsque FalconDraft traite, pour le compte du client, des données personnelles relatives aux propres prospects, clients, contacts commerciaux, collaborateurs ou utilisateurs du client.

2. Définitions

Aux fins du présent accord :

  • « Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable.
  • « Traitement » désigne toute opération portant sur des données personnelles, notamment la collecte, l'enregistrement, la conservation, la consultation, l'utilisation, la transmission, l'effacement ou la suppression.
  • « Responsable du traitement » désigne la personne qui détermine les finalités et les moyens du traitement.
  • « Sous-traitant » désigne la personne qui traite des données personnelles pour le compte du responsable du traitement.
  • « Client » désigne l'entreprise ou la personne ayant souscrit aux services FalconDraft.
  • « FalconDraft » désigne Timéo Marcopoulos, entrepreneur individuel exerçant sous le nom commercial FalconDraft.
  • « CCT » désigne les Clauses Contractuelles Types adoptées par la Commission Européenne pour encadrer les transferts internationaux de données.

3. Rôle des parties

Dans le cadre des traitements de données réalisés par le client au moyen de FalconDraft :

  • le client agit en qualité de responsable du traitement ;
  • FalconDraft agit en qualité de sous-traitant.

Le client détermine les finalités et les moyens essentiels des traitements réalisés dans le cadre de son activité commerciale, notamment lorsqu'il renseigne, importe ou utilise dans FalconDraft des données relatives à ses prospects, clients, contacts commerciaux ou collaborateurs.

FalconDraft traite ces données uniquement pour fournir le service, exécuter les instructions du client et assurer le fonctionnement, la maintenance, la sécurité et le support de la solution.

4. Description des traitements confiés à FalconDraft

FalconDraft peut traiter des données personnelles pour le compte du client dans le cadre des opérations suivantes :

  • création et gestion d'un workspace client ;
  • création et gestion de comptes utilisateurs ;
  • gestion des rôles et permissions ;
  • création, structuration et suivi de dossiers commerciaux ;
  • traitement de notes d'appel, transcripts ou synthèses commerciales ;
  • génération de comptes-rendus d'appel par intelligence artificielle ;
  • génération de propositions commerciales par intelligence artificielle ;
  • génération ou intégration de devis ;
  • génération de documents PDF ;
  • stockage de documents liés aux dossiers commerciaux ;
  • préparation de brouillons d'emails dans la messagerie connectée de l'utilisateur ;
  • génération de liens de signature lorsque cette fonctionnalité est utilisée ;
  • automatisation de workflows commerciaux ;
  • support, maintenance, diagnostic et résolution d'incidents ;
  • journalisation technique et audit de certaines actions.

5. Finalités du traitement

Les données personnelles sont traitées par FalconDraft uniquement pour les finalités suivantes :

  • fournir le service FalconDraft au client ;
  • permettre l'utilisation de l'application et du workspace client ;
  • automatiser certaines étapes du processus commercial du client ;
  • générer des contenus, documents, propositions, devis ou brouillons d'emails ;
  • assurer le stockage, l'affichage, le téléchargement et le suivi des documents ;
  • maintenir et sécuriser le service ;
  • fournir le support technique ;
  • diagnostiquer et corriger les incidents ;
  • respecter les obligations légales ou contractuelles applicables.

FalconDraft ne traite pas les données du client pour ses propres finalités commerciales, sauf dans les cas prévus par la Politique de confidentialité ou lorsque les données concernent directement la relation contractuelle entre FalconDraft et le client.

FalconDraft n'utilise en aucun cas les données du client pour entraîner des modèles d'intelligence artificielle, qu'il s'agisse de ses propres modèles ou de ceux de ses sous-traitants.

6. Catégories de données traitées

Les catégories de données susceptibles d'être traitées pour le compte du client peuvent inclure :

  • identité : nom, prénom, nom affiché ;
  • coordonnées : adresse email, numéro de téléphone ;
  • données professionnelles : entreprise, fonction, rôle, organisation de rattachement ;
  • données commerciales : besoin exprimé, contexte d'échange, notes d'appel, synthèse, informations de devis, montant estimatif, statut du dossier ;
  • données documentaires : propositions, devis, PDF, liens de signature, fichiers générés ou importés ;
  • données d'utilisation : actions effectuées dans l'application, dates de création, modification ou validation ;
  • données techniques : identifiants internes, logs, journaux d'audit, statuts de workflows ;
  • données d'intégration : adresse email connectée, statut d'intégration, métadonnées OAuth et jetons techniques sécurisés lorsque nécessaires au fonctionnement de l'intégration.

7. Catégories de personnes concernées

Les personnes concernées peuvent notamment être :

  • les utilisateurs du client ;
  • les collaborateurs, gestionnaires ou lecteurs du workspace client ;
  • les prospects du client ;
  • les clients du client ;
  • les contacts commerciaux du client ;
  • les signataires ou destinataires de documents commerciaux ;
  • toute personne dont les données sont renseignées par le client dans FalconDraft.

8. Instructions du client

FalconDraft traite les données personnelles uniquement sur instruction documentée du client.

Les instructions du client résultent notamment :

  • du devis accepté ;
  • des présentes conditions de sous-traitance ;
  • des paramètres configurés dans le workspace ;
  • des données renseignées par les utilisateurs ;
  • des actions effectuées dans l'application ;
  • des demandes écrites du client ;
  • des workflows configurés pour le client.

FalconDraft informe le client si, selon lui, une instruction constitue une violation de la réglementation applicable, sauf interdiction légale.

9. Obligations de FalconDraft

FalconDraft s'engage à :

  • traiter les données personnelles uniquement pour les finalités prévues ;
  • ne pas utiliser les données du client pour des finalités incompatibles ;
  • mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité ;
  • limiter l'accès aux données aux seules personnes ou systèmes qui en ont besoin ;
  • veiller à ce que les personnes autorisées à traiter les données soient soumises à une obligation de confidentialité ;
  • assister le client, dans la mesure raisonnable du possible, pour répondre à certaines obligations RGPD ;
  • informer le client en cas de violation de données personnelles dans les conditions prévues au présent accord ;
  • supprimer ou restituer les données dans les conditions prévues à la fin du contrat ;
  • ne pas faire appel à un nouveau sous-traitant ultérieur sans information préalable du client.

10. Obligations du client

Le client s'engage à :

  • collecter et traiter les données personnelles de manière licite ;
  • informer les personnes concernées lorsque cela est nécessaire ;
  • disposer d'une base juridique valable pour les traitements réalisés ;
  • ne pas transmettre à FalconDraft de données illicites, excessives ou non nécessaires ;
  • ne pas utiliser FalconDraft pour traiter des données interdites ou manifestement incompatibles avec le service ;
  • gérer les droits et accès de ses utilisateurs ;
  • vérifier les contenus générés avant toute utilisation ;
  • répondre aux demandes des personnes concernées lorsque celles-ci portent sur ses propres traitements ;
  • informer FalconDraft sans délai en cas de demande, incident ou instruction particulière liée aux données personnelles.

Le client demeure responsable de la qualité, de la licéité, de l'exactitude et de la pertinence des données qu'il renseigne ou transmet à FalconDraft.

11. Données sensibles

FalconDraft n'est pas conçu pour traiter des données sensibles au sens du RGPD, telles que les données de santé, opinions politiques, convictions religieuses, données biométriques, données génétiques, appartenance syndicale, données relatives à la vie sexuelle ou à l'orientation sexuelle, ou données relatives aux condamnations pénales.

Le client s'engage à ne pas renseigner de telles données dans FalconDraft, sauf accord écrit spécifique et mise en place de garanties adaptées.

12. Sous-traitants ultérieurs

Le client autorise FalconDraft à recourir aux sous-traitants ultérieurs listés ci-dessous, nécessaires à la fourniture du service.

12.1 Liste des sous-traitants ultérieurs

Sous-traitantRôleLocalisation des donnéesGaranties
SupabaseBase de données, authentification, stockage de fichiersFrankfurt (Allemagne) — UESOC 2, chiffrement AES-256
VercelHébergement de l'application webParis (France) — UETLS 1.3, conformité RGPD
HostingerVPS dédié hébergeant n8n et GotenbergParis (France) — UESSL Grade A, accès SSH par clés
DocuSealGénération et gestion des signatures électroniquesUnion EuropéenneSOC 2, conformité eIDAS
AnthropicGénération de contenu par intelligence artificielle (Claude)États-UnisCCT, données supprimées sous 7 jours, jamais utilisées pour l'entraînement
OpenAIGénération de contenu par intelligence artificielle (GPT)États-UnisCCT, SOC 2 Type 2, ISO/IEC 27001, partage de données désactivé
GammaMise en forme de propositions commercialesÉtats-UnisCCT, DPA officiel
ResendEnvoi d'emails système et transactionnelsUnion Européenne (région EU)DPA disponible, conformité RGPD
n8nMoteur d'automatisation de workflows (auto-hébergé sur Hostinger)Paris (France) — UEAuto-hébergement sur infrastructure FalconDraft
GotenbergConversion de documents en PDF (auto-hébergé sur Hostinger)Paris (France) — UEAuto-hébergement sur infrastructure FalconDraft
OVHNom de domaine et services associésFrance — UEConformité RGPD native
Google / Google WorkspaceIntégration optionnelle de la messagerie utilisateur (Gmail)Selon configuration du clientDPA Google, CCT, OAuth 2.0
Microsoft / Microsoft 365Intégration optionnelle de la messagerie utilisateur (Outlook)Selon configuration du clientDPA Microsoft, CCT, OAuth 2.0
Outils de supervision et monitoringDiagnostic, sécurité, stabilité du serviceSelon prestataireAccès limité aux données techniques

12.2 Transferts hors Union Européenne

Trois sous-traitants ultérieurs (Anthropic, OpenAI, Gamma) hébergent les données aux États-Unis. Ces transferts sont strictement encadrés par les Clauses Contractuelles Types adoptées par la Commission Européenne, complétées le cas échéant par des mesures techniques et organisationnelles supplémentaires.

12.3 Modification de la liste des sous-traitants

FalconDraft veille à ce que ses sous-traitants ultérieurs présentent des garanties appropriées en matière de sécurité et de protection des données.

En cas de changement important de sous-traitant ultérieur susceptible d'avoir un impact significatif sur les données du client, FalconDraft informera le client par tout moyen approprié dans un délai raisonnable préalable à la mise en œuvre, permettant au client de formuler ses éventuelles objections.

13. Sécurité des données

FalconDraft met en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les données personnelles traitées pour le compte du client.

13.1 Mesures techniques

  • Chiffrement en transit : protocole TLS 1.3 (ou TLS 1.2 minimum) sur l'ensemble des communications ;
  • Chiffrement au repos : chiffrement AES-256 des données stockées dans la base de données ;
  • Cloisonnement des données clients : Row Level Security au niveau de la base de données PostgreSQL, garantissant qu'un client ne peut techniquement pas accéder aux données d'un autre client ;
  • Authentification : gestion sécurisée des mots de passe par hash bcrypt, authentification multifacteur disponible ;
  • Accès administrateur : accès SSH par clés cryptographiques uniquement, journalisation des accès ;
  • Stockage sécurisé des secrets : aucun secret n'est présent dans le code source ; les clés API et jetons sont stockés dans des gestionnaires dédiés ;
  • Certificat SSL : noté Grade A par SSL Labs sur l'infrastructure d'automatisation ;
  • Sauvegardes automatiques chiffrées : cycle de rotation quotidien, conservation 7 jours minimum.

13.2 Mesures organisationnelles

  • accès à l'application sur invitation uniquement ;
  • gestion des rôles et permissions au niveau du workspace ;
  • séparation logique des données par organisation et par workspace ;
  • séparation stricte des environnements de développement, test et production ;
  • journalisation des actions sensibles ;
  • surveillance et diagnostic continus des erreurs ;
  • formation et sensibilisation aux exigences de sécurité.

13.3 Sécurité côté client

Le client reconnaît que la sécurité du service dépend également de ses propres pratiques, notamment la protection de ses comptes, mots de passe, accès, appareils et utilisateurs internes.

14. Confidentialité

FalconDraft s'engage à préserver la confidentialité des données personnelles traitées pour le compte du client.

Les données du client ne sont accessibles qu'aux personnes ou systèmes ayant besoin d'y accéder pour fournir, maintenir, sécuriser ou supporter le service.

FalconDraft s'engage à ne pas vendre, louer ou céder les données personnelles du client à des tiers à des fins commerciales.

15. Assistance aux droits des personnes concernées

Dans la mesure où le client ne peut pas répondre seul à une demande d'exercice de droits, FalconDraft l'assistera raisonnablement, compte tenu de la nature du traitement et des informations disponibles.

Cette assistance peut concerner, selon les cas :

  • l'accès aux données ;
  • la rectification ;
  • l'effacement ;
  • la limitation ;
  • la portabilité ;
  • l'opposition ;
  • la suppression ou restitution de certaines données.

Le client demeure responsable de la réponse finale apportée aux personnes concernées, sauf lorsque FalconDraft agit pour ses propres traitements.

16. Assistance à la conformité

FalconDraft peut assister raisonnablement le client, compte tenu de la nature du service et des informations disponibles, pour répondre à certaines obligations prévues par la réglementation applicable, notamment en matière de sécurité, de notification de violation de données ou d'analyse d'impact lorsque cela est strictement nécessaire.

Toute assistance dépassant le cadre raisonnable du support standard pourra faire l'objet d'une facturation complémentaire.

17. Violation de données personnelles

En cas de violation de données personnelles affectant les données traitées pour le compte du client, FalconDraft s'engage à informer le client dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance.

L'information transmise pourra inclure, lorsque cela est possible :

  • la nature de la violation ;
  • les catégories de données concernées ;
  • les catégories de personnes concernées ;
  • les conséquences probables ;
  • les mesures prises ou proposées pour remédier à la violation ;
  • les informations utiles permettant au client d'apprécier ses propres obligations.

Le client demeure responsable de la notification éventuelle à la CNIL ou aux personnes concernées lorsque celle-ci relève de ses obligations en tant que responsable du traitement.

18. Transferts hors Union européenne

Certains sous-traitants ultérieurs utilisés par FalconDraft (notamment Anthropic, OpenAI et Gamma) impliquent des transferts de données en dehors de l'Union européenne, plus précisément vers les États-Unis.

Ces transferts sont encadrés par les garanties suivantes :

  • Clauses Contractuelles Types adoptées par la Commission Européenne ;
  • Certifications de sécurité reconnues (SOC 2 Type 2, ISO/IEC 27001 pour OpenAI) ;
  • Engagements contractuels spécifiques des sous-traitants concernant la non-utilisation des données pour l'entraînement des modèles ;
  • Suppression rapide des données (7 jours maximum côté Anthropic) ;
  • Désactivation des partages de données optionnels au niveau des configurations FalconDraft.

Le client reconnaît que certaines fonctionnalités d'intelligence artificielle nécessitent actuellement de tels transferts, compte tenu de l'écosystème technologique disponible.

19. Conservation, restitution et suppression des données

Les données traitées pour le compte du client sont conservées pendant la durée nécessaire à la fourniture du service, à l'exécution du contrat, au support, à la sécurité, à la preuve ou au respect d'obligations légales.

À la fin du contrat ou de l'abonnement, le client peut demander la restitution ou la suppression des données traitées pour son compte.

FalconDraft procédera à cette restitution ou suppression dans un délai raisonnable n'excédant pas 30 jours, sous réserve :

  • des contraintes techniques ;
  • des sauvegardes temporaires ;
  • des obligations légales ;
  • des besoins de preuve, facturation, sécurité ou défense en justice ;
  • des données devant être conservées pour respecter une obligation réglementaire.

Certaines données techniques, logs ou journaux d'audit peuvent être conservés pendant une durée limitée afin d'assurer la sécurité, la traçabilité et la défense des droits de FalconDraft.

20. Audit

Le client peut demander à FalconDraft des informations raisonnables permettant de démontrer le respect du présent accord.

Toute demande d'audit doit être formulée par écrit, de manière raisonnable, proportionnée et avec un préavis suffisant.

L'audit ne doit pas compromettre la sécurité, la confidentialité, les secrets d'affaires, les données d'autres clients ou le fonctionnement normal du service.

Tout audit ou accompagnement spécifique dépassant la fourniture raisonnable d'informations pourra faire l'objet d'une facturation complémentaire.

21. Sort des données Google et Microsoft

Lorsque l'utilisateur déconnecte une intégration Gmail, Google Workspace, Outlook ou Microsoft 365, FalconDraft supprime ou rend inutilisables les jetons techniques associés dans un délai raisonnable.

La déconnexion d'une intégration peut empêcher la création de nouveaux brouillons d'emails, mais n'affecte pas nécessairement les brouillons déjà créés dans la messagerie de l'utilisateur.

L'utilisateur peut également révoquer les accès directement depuis son compte Google ou Microsoft.

22. Limitation du traitement par FalconDraft

FalconDraft ne traite pas les données du client pour :

  • vendre des données à des tiers ;
  • louer des données à des tiers ;
  • envoyer des emails commerciaux non sollicités pour son propre compte ;
  • entraîner des modèles d'intelligence artificielle, qu'il s'agisse de ses propres modèles ou de ceux de ses sous-traitants ;
  • lire ou exploiter les emails existants du client en dehors des fonctionnalités expressément demandées ;
  • envoyer automatiquement des emails commerciaux à la place de l'utilisateur ;
  • établir un profilage à des fins commerciales propres.

23. Durée de l'accord

Le présent accord est applicable pendant toute la durée pendant laquelle FalconDraft traite des données personnelles pour le compte du client.

Il cesse de produire effet lorsque FalconDraft ne traite plus aucune donnée personnelle pour le compte du client, sous réserve des obligations qui doivent survivre à la fin du contrat, notamment les obligations de confidentialité, sécurité, preuve, restitution ou suppression.

24. Modification de l'accord

FalconDraft peut modifier le présent accord afin de tenir compte de l'évolution de ses services, de ses sous-traitants, de ses pratiques de sécurité ou de la réglementation applicable.

Toute modification significative fera l'objet d'une information préalable du client par tout moyen approprié.

La version applicable est celle publiée sur le site ou communiquée au client à la date concernée.

25. Contact

Pour toute question relative au présent accord ou au traitement des données personnelles, le client peut contacter FalconDraft à l'adresse suivante :

contact@falcondraft.fr

26. Droit applicable

Le présent accord est soumis au droit français.

Tout différend relatif à son interprétation ou à son exécution relève de la compétence des tribunaux français.

Document mis à jour le 26 mai 2026 — Version 2.0
FalconDraft — Timéo Marcopoulos, Entrepreneur Individuel