v2 all Effective: February 2026

Accord de traitement des données (DPA)

Date d'entrée en vigueur : 13 février 2026

Dernière mise à jour : 13 février 2026

Résumé

Le présent Accord de traitement des données (« DPA ») complète les Conditions Générales d'Utilisation et la Politique de confidentialité de BlackLab Studio. Il s'applique lorsque BlackLab Studio agit en qualité de sous-traitant (processor) de données personnelles pour le compte d'un Client agissant en qualité de responsable du traitement (controller), notamment dans le cadre de l'API Développeurs. Ce DPA est conforme aux exigences de la nLPD (Suisse), du RGPD (UE/EEE) et des clauses contractuelles types de la Commission européenne.

1. Définitions

Les termes en majuscules non définis dans le présent DPA ont le sens qui leur est attribué dans les CGU et la Politique de confidentialité.

  • « Client » : l'entité agissant en tant que responsable du traitement.
  • « Données du Client » : les données personnelles traitées par BlackLab Studio pour le compte du Client.
  • « Sous-traitant ultérieur » : tout prestataire tiers auquel BlackLab Studio confie le traitement de Données du Client.
  • « Incident de sécurité » : toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des Données du Client.

2. Champ d'application

2.1 Applicabilité

Le présent DPA s'applique lorsque :

  • le Client utilise l'API BlackLab Studio ou tout Service impliquant le traitement de données personnelles pour le compte du Client ;
  • BlackLab Studio agit en tant que sous-traitant au sens de l'art. 5 let. k nLPD ou de l'art. 28 RGPD.

2.2 Rôles

RôlePartie
Responsable du traitement (Controller)Client
Sous-traitant (Processor)BlackLab Studio

3. Objet et finalités du traitement

3.1 Catégories de données

Les catégories de données personnelles traitées peuvent inclure :

  • identifiants (email, nom d'utilisateur) ;
  • fichiers audio et métadonnées associées ;
  • données techniques (adresses IP, user-agent) ;
  • données transactionnelles (identifiants de commande, historique).

3.2 Catégories de personnes concernées

  • utilisateurs finaux du Client ;
  • créateurs de contenu ;
  • clients du Client.

3.3 Finalités

BlackLab Studio traite les Données du Client exclusivement pour :

  • l'exécution des Services prévus par les CGU ;
  • le mastering audio et le traitement de fichiers ;
  • la fourniture de l'API et des fonctionnalités associées ;
  • le support technique.

3.4 Durée

Le traitement dure pendant la durée de la relation contractuelle. À la fin du contrat, les données sont supprimées conformément à l'article 8.

4. Obligations de BlackLab Studio

BlackLab Studio s'engage à :

  1. Traiter les données uniquement selon les instructions documentées du Client (art. 9 al. 1 nLPD, art. 28 al. 3 let. a RGPD), sauf obligation légale contraire.
  2. Garantir la confidentialité : s'assurer que les personnes autorisées à traiter les Données du Client sont soumises à une obligation de confidentialité.
  3. Mettre en œuvre des mesures techniques et organisationnelles appropriées conformément à l'art. 8 nLPD / art. 32 RGPD (voir Annexe 1).
  4. Respecter les conditions relatives aux sous-traitants ultérieurs (article 5).
  5. Assister le Client dans l'exécution de ses obligations envers les personnes concernées (droits d'accès, rectification, suppression, portabilité).
  6. Assister le Client en matière d'analyse d'impact relative à la protection des données (AIPD), si applicable.
  7. Supprimer ou restituer les Données du Client à la fin de la relation contractuelle (article 8).
  8. Fournir les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits.

5. Sous-traitants ultérieurs

5.1 Autorisation générale

Le Client autorise BlackLab Studio à recourir à des sous-traitants ultérieurs pour le traitement des Données du Client, sous réserve du respect des conditions suivantes.

5.2 Liste

La liste actuelle des sous-traitants ultérieurs est publiée dans la Liste des sous-traitants.

5.3 Notification

BlackLab Studio informera le Client par écrit (email ou notification dans l'interface) de tout changement de sous-traitant ultérieur au moins 30 jours avant l'entrée en vigueur du changement.

5.4 Droit d'opposition

Le Client peut s'opposer à un nouveau sous-traitant ultérieur dans un délai de 15 jours suivant la notification. En cas d'opposition raisonnable non résolue, chaque partie peut résilier le contrat concerné.

5.5 Obligations des sous-traitants ultérieurs

BlackLab Studio impose à ses sous-traitants ultérieurs des obligations de protection des données au moins équivalentes à celles du présent DPA.

6. Transferts internationaux

6.1 Principe

Les Données du Client sont hébergées en Suisse [TODO À CONFIRMER : pays et fournisseur d'hébergement exact].

6.2 Transferts hors Suisse / EEE

En cas de transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat :

  • BlackLab Studio applique les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) ;
  • ou tout autre mécanisme de transfert conforme à l'art. 16 nLPD / art. 46 RGPD.

6.3 Transferts actuels

Sous-traitantPaysMécanisme
PayPal (Europe) S.à r.l. et Cie, SCALuxembourg / USDécision d'adéquation UE, BCR PayPal
Google FontsUSCCT / Décision d'adéquation

7. Sécurité et incidents

7.1 Mesures de sécurité

Voir Annexe 1 et la Déclaration de sécurité.

7.2 Notification d'incident

En cas d'Incident de sécurité affectant les Données du Client, BlackLab Studio :

  • notifiera le Client sans délai indu et en tout état de cause dans un délai de 72 heures après en avoir pris connaissance ;
  • fournira les informations suivantes : nature de l'incident, catégories et nombre de personnes concernées, conséquences probables, mesures prises ou proposées ;
  • assistera le Client dans ses obligations de notification auprès des autorités et des personnes concernées.

8. Restitution et suppression

À la fin de la relation contractuelle ou sur demande du Client :

  • BlackLab Studio restituera ou supprimera les Données du Client, au choix du Client, dans un délai de 30 jours ;
  • les copies de sauvegarde seront supprimées dans un délai de 90 jours, sauf obligation légale de conservation ;
  • les logs d'audit anonymisés pourront être conservés conformément aux obligations légales.

9. Audits

9.1 Droit d'audit

Le Client (ou un auditeur tiers indépendant mandaté par le Client) peut réaliser un audit de conformité du présent DPA, sous réserve :

  • d'un préavis écrit de 30 jours ;
  • d'un accord de confidentialité ;
  • de ne pas perturber de manière disproportionnée les opérations de BlackLab Studio.

9.2 Fréquence

Un audit par année civile, sauf en cas d'Incident de sécurité ou de demande d'une autorité de surveillance.

9.3 Coûts

Les coûts de l'audit sont à la charge du Client, sauf si l'audit révèle un manquement substantiel de BlackLab Studio.

10. Responsabilité

La responsabilité de BlackLab Studio au titre du présent DPA est soumise aux limitations prévues dans les Conditions Générales d'Utilisation (section 14).

11. Durée et résiliation

Le présent DPA est en vigueur pendant toute la durée de la relation contractuelle entre le Client et BlackLab Studio. Les obligations relatives à la confidentialité, la suppression des données et les audits survivent à la résiliation.

12. Droit applicable et for

Le présent DPA est régi par le droit suisse. Le for exclusif est [TODO À CONFIRMER : ville, Suisse], sous réserve de dispositions impératives contraires.

13. Contact

Protection des donnéesprivacy@blacklab.studio
Contact généralcontact@blacklab.studio
Supportsupport@blacklab.studio

Annexe 1 — Mesures techniques et organisationnelles

CatégorieMesures
ChiffrementHTTPS/TLS 1.2+ pour toutes les communications, HSTS avec preload
AuthentificationMots de passe hachés (bcrypt), JWT signé (HS256), support MFA
Contrôle d'accèsRôles (member → ops_admin), principe du moindre privilège
Sécurité réseauPorts Docker liés à 127.0.0.1, CSP restrictif, CORS whitelist
Protection des donnéesValidation des entrées, protection path traversal, protection CSRF
JournalisationLogs d'audit immuables (7 ans), logs techniques (90 jours)
Rate limiting100 req/min par IP, 1000 req/h par clé API
Sauvegardes[TODO À CONFIRMER : fréquence et procédure de sauvegarde]
Continuité[TODO À CONFIRMER : plan de continuité d'activité]
PersonnelObligations de confidentialité, accès restreint

Le présent Accord de traitement des données fait partie intégrante des Conditions Générales d'Utilisation de BlackLab Studio.

Data Processing Agreement (DPA)

Effective date: February 13, 2026

Last updated: February 13, 2026

Summary

This Data Processing Agreement ("DPA") supplements the Terms of Service and the Privacy Policy of BlackLab Studio. It applies when BlackLab Studio acts as a data processor on behalf of a Client acting as a data controller, particularly in connection with the Developer API. This DPA complies with the requirements of the nFADP (Switzerland), the GDPR (EU/EEA), and the European Commission's Standard Contractual Clauses.

1. Definitions

Capitalized terms not defined in this DPA have the meanings assigned to them in the ToS and Privacy Policy.

  • "Client": the entity acting as data controller.
  • "Client Data": personal data processed by BlackLab Studio on behalf of the Client.
  • "Sub-processor": any third-party provider to which BlackLab Studio entrusts the processing of Client Data.
  • "Security Incident": any breach of security resulting in the destruction, loss, alteration, unauthorized disclosure of, or unauthorized access to Client Data.

2. Scope

2.1 Applicability

This DPA applies when:

  • the Client uses the BlackLab Studio API or any Service involving the processing of personal data on the Client's behalf;
  • BlackLab Studio acts as a processor within the meaning of Art. 5(k) nFADP or Art. 28 GDPR.

2.2 Roles

RoleParty
Data ControllerClient
Data ProcessorBlackLab Studio

3. Subject Matter and Purposes

3.1 Categories of data

Categories of personal data processed may include:

  • identifiers (email, username);
  • audio files and associated metadata;
  • technical data (IP addresses, user-agent);
  • transactional data (order identifiers, history).

3.2 Categories of data subjects

  • Client's end users;
  • content creators;
  • Client's customers.

3.3 Purposes

BlackLab Studio processes Client Data exclusively for:

  • the performance of the Services as provided for in the ToS;
  • audio mastering and file processing;
  • the provision of the API and associated features;
  • technical support.

3.4 Duration

Processing lasts for the duration of the contractual relationship. Upon termination, data is deleted in accordance with Section 8.

4. Obligations of BlackLab Studio

BlackLab Studio undertakes to:

  1. Process data only on the Client's documented instructions (Art. 9(1) nFADP, Art. 28(3)(a) GDPR), unless required by law.
  2. Ensure confidentiality: ensure that persons authorized to process Client Data are bound by a confidentiality obligation.
  3. Implement appropriate technical and organizational measures in accordance with Art. 8 nFADP / Art. 32 GDPR (see Annex 1).
  4. Comply with the conditions for engaging sub-processors (Section 5).
  5. Assist the Client in fulfilling its obligations to data subjects (rights of access, rectification, erasure, portability).
  6. Assist the Client with data protection impact assessments (DPIAs), where applicable.
  7. Delete or return Client Data upon termination of the contractual relationship (Section 8).
  8. Provide the information necessary to demonstrate compliance and allow audits to be conducted.

5. Sub-processors

5.1 General authorization

The Client authorizes BlackLab Studio to engage sub-processors for the processing of Client Data, subject to compliance with the following conditions.

5.2 List

The current list of sub-processors is published in the Subprocessor List.

5.3 Notification

BlackLab Studio will notify the Client in writing (email or in-app notification) of any change to sub-processors at least 30 days before the change takes effect.

5.4 Right to object

The Client may object to a new sub-processor within 15 days of notification. If a reasonable objection is not resolved, either party may terminate the relevant contract.

5.5 Sub-processor obligations

BlackLab Studio imposes data protection obligations on its sub-processors that are at least equivalent to those in this DPA.

6. International Transfers

6.1 Principle

Client Data is hosted in Switzerland [TODO TO BE CONFIRMED: exact country and hosting provider].

6.2 Transfers outside Switzerland / EEA

In the event of data transfers to a country that does not provide an adequate level of protection:

  • BlackLab Studio applies the Standard Contractual Clauses (SCCs) of the European Commission (Decision 2021/914);
  • or any other transfer mechanism compliant with Art. 16 nFADP / Art. 46 GDPR.

6.3 Current transfers

Sub-processorCountryMechanism
PayPal (Europe) S.à r.l. et Cie, SCALuxembourg / USEU adequacy decision, PayPal BCRs
Google FontsUSSCCs / Adequacy decision

7. Security and Incidents

7.1 Security measures

See Annex 1 and the Security Statement.

7.2 Incident notification

In the event of a Security Incident affecting Client Data, BlackLab Studio will:

  • notify the Client without undue delay and in any event within 72 hours of becoming aware;
  • provide the following information: nature of the incident, categories and number of data subjects affected, likely consequences, measures taken or proposed;
  • assist the Client in its notification obligations to authorities and data subjects.

8. Return and Deletion

Upon termination of the contractual relationship or at the Client's request:

  • BlackLab Studio will return or delete Client Data, at the Client's choice, within 30 days;
  • backup copies will be deleted within 90 days, unless legally required to retain them;
  • anonymized audit logs may be retained in compliance with legal obligations.

9. Audits

9.1 Right to audit

The Client (or an independent third-party auditor appointed by the Client) may conduct a compliance audit of this DPA, subject to:

  • 30 days' written notice;
  • a confidentiality agreement;
  • not disproportionately disrupting BlackLab Studio's operations.

9.2 Frequency

One audit per calendar year, unless a Security Incident occurs or a supervisory authority requests one.

9.3 Costs

Audit costs are borne by the Client, unless the audit reveals a material breach by BlackLab Studio.

10. Liability

BlackLab Studio's liability under this DPA is subject to the limitations set out in the Terms of Service (Section 14).

11. Term and Termination

This DPA is effective for the duration of the contractual relationship between the Client and BlackLab Studio. Obligations relating to confidentiality, data deletion, and audits survive termination.

12. Governing Law and Jurisdiction

This DPA is governed by Swiss law. The exclusive place of jurisdiction is [TODO TO BE CONFIRMED: city, Switzerland], subject to mandatory provisions to the contrary.

13. Contact

Data protectionprivacy@blacklab.studio
General contactcontact@blacklab.studio
Supportsupport@blacklab.studio

Annex 1 — Technical and Organizational Measures

CategoryMeasures
EncryptionHTTPS/TLS 1.2+ for all communications, HSTS with preload
AuthenticationHashed passwords (bcrypt), signed JWT (HS256), MFA support
Access controlRoles (member → ops_admin), principle of least privilege
Network securityDocker ports bound to 127.0.0.1, restrictive CSP, CORS whitelist
Data protectionInput validation, path traversal protection, CSRF protection
LoggingImmutable audit logs (7 years), technical logs (90 days)
Rate limiting100 req/min per IP, 1,000 req/h per API key
Backups[TODO TO BE CONFIRMED: backup frequency and procedure]
Business continuity[TODO TO BE CONFIRMED: business continuity plan]
PersonnelConfidentiality obligations, restricted access

This Data Processing Agreement is an integral part of the BlackLab Studio Terms of Service.