Politique de Continuité d'Activité (PCA)

Préambule

La présente Politique de Continuité d'Activité (« PCA ») décrit les mesures organisationnelles, techniques et juridiques mises en œuvre par Axel REGNOULT, exerçant sous le nom commercial Axelo (SIRET 895 214 989 00017 — 128 rue de la Boétie, 75008 Paris, France), pour assurer la continuité des Services proposés sur le site https://www.web-agency.app, y compris en cas d'incident majeur ou de défaillance du prestataire.

La présente PCA constitue un document de confiance, en particulier à destination des Clients professionnels (B2B), et complète les CGV, les CGA SaaS et la DPA.

Article 1 — Nature de l'engagement (moyens, non résultat)

Les engagements pris par Axelo au titre de la présente PCA constituent un engagement de moyens, et non une obligation de résultat. Axelo met en œuvre des moyens raisonnables, proportionnés à la nature et à la taille d'une micro-entreprise individuelle, pour garantir la disponibilité, l'intégrité et la résilience des Services.

Aucune garantie contractuelle de taux de disponibilité (uptime SLA) n'est souscrite, sauf accord écrit distinct.

Article 2 — Infrastructure et résidence des données

L'infrastructure d'Axelo repose sur Google Cloud Platform via Firebase (Firebase Hosting, Firebase App Hosting, Firestore, Cloud Storage, Cloud Functions), dans la région europe-west4 (Eemshaven, Pays-Bas — Union européenne).

Cette région bénéficie d'une redondance multi-zone native : les données et le compute sont répliqués en temps réel entre au moins deux zones de disponibilité physiquement séparées au sein du même datacenter régional, garantissant une résilience automatique face à une panne matérielle ou réseau localisée.

Une exception subsiste pour l'extension Stripe firestore-stripe-payments, hébergée en europe-west1 (Saint-Ghislain, Belgique), faute de support europe-west4 par la validation Google de cette extension. Le détail de la stratégie de zone est précisé dans la Politique de Confidentialité.

Article 3 — Sauvegardes et conservation

Axelo met en place une politique de sauvegardes garantissant l'intégrité et la restaurabilité des données des Clients :

• Sauvegardes automatiques quotidiennes de l'ensemble des bases de données et des fichiers utilisateurs, chiffrées au repos (AES-256 côté Google Cloud) ;
• Rétention : trente (30) jours glissants, avec rotation automatique. Les sauvegardes antérieures à trente jours sont écrasées de manière irréversible ;
• Isolation : les sauvegardes sont stockées dans un projet Google Cloud distinct du projet de production, avec des permissions IAM dédiées ;
• Tests de restauration : un test de restauration partielle est réalisé au moins une fois par trimestre.

Article 4 — RPO et RTO

Axelo s'engage à mettre en œuvre les moyens raisonnables pour respecter les objectifs indicatifs suivants en cas d'incident :

• RPO (Recovery Point Objective) — vingt-quatre (24) heures — quantité maximale de données potentiellement perdues entre la dernière sauvegarde exploitable et le moment de l'incident ;
• RTO (Recovery Time Objective) — quarante-huit (48) heures — durée maximale visée entre la détection d'un incident majeur et la reprise du service dans des conditions nominales.

Ces objectifs sont des cibles internes d'engagement de moyens, et non des engagements contractuels de résultat (cf. article 1).

Article 5 — Procédure de bascule en cas d'incident majeur

En cas d'incident majeur affectant la disponibilité ou l'intégrité des Services, la procédure suivante est appliquée :

• Détection : alertes automatisées (monitoring Google Cloud, Sentry) + supervision humaine en heures ouvrées ;
• Qualification : évaluation de la gravité, du périmètre et de la durée probable de l'incident ;
• Communication : notification aux Clients impactés par courrier électronique et / ou bannière sur le site, dans un délai raisonnable et au moins toutes les vingt-quatre (24) heures pendant la durée de l'incident ;
• Bascule technique : redéploiement automatique multi-zone par Google Cloud ; en cas d'indisponibilité régionale prolongée, déclenchement de la procédure de restauration depuis sauvegarde dans une région UE alternative (europe-west1 en premier secours) ;
• Notification RGPD en cas de violation de données à caractère personnel : suivant la procédure définie à l'article 9 du DPA (72 heures) ;
• Retour d'expérience : un compte-rendu d'incident est adressé aux Clients professionnels concernés dans les quinze (15) jours suivant le retour à la normale.

Article 6 — Plan de reprise en cas de disparition du prestataire

Axelo étant exploité par une entreprise individuelle, un dispositif spécifique est prévu pour garantir la continuité des Services en cas de disparition, d'incapacité durable ou de cessation d'activité de l'exploitant.

Un document scellé est déposé auprès d'un notaire ou d'un avocat de confiance, désigné formellement, contenant les éléments suivants :

• les credentials d'administration Firebase / Google Cloud permettant la reprise de l'infrastructure ;
• les procédures de transfert des noms de domaine (web-agency.app et associés), incluant la liste des registrars et des contacts ;
• les coordonnées du repreneur désigné (personne physique ou morale tiers de confiance), chargé d'assurer, dans un premier temps, la continuité opérationnelle minimale du service (maintien des Services en l'état, gestion des demandes RGPD, restitution des données) ;
• les instructions de notification à adresser aux Clients actifs dans un délai maximum de trente (30) jours après l'événement déclencheur.

Ce document est mis à jour au moins une fois par an, et après toute modification substantielle de l'infrastructure ou des prestataires.

Article 7 — Audit annuel et tests de continuité

Axelo procède, au moins une fois par an, à un audit interne de continuité comprenant :

• la vérification de l'intégrité des sauvegardes et la réalisation d'un test de restauration sur un échantillon représentatif ;
• la revue de la documentation de la PCA et du document scellé (cf. article 6) ;
• la mise à jour des contacts d'urgence (notaire / avocat, repreneur, prestataires clés) ;
• la revue des éventuels incidents survenus dans l'année et des actions correctives mises en place.

Un rapport d'audit synthétique peut être communiqué, sur demande écrite, aux Clients professionnels signataires de la DPA, dans le respect des obligations de confidentialité des autres Clients (cf. DPA art. 10).

Article 8 — Exclusions et force majeure

Sont expressément exclus du périmètre de la présente PCA et ne peuvent engager la responsabilité d'Axelo :

• les cas de force majeure au sens de l'article 1218 du Code civil : événement échappant au contrôle d'Axelo, qui ne pouvait être raisonnablement prévu lors de la conclusion du contrat et dont les effets ne peuvent être évités par des mesures appropriées (catastrophe naturelle, guerre, attentat, épidémie, grève générale, décision d'une autorité publique, etc.) ;
• les faits du tiers, notamment les attaques informatiques d'un niveau de sophistication tel qu'elles n'ont pas pu être prévenues malgré les mesures techniques et organisationnelles mises en œuvre (cf. DPA art. 6) ;
• les défaillances prolongées de Google Cloud Platform, en particulier toute indisponibilité régionale de europe-west4 et / ou europe-west1 dépassant une durée de cinq (5) jours consécutifs ;
• les faits du Client ou de ses utilisateurs autorisés (mauvais usage, suppression accidentelle non récupérable au-delà de la fenêtre de 30 jours, violation des CGU / CGA SaaS) ;
• les opérations de maintenance planifiée notifiées préalablement.