Accord de traitement des données (DPA)
Dernière mise à jour : 25 avril 2026 — traduction provisoire.
1. Objet
Le présent DPA régit le traitement des données personnelles confiées à Quintarthai (sous-traitant) par le client (responsable du traitement) lors de l'utilisation d'IMS, conformément au RGPD article 28 et à la LPRPDE.
2. Catégories de personnes concernées
- Personnel autorisé du client (utilisateurs nommés du tableau de bord).
- Personnes mentionnées dans les flux d'incidents publics ingérés (citations publiques uniquement).
3. Catégories de données
- Identifiants utilisateurs : nom, courriel, fonction.
- Données opérationnelles : journaux d'accès, requêtes effectuées, briefings téléchargés.
- Aucune donnée sensible au sens du RGPD article 9.
4. Sous-traitants ultérieurs
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Contabo | Hébergement applicatif | Allemagne (UE) |
| Hostinger | Hébergement marketing | Inde |
| Let's Encrypt | Certificats TLS | États-Unis |
| Cloudflare Turnstile | CAPTCHA formulaires | États-Unis (clauses CCT) |
5. Sécurité (article 32)
TLS 1.3, HSTS, en-têtes CSP stricts, jetons HttpOnly, MFA, journalisation des accès, sauvegardes chiffrées. Voir la méthodologie de sécurité pour le détail.
6. Notification de violation (article 33)
Quintarthai notifie le client sous 72 heures de toute violation de données personnelles susceptible de présenter un risque.
7. Transferts internationaux (chapitre V)
Clauses contractuelles types signées avec tous les sous-traitants situés hors UE. Documents disponibles sur demande à dpa@quintarthai.com.
8. Audits
Le client peut auditer les contrôles techniques et organisationnels une fois par an avec un préavis de 30 jours.
9. Fin du traitement
À la fin du contrat, les données du client sont supprimées sous 30 jours ou restituées à sa demande au format JSON/CSV.
Traduction provisoire. Version anglaise faisant autorité : /ims/dpa.