Mentions légales

Accord de traitement des données

Ce DPA définit comment ZORC AB traite les données personnelles pour votre compte lorsque vous utilisez sSystm. Il reflète l'architecture BYOC : pour vos données métier, vous êtes responsable du traitement et elles restent dans votre propre cloud.

Dernière mise à jour :

01Rôles et modèle BYOC

Cet accord de traitement des données ("DPA") fait partie des Conditions d'utilisation entre vous (le "Responsable du traitement") et ZORC AB, n° org. 559481-8857, Suède (le "Sous-traitant"), et s'applique dans la mesure où le Sous-traitant traite des données personnelles pour le compte du Responsable en vertu de l'article 28 du RGPD.

Contrairement à un DPA SaaS typique, sSystm ne détient pas vos données métier dans une base centrale. Vos données de workspace résident dans une base dédiée sur votre propre compte Cloudflare. Vous êtes responsable du traitement et détenteur de l'infrastructure ; sSystm ne traite ces données que via un accès limité, révocable et délimité par OAuth. Cloudflare est sous-traitant / fournisseur d'infrastructure.

02Objet, nature et finalité

  • Objet : fourniture de la plateforme sSystm et des modules que vous activez.
  • Durée : tant que sSystm a accès à votre compte Cloudflare, jusqu'à révocation OAuth ou résiliation.
  • Nature et finalité : hébergement, structuration, consultation et exploitation des données de workspace selon vos instructions, y compris les actions assistées par IA que vous initiez ou approuvez.
  • Types de données : ce que vous choisissez de stocker — généralement coordonnées professionnelles, données de projets et documents, informations de calendrier.
  • Personnes concernées : vos clients, contacts, personnel et autres dont vous saisissez les données.

03Traitement sur instruction

Le Sous-traitant ne traite les données personnelles que sur les instructions documentées du Responsable — y compris celles intégrées aux fonctionnalités de la plateforme et à vos actions — sauf obligation légale, auquel cas il vous informera sauf interdiction légale. Le personnel autorisé est lié par la confidentialité.

04BYOC comme minimisation

L'architecture BYOC est elle-même un contrôle de protection des données. Comme vos données métier résident physiquement sur votre propre compte Cloudflare et non dans un stockage central sSystm, l'exposition du Sous-traitant à vos données est minimisée par conception, et vous conservez un contrôle direct et indépendant de l'infrastructure sous-jacente et la possibilité de couper l'accès à tout moment.

05Mesures de sécurité

Le Sous-traitant met en œuvre des mesures techniques et organisationnelles appropriées, notamment :

  • Privilège minimum — accès via des scopes OAuth Cloudflare fins, chacun étiqueté par risque.
  • Identifiants chiffrés — jetons Cloudflare chiffrés au repos en AES-256-GCM avec IV aléatoire par jeton.
  • Isolation des locataires — chaque organisation a sa propre base sur son propre compte ; requêtes et espaces de noms isolés par organisation.
  • Authentification sans mot de passe — connexion uniquement via OAuth Cloudflare.
  • Option juridiction UE — vous pouvez fixer votre base à une juridiction UE via la garantie D1 de Cloudflare.
  • Contrôle humain — opérations d'infrastructure proposées par l'IA non prouvées en lecture seule mises en attente jusqu'à approbation humaine.

06Sous-traitants

Le Responsable autorise le Sous-traitant à faire appel aux sous-traitants listés sur notre page des sous-traitants — actuellement Cloudflare (infrastructure/hébergement/IA), Resend (e-mail) et Anthropic (modèles Claude via l'AI Gateway Cloudflare). Le Sous-traitant impose à chaque sous-traitant des obligations au moins aussi protectrices que ce DPA, avec préavis raisonnable en cas d'ajout ou remplacement.

07Transferts internationaux

Lorsque des données sont transférées hors de l'EEE, les parties s'appuient sur les garanties du chapitre V du RGPD, y compris les clauses contractuelles types (CCT) de la Commission européenne. Choisir la juridiction UE à la connexion maintient votre base dans l'infrastructure UE.

08Notification de violation

Le Sous-traitant notifiera le Responsable sans retard injustifié après avoir pris connaissance d'une violation affectant les données qu'il traite pour le compte du Responsable, avec les informations raisonnablement nécessaires pour les obligations des articles 33–34 du RGPD. Grâce à l'isolation des locataires, un incident est contenu à un seul locataire par construction.

09Assistance et audit

Compte tenu de la nature du traitement, le Sous-traitant assiste le Responsable pour les demandes des personnes concernées et les obligations des articles 32–36 du RGPD. Il fournit les informations raisonnablement nécessaires pour démontrer la conformité à l'article 28 et permet des audits sur préavis raisonnable et sous confidentialité.

10Restitution et suppression

Comme vos données métier sont sur votre propre compte Cloudflare, la fin de la relation ne nécessite pas de « restituer » vos données — elles n'ont jamais quitté votre compte. Révoquer OAuth exclut le Sous-traitant ; votre base reste chez vous.

À la résiliation, le Sous-traitant supprime ou restitue les données centrales limitées qu'il détient (identité, adhésion, métadonnées) conformément à la politique de confidentialité, sauf obligation légale de conservation.

11Durée et primauté

Ce DPA est en vigueur tant que les Conditions le sont et que le Sous-traitant a accès à votre compte. En cas de conflit sur la protection des données, ce DPA prévaut sur les Conditions. Pour un DPA contresigné ou les CCT en instrument séparé, contactez support@ssystm.com.