Accord de traitement des données #
Date d’entrée en vigueur : 22 avril 2026
Le présent accord de traitement des données (« DPA ») fait partie intégrante du contrat entre le client (« Responsable du traitement ») et EthicsPortal (« Sous-traitant ») pour la fourniture de la plateforme de signalement EthicsPortal (« Service »).
Besoin d’une copie signée ? Contactez legal@ethicsportal.eu pour demander une version PDF contresignée de ce DPA pour vos archives.
1. Parties #
Responsable du traitement : L’organisation qui s’abonne à EthicsPortal et détermine les finalités et les moyens du traitement des données personnelles via le Service.
Sous-traitant : EthicsPortal, exploité par Yaroslav Shmarov, dont l’adresse enregistrée est ul. Obrzeżna 1A, 02-691 Varsovie, Pologne. Contact : legal@ethicsportal.eu .
2. Périmètre et finalité du traitement #
Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement uniquement aux fins de la fourniture du Service, ce qui inclut :
- La réception et le stockage des signalements de lanceurs d’alerte
- La mise en place d’une communication sécurisée entre les lanceurs d’alerte et les gestionnaires de dossiers
- La gestion du circuit de traitement des dossiers (assignation, suivi de statut, résolution)
- La génération de journaux d’audit et de registres de conformité
- L’envoi de notifications par e-mail transactionnel aux gestionnaires de dossiers et aux administrateurs de l’organisation
- Le traitement des paiements pour le Service
Le Sous-traitant ne traite les données personnelles à aucune autre fin que la fourniture du Service conformément aux instructions du Responsable du traitement.
3. Types de données personnelles traitées #
| Catégorie de données | Exemples | Chiffré au repos |
|---|---|---|
| Identité du lanceur d’alerte (facultatif) | Nom, adresse e-mail, numéro de téléphone | Oui (non déterministe) |
| Contenu du signalement | Description du problème signalé | Oui (non déterministe) |
| Contenu des communications | Messages entre le lanceur d’alerte et le gestionnaire du dossier | Oui (non déterministe) |
| Pièces jointes | Documents, images, fichiers audio et vidéo téléchargés par les lanceurs d’alerte | Stockés avec métadonnées supprimées |
| Codes d’accès | Codes uniques utilisés par les lanceurs d’alerte pour accéder à leurs signalements | Oui |
| Données des gestionnaires et administrateurs | Nom, adresse e-mail, rôle, appartenance à l’organisation | Non (données opérationnelles) |
| Entrées du journal d’audit | Horodatages, identité de l’acteur, type d’action | Non (registres critiques pour l’intégrité) |
| Données techniques | Adresses IP hachées à sens unique (non réversibles) uniquement pour la limitation de débit | Non applicable (hachage, pas de données personnelles) |
4. Catégories de personnes concernées #
- Lanceurs d’alerte / signalants — personnes qui soumettent des signalements via le portail (peuvent être anonymes)
- Gestionnaires de dossiers — personnes désignées par le Responsable du traitement pour recevoir et gérer les signalements
- Administrateurs de l’organisation — personnes qui gèrent le compte EthicsPortal et les paramètres du Responsable du traitement
5. Durée du traitement #
Le Sous-traitant traite les données personnelles pendant la durée de l’abonnement du Responsable du traitement au Service. À la résiliation :
- Le Responsable du traitement peut exporter ses données avant la fin de l’abonnement.
- Les données de signalement sont conservées selon la durée de conservation configurée par le Responsable du traitement (12, 24, 36 ou 60 mois après la clôture du signalement), puis supprimées définitivement.
- Sur demande écrite, le Sous-traitant supprimera toutes les données restantes du Responsable du traitement dans un délai de 30 jours suivant la résiliation de l’abonnement, sauf si la conservation est requise par la loi applicable.
6. Obligations du Sous-traitant #
6.1 Instructions de traitement #
Le Sous-traitant traite les données personnelles uniquement sur instructions documentées du Responsable du traitement, sauf si le droit de l’UE ou d’un État membre l’exige. Si une telle exigence légale survient, le Sous-traitant informera le Responsable du traitement avant le traitement, sauf si la loi interdit une telle notification.
6.2 Confidentialité #
Toutes les personnes autorisées à traiter des données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
6.3 Mesures de sécurité #
Le Sous-traitant met en œuvre et maintient les mesures techniques et organisationnelles décrites sur la page Sécurité , notamment :
- Chiffrement non déterministe au repos pour toutes les données sensibles de signalement
- Aucun stockage d’adresses IP (hachage à sens unique uniquement pour la limitation de débit)
- Suppression automatique des métadonnées des fichiers (EXIF, GPS, données d’auteur)
- Contrôle d’accès basé sur les rôles avec politiques d’autorisation Pundit
- Journal d’audit en ajout seul pour toutes les actions
- Limitation de débit sur tous les points d’accès publics du portail
- HTTPS/TLS pour toutes les connexions
- Protection CSRF
Les vulnérabilités et incidents de sécurité peuvent être signalés à security@ethicsportal.eu . Les demandes relatives aux droits des personnes concernées et au délégué à la protection des données peuvent être adressées à privacy@ethicsportal.eu ou dpo@ethicsportal.eu .
6.4 Sous-traitants ultérieurs #
Le Sous-traitant utilise les sous-traitants ultérieurs listés à la Section 8. Le Sous-traitant notifiera le Responsable du traitement au moins 30 jours avant l’ajout ou le remplacement d’un sous-traitant ultérieur. Le Responsable du traitement peut s’opposer à la modification ; si aucune résolution n’est trouvée, le Responsable du traitement peut résilier le contrat.
6.5 Droits des personnes concernées #
Le Sous-traitant aide le Responsable du traitement à répondre aux demandes des personnes concernées exerçant leurs droits en vertu du RGPD (accès, rectification, effacement, limitation, portabilité, opposition) en fournissant les capacités techniques nécessaires au sein du Service.
6.6 Notification de violation de données #
En cas de violation de données personnelles, le Sous-traitant notifiera le Responsable du traitement sans délai injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance de la violation. La notification inclura :
- Une description de la nature de la violation
- Les catégories et le nombre approximatif de personnes concernées affectées
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation
6.7 Analyses d’impact relatives à la protection des données #
Le Sous-traitant aide le Responsable du traitement dans la réalisation d’analyses d’impact relatives à la protection des données et de consultations préalables auprès des autorités de contrôle, dans la mesure où les activités de traitement du Sous-traitant nécessitent une telle assistance.
6.8 Suppression et restitution des données #
À la résiliation du Service, le Sous-traitant, au choix du Responsable du traitement :
- Restituera toutes les données personnelles au Responsable du traitement dans les formats d’export disponibles dans le Service au moment de la résiliation, y compris les exports PDF des dossiers et les pièces jointes associées, ou
- Supprimera toutes les données personnelles et confirmera la suppression par écrit
sauf si le droit de l’UE ou d’un État membre impose une conservation prolongée.
Si le Responsable du traitement a raisonnablement besoin d’un format de portabilité supplémentaire pour une migration ou une revue réglementaire, le Sous-traitant évaluera cette demande de bonne foi et, lorsque cela est techniquement possible, la fournira sur demande écrite distincte.
6.9 Droits d’audit #
Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité aux obligations de l’Article 28 du RGPD. Le Responsable du traitement peut réaliser des audits, y compris des inspections, directement ou par l’intermédiaire d’un auditeur mandaté, sous réserve d’un préavis raisonnable (au moins 30 jours) et pendant les heures normales de bureau. Le Sous-traitant coopérera à ces audits.
6.10 Aucun traitement par IA ou LLM des données personnelles #
Le Sous-traitant s’engage à ce que les données personnelles traitées dans le cadre du présent DPA — y compris le contenu des signalements, l’identité des lanceurs d’alerte, les messages des gestionnaires, les pièces jointes et les entrées du journal d’audit — ne soient transmises à aucun grand modèle de langage, service d’IA générative ni classificateur fondé sur l’IA, qu’il soit exploité par le Sous-traitant ou par un tiers (y compris, sans s’y limiter, OpenAI, Anthropic, Google et Mistral). Le Service n’effectue ni catégorisation, ni tri, ni synthèse, ni traduction, ni suggestion de réponse par IA sur des données personnelles. Le Responsable du traitement peut s’appuyer sur cet engagement pour évaluer les obligations relatives à la décision automatisée prévue à l’article 22 du RGPD et pour déterminer le périmètre de la divulgation des sous-traitants dans ses propres notices d’information et analyses d’impact (AIPD). Toute modification de cet engagement constituerait une modification substantielle du Service et serait notifiée au Responsable du traitement conformément aux articles 6.4 (Sous-traitants ultérieurs) et 11 (Durée et résiliation).
La traduction automatique statistique auto-hébergée, qui s’exécute entièrement sur une infrastructure contrôlée par le Sous-traitant (aucune donnée ne quitte cette infrastructure, aucun appel d’inférence externe), n’entre pas dans le champ de cette restriction et peut être utilisée pour traduire les messages dès lanceurs d’alerte ou des gestionnaires lorsque le Responsable du traitement l’a activée.
Cet engagement fait l’objet d’une revue annuelle. La date « Dernière mise à jour » figurant en tête du présent DPA reflète la confirmation la plus récente. Si, à un moment donné, le Sous-traitant entend introduire un traitement par IA ou LLM portant sur des données personnelles relevant du présent DPA, il le notifiera au Responsable du traitement conformément à l’article 6.4, et la modification ne prendra effet qu’à l’expiration du préavis qui y est prévu.
6.11 Clés de chiffrement gérées par le client (BYOK) #
Le Service ne prend pas en charge les clés de chiffrement gérées par le client — qu’elles soient désignées comme bring-your-own-key (BYOK), hold-your-own-key (HYOK) ou intégration avec un service externe de gestion de clés (KMS). Il s’agit d’un choix architectural délibéré, et non d’une limitation opérationnelle, qui repose sur deux garanties de confidentialité et de cycle de vie que le Sous-traitant prend par ailleurs dans le présent DPA :
- Frontière des clés entre lanceur d’alerte et gestionnaire. Les données personnelles couvertes par le présent DPA sont chiffrées au repos à l’aide de clés gérées par le Sous-traitant et conservées au sein du Service. La frontière de chiffrement qui protège l’identité du lanceur d’alerte et le contenu du signalement vis-à-vis de tiers est la même que celle qui les protège vis-à-vis des propres administrateurs informatiques du Responsable du traitement. Confier la garde des clés au Responsable du traitement reviendrait à déplacer cette frontière dans l’environnement du Responsable du traitement, où les administrateurs côté Responsable du traitement deviendraient, en principe, capables de déchiffrer l’identité du lanceur d’alerte — inversant le modèle de confidentialité exigé par Art. 16 de la Directive 2019/1937.
- Garantie de suppression de bout en bout. La suppression fondée sur la durée de conservation (Art. 5(1)(e) RGPD) et la suppression contractuelle à la résiliation (article 6.8 ci-dessus) reposent sur la capacité du Sous-traitant à détruire cryptographiquement et physiquement les données chiffrées indépendamment du Responsable du traitement. Une clé détenue par le Responsable du traitement créerait une catégorie de défaillance dans laquelle le Sous-traitant ne pourrait, par lui seul, garantir une suppression complète dans le délai contractuel.
Le dispositif de chiffrement au repos du Sous-traitant, les propriétés de chiffrement non déterministe et l’isolation des clés sont documentés sur la page Sécurité . Toute modification de cette position constituerait une modification substantielle du Service et serait notifiée au Responsable du traitement conformément aux articles 6.4 (Sous-traitants ultérieurs) et 11 (Durée et résiliation).
7. Obligations du Responsable du traitement #
Le Responsable du traitement est responsable de :
- S’assurer d’une base légale pour le traitement des données personnelles via le Service
- Fournir les avis de confidentialité requis aux personnes concernées (EthicsPortal affiche un avis de confidentialité sur le formulaire de soumission du portail)
- Configurer des durées de conservation appropriées au sein du Service
- Désigner les gestionnaires et administrateurs autorisés
- Répondre aux demandes des personnes concernées, avec l’assistance du Sous-traitant telle que décrite ci-dessus
8. Sous-traitants ultérieurs #
Les sous-traitants ultérieurs suivants sont autorisés à la date d’entrée en vigueur du présent DPA :
| Sous-traitant ultérieur | Finalité | Localisation | Garanties |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement de l’application, base de données et stockage des pièces jointes | Nuremberg, Allemagne (UE) | Données traitées entièrement au sein de l’UE |
| Stripe Payments Europe, Ltd | Traitement des paiements | Irlande (UE) | Aucun identifiant de paiement stocké par le Sous-traitant ; Stripe est certifié PCI DSS Niveau 1 |
| Mailjet (Sinch) | Envoi d’e-mails transactionnels | France (UE) | Données traitées entièrement au sein de l’UE |
| Cloudflare, Inc. | CDN et diffusion en périphérie pour le site de présentation | États-Unis | Les transferts, lorsqu’ils impliquent des données personnelles, reposent sur les Clauses Contractuelles Types et des garanties supplémentaires |
| AppSignal B.V. | Suivi des erreurs et supervision de performance applicative pour les interfaces administrateur et gestionnaire | Pays-Bas (UE) | Données traitées entièrement au sein de l’UE ; les adresses IP dès lanceurs d’alerte ne sont jamais journalisées |
| Crisp IM SARL | Chat intégré pour les gestionnaires et support de vérification d’identité | France (UE) | Chargé uniquement dans le portail gestionnaire ; pas chargé sur le site de présentation ni sur les pages destinées aux lanceurs d’alerte |
La mesure d’audience marketing (Cloudflare Web Analytics) est sans cookie et ne traite pas de données personnelles.
Aucun sous-traitant IA ou LLM. Aucun grand modèle de langage, service d’IA générative ni classificateur fondé sur l’IA n’est sous-traitant ultérieur du Sous-traitant. Les données personnelles traitées dans le cadre du présent DPA ne sont transmises à OpenAI, Anthropic, Google, Mistral ni à aucun autre fournisseur d’inférence IA. Voir l’article 6.10.
9. Transferts internationaux de données #
Les données centrales des signalements, y compris le contenu des dossiers et le stockage des pièces jointes, sont hébergées au sein de l’Union européenne (Hetzner, Allemagne). Le traitement des paiements a lieu dans l’UE (Stripe) et l’e-mail transactionnel est délivré depuis l’UE (Mailjet, France).
Les requêtes vers le site de présentation sont acheminées via Cloudflare (CDN, États-Unis), qui traite des métadonnées réseau (adresses IP des visiteurs et en-têtes de requêtes) pour la diffusion de contenu et la protection DDoS. Aucun signalement, donnée de gestionnaire ou donnée de compte n’est partagé avec Cloudflare. Les transferts reposent sur les Clauses Contractuelles Types et des garanties supplémentaires. Le portail de signalement et le portail des gestionnaires ne chargent pas Cloudflare. AppSignal (Pays-Bas) et Crisp (France) sont basés dans l’UE ; Crisp n’est chargé que dans le portail gestionnaire.
10. Responsabilité #
La responsabilité de chaque partie en vertu du présent DPA est soumise àux limitations de responsabilité prévues dans le contrat de service principal entre les parties. Dans toute la mesure permise par la loi, les réclamations découlant du présent DPA ou s’y rapportant font partie du même plafond agrégé de responsabilité applicable au Service.
11. Durée et résiliation #
Le présent DPA prend effet lorsque le Responsable du traitement commence à utiliser le Service et reste en vigueur aussi longtemps que le Sous-traitant traite des données personnelles pour le compte du Responsable du traitement. Les obligations du présent DPA survivent à la résiliation dans la mesure nécessaire pour achever la suppression ou la restitution des données personnelles.
12. Droit applicable #
Le présent DPA est régi par le droit de la République de Pologne, sans tenir compte des principes de conflit de lois. Les tribunaux compétents de Varsovie, Pologne, ont compétence exclusive pour les litiges découlant du présent DPA.
Contact #
Pour toute question concernant ce DPA ou pour demander une copie signée :
EthicsPortal Yaroslav Shmarov ul. Obrzeżna 1A, 02-691 Varsovie, Pologne legal@ethicsportal.eu
Dernière mise à jour: