Confiance #
Tout ce dont un acheteur, un DPO ou une équipe juridique a besoin pour évaluer EthicsPortal.
Dernière mise à jour : 2026-05-17.
Partie contractante #
- Nom du service : EthicsPortal
- Exploitant : Yaroslav Shmarov
- Adresse enregistrée : ul. Obrzeżna 1A, 02-691 Varsovie, Pologne
- Numéro fiscal (NIP) : 5272755790
- Signataire autorisé pour les contrats commerciaux, DPA et questionnaires de sécurité : Yaroslav Shmarov
- Contact commercial : support@ethicsportal.eu
- Contact sécurité : security@ethicsportal.eu
- Contact protection des données : privacy@ethicsportal.eu
Les justificatifs d’immatriculation et les documents contractuels contresignés sont fournis sur demande pendant la validation par le service achats.
Résidence des données et relation de traitement #
Dans le modèle d’abonnement standard, le client est responsable du traitement et EthicsPortal agit comme sous-traitant pour les données de signalement.
Les données centrales des signalements — application, base de données, stockage de fichiers — sont hébergées à Nuremberg, en Allemagne, chez Hetzner . Les e-mails transactionnels passent par Mailjet (France). Le site de présentation utilise un seul sous-traitant ultérieur nommé hors UE, Cloudflare (CDN), listé en intégralité sur la page sous-traitants ultérieurs . Le portail de signalement et le portail des gestionnaires ne chargent pas Cloudflare.
Personnel du prestataire et continuité #
Personnel. EthicsPortal n’a ni salariés ni prestataires. Toutes les données client sont traitées uniquement par l’exploitant nommé. Les contrôles côté prestataire portant sur le personnel — vérification des antécédents, formation sécurité, processus d’arrivée et de départ — se réduisent donc à la synthèse documentée des accès privilégiés, disponible lors de la validation par le service achats.
Continuité. En cas d’incapacité de l’exploitant ou de cessation d’activité, les organisations clientes ont droit à un export complet et lisible par machine de leurs données ainsi qu’à une période de retrait définie pour migrer vers un autre prestataire. Les modalités spécifiques sont énoncées dans l’Accord de traitement des données et précisées dans les documents disponibles lors de la validation par le service achats.
Statut de certification #
EthicsPortal ne revendique actuellement sur ce site ni ISO 27001, ni SOC 2, ni certification équivalente. Aucun test d’intrusion externe indépendant n’est actuellement enregistré. Si l’un ou l’autre évolue, le nom de la certification (ou le périmètre du test, sa date et le résumé des correctifs) sera publié ici.
Cycle de vie opérationnel #
| Question | Réponse |
|---|---|
| Disponibilité en direct | Publiée sur secure.ethicsportal.eu/up pour les surfaces couvertes. Voir l’Accord de niveau de service pour la méthodologie de mesure et les exclusions. |
| Cycle de vie des sessions et des accès | Les sessions expirent automatiquement après 14 jours d’inactivité et sont nettoyées la nuit. Les utilisateurs peuvent à tout moment consulter et révoquer leurs propres sessions. Chaque session enregistre last_seen_at afin que les appareils inactifs soient identifiables. La désactivation d’un membre coupe l’accès au niveau de la requête, retire les signalements en cours qui lui étaient assignés et supprime ses participations, tout en préservant l’historique d’audit. Voir Sécurité
. |
| Sauvegardes et restauration | Sauvegardes PostgreSQL chiffrées et quotidiennes vers Hetzner Object Storage (UE, conservation 7 jours), complétées par des instantanés serveur Hetzner (conservation 7 jours). RPO 24 heures, RTO 4 heures. Dernier exercice de restauration : 2026-05-14. Voir Sécurité . |
| Gestion des dépendances et des correctifs | SCA en continu en CI (Brakeman, bundler-audit, importmap audit) et mises à jour Dependabot hebdomadaires. Aucun composant en fin de vie n’est déployé. Voir Sécurité . |
| Export et suppression | L’export PDF d’un dossier est disponible dans l’application pour chaque dossier (description, messages, journal d’audit, pièces jointes). Un export en masse, lisible par machine, de l’ensemble des données de l’organisation est disponible sur demande lors de la sortie contractuelle. Les engagements contractuels figurent dans l’Accord de traitement des données . |
| Objectifs de reprise | Voir Accord de niveau de service . |
Positions contractuelles #
Source unique de vérité pour les questions contractuelles que les services achats des entreprises posent le plus souvent. Chaque ligne renvoie au document qui régit le point.
| Élément | Position d’EthicsPortal |
|---|---|
| Plafond global de responsabilité | Douze mois de redevances payées au cours des 12 mois précédant l’événement à l’origine de la réclamation (CGU §11 ). L’Accord de traitement des données, l’Accord de niveau de service et la garantie de non-contrefaçon relèvent tous du même plafond global. |
| Garantie de non-contrefaçon de propriété intellectuelle | L’exploitant défendra le Responsable du traitement contre les réclamations de tiers pour atteinte au droit d’auteur, à la marque ou au brevet résultant de l’utilisation du Service conformément aux CGU, sous réserve des exclusions standard (modifications du client, utilisation non autorisée, combinaisons non autorisées) et du plafond global de responsabilité. Voir CGU §12 . |
| Délai de notification de violation | Sans retard injustifié et en tout état de cause dans les 72 heures suivant la prise de connaissance (DPA §6.6 ), conformément à Art. 33 RGPD. Aucun délai plus court n’est offert contractuellement pour les offres en libre-service, car des délais plus courts présentent un risque de notification prématurée et entrent en conflit avec le seuil d’évaluation médico-légale exigé par le RGPD. |
| Droits d’audit | Conformément à Art. 28(3)(h) RGPD, avec un préavis d’au moins 30 jours et pendant les heures normales de bureau (DPA §6.9 ). Le Sous-traitant répondra à des questionnaires de sécurité écrits en lieu et place d’un audit sur site, lorsque l’examen du Responsable du traitement peut être satisfait ainsi. |
| Crédits de service | Les offres en libre-service ne prévoient pas de crédits de service monétaires. Les recours en cas d’indisponibilité substantielle ou répétée sont régis par le plafond global de responsabilité (SLA ). |
| Clés de chiffrement gérées par le client (BYOK / KMS externe) | Non prises en charge. Les clés gérées par le Sous-traitant sont nécessaires pour maintenir la séparation des clés entre lanceur d’alerte et destinataire ainsi que la garantie de suppression de bout en bout. Voir DPA §6.11 . |
| Séquestre de code source | Non proposé. La continuité est assurée par les dispositions d’incapacité de l’exploitant du plan de continuité d’activité et par les droits d’exportation et de suppression des données du Responsable du traitement au titre de DPA §6.8 . |
| Notification de changement de sous-traitant ultérieur | Au moins 30 jours avant l’ajout ou le remplacement d’un sous-traitant ultérieur ; le Responsable du traitement peut s’y opposer et résilier en l’absence d’accord (DPA §6.4 ). |
| Export et suppression des données en fin de contrat | Export PDF en libre-service dans le produit, plus export en masse lisible par machine sur demande lors de la sortie, plus suppression dans les 30 jours suivant la résiliation de l’abonnement sur demande écrite (DPA §6.8 ). |
| Assurance responsabilité cyber | À l’étude. Le montant de la couverture et l’assureur seront publiés ici lorsqu’ils seront en place. |
| Test d’intrusion externe indépendant | Aucun n’est actuellement enregistré. Le périmètre, la date et le résumé des corrections seront publiés ici lorsqu’un test sera réalisé. |
| Droit applicable et juridiction | Droit polonais ; tribunaux de Varsovie (CGU §13 ). Les consommateurs de l’UE conservent le droit d’engager une procédure dans leur pays de résidence. |
Ces positions sont reflétées dans les Conditions générales d’utilisation , l’Accord de traitement des données et l’Accord de niveau de service publiés. Aucune dérogation substantielle n’est accordée pour les offres en libre-service.
Documents publics #
Tout ce dont un évaluateur achats a besoin est publié ouvertement. Regroupé selon la fonction du document.
Contractuel #
Ce qui régit la relation entre EthicsPortal et le client.
| Document | Objet |
|---|---|
| Conditions générales d’utilisation | Conditions d’abonnement, résiliation, remboursements |
| Accord de traitement des données | Conditions de sous-traitance au titre de l’art. 28 du RGPD |
| Accord de niveau de service | Objectif de disponibilité et mesure |
| Politique de confidentialité | Traitement des données personnelles |
Opérationnel #
Comment le service fonctionne au quotidien et qui d’autre y participe.
| Document | Objet |
|---|---|
| Sécurité | Mesures techniques et organisationnelles |
| Sous-traitants ultérieurs | Sous-traitants nommés et leur périmètre |
| Registre des incidents | Incidents importants affectant les données personnelles |
| Accessibilité | État de conformité à l’EAA |
Référence directive #
Comment EthicsPortal cartographie et interprète la Directive (UE) 2019/1937.
| Document | Objet |
|---|---|
| Couverture de la Directive 2019/1937 | Cartographie fonctionnalité–article de la Directive 2019/1937 |
| Interprétations de la Directive 2019/1937 | Positions interprétatives sur les dispositions ambiguës |
| Législations nationales par pays | Transpositions nationales et autorités compétentes |
| Sanctions par pays | Amendes et responsabilité pénale dans les États membres |
Disponible pendant la validation par le service achats #
Les documents suivants sont partagés en diffusion contrôlée plutôt que publiés en libre accès :
- DPA contresigné
- Extrait d’immatriculation et preuve NIP / fiscale
- Questionnaire de sécurité complété
- Synthèse des accès privilégiés à la production
- Synthèse de la procédure de réponse aux incidents
- Réponses sur la continuité d’activité, la résiliation et la restitution des données client
- Synthèse du test d’intrusion externe (lorsqu’il est enregistré)
Pour les demander, écrivez à support@ethicsportal.eu . Pour les questions de revue de sécurité, écrivez à security@ethicsportal.eu .
Dernière mise à jour: