Accord de traitement des données (DPA)

Modèle conforme RGPD — Dernière mise à jour : 2026-04-14

Le présent Accord de traitement des données (ci-après « DPA ») fait partie intégrante des Conditions Générales d'Utilisation de Sentinel Briefing et s'applique chaque fois que Sentinel Briefing (« le sous-traitant ») traite des données à caractère personnel pour le compte du Client (« le responsable du traitement »).

1. Définitions

Les termes employés dans ce DPA suivent les définitions du Règlement Général sur la Protection des Données (UE 2016/679, RGPD) : « données à caractère personnel », « traitement », « responsable du traitement », « sous-traitant », « personne concernée », « violation de données ».

2. Objet et finalités du traitement

Le sous-traitant traite les données pour fournir le service de veille stratégique automatisée : collecte de sources publiques choisies par le Client, analyse par IA, génération de digests, gestion des utilisateurs et des accès, facturation.

3. Catégories de données et personnes concernées

Catégorie	Données	Personnes concernées
Identification	nom, prénom, email, identifiant interne	utilisateurs du Client
Connexion	logs d'authentification, IP, user-agent, session cookie	utilisateurs du Client
Contenu	profils de veille, sources, annotations, notes oneshot	utilisateurs du Client
Facturation	plan, statut abonnement, identifiants Stripe (pas de carte)	responsable facturation du Client

4. Durée du traitement

Le traitement dure tant que le Client utilise le service. À la résiliation, les données personnelles sont anonymisées dans un délai de 30 jours. Les articles collectés sont purgés selon la politique de rétention configurée (par défaut 12 mois — cf. ARTICLES_RETENTION_DAYS).

5. Sous-traitants ultérieurs

Le sous-traitant fait appel aux sous-traitants suivants, dans le respect des obligations RGPD (DPA en cascade signés avec chacun) :

Sous-traitant	Service	Localisation
Hetzner Online GmbH	Hébergement (serveurs, base de données)	Allemagne (UE)
Anthropic PBC	Modèles IA (analyse, résumés)	États-Unis (Standard Contractual Clauses)
Tavily Inc.	Recherche web (découverte sources)	États-Unis (Standard Contractual Clauses)
Brave Software	Recherche web (fallback)	États-Unis (Standard Contractual Clauses)
Stripe Payments Europe	Facturation et paiement	Irlande (UE)

Le Client est informé par avance de toute modification de cette liste. Il peut s'y opposer dans un délai de 30 jours.

6. Mesures de sécurité

Chiffrement TLS 1.3 sur toutes les communications
HSTS preload activé sur le domaine
Cookies de session HttpOnly + Secure + SameSite=Lax
Content Security Policy stricte (CSP)
Isolation multi-tenant par client_id (RLS applicatif)
Rate limiting sur les endpoints sensibles et l'API publique
Logs structurés (JSON), supervision Sentry/GlitchTip optionnelle
Sauvegardes chiffrées de la base de données
Politique de rétention configurable et purge automatique

7. Droits des personnes concernées

Le Client peut exercer les droits RGPD de ses utilisateurs directement depuis l'application :

Article 15 (accès) et Article 20 (portabilité) : GET /api/me/export retourne un JSON complet
Article 17 (effacement) : DELETE /api/me anonymise immédiatement
Article 7 (consentement) : bandeau cookies présent à la première visite, refus en un clic
Article 16 (rectification) : via le module Compte des paramètres utilisateur

8. Notification de violation

En cas de violation de données, le sous-traitant informe le Client dans un délai de 72 heures, conformément à l'article 33 du RGPD, par email à l'adresse de contact du compte.

9. Audit

Le Client peut, sur demande raisonnable et avec un préavis de 30 jours, demander une attestation de conformité ou un audit limité aux mesures techniques et organisationnelles applicables à ses données.

10. Contact DPO / RGPD

Pour toute question relative à la protection des données : contact@sentinelbriefing.com

Document signable disponible sur demande à l'adresse ci-dessus. Pour les contrats Cabinet et Enterprise, un DPA personnalisé peut être négocié.