Légal & confiance

Accord de traitement des données (DPA)

Mise à jour : 2 juillet 2026

Le présent accord encadre les traitements opérés par UPgraders SARL pour le compte de ses clients professionnels. Il complète la politique de confidentialitéet prévaut sur elle pour la relation B2B. Signature d'un exemplaire dédié sur demande : bonjour@upgraders.pro.

1. Rôles et objet

Le client est responsable de traitement des données de sa marque ; UPgraders agit en sous-traitantpour les besoins exclusifs de la mission (diagnostic, production, mesure). Pour les données d'exploitation de la plateforme (journal d'audit technique, facturation), UPgraders est responsable de traitement.

2. Classes de données et propriété

ClasseContenuPropriétaireRemonte au pool cross-marques ?
Donnée de marqueNoyau ADVE/RTIS, révisions, livrables (dont l'Oracle), contenus fournis au diagnosticLe clientNon — jamais
Donnée d'usageJournal d'audit, historique de pilotage, événements de facturationUPgraders (lecture client sur son périmètre)Non identifiant
Apprentissage agrégé (le cas échéant)Patterns abstraits anonymisés appris sur la flotteUPgradersOui — uniquement si opt-in explicite ET seuil d'anonymat k ≥ 5 marques
  • Isolation par défaut (default-deny): aucune donnée métier d'un client ne traverse vers un autre client. Un client ne voit jamais les piliers ou livrables d'un autre — le cloisonnement par espace est vérifié à chaque requête.
  • La contribution au pool d'apprentissage est désactivée par défaut, révocable à tout moment à effet futur ; les données personnelles (contacts, communauté) n'y entrent jamais, opt-in ou pas.

3. Ingestion

Les contenus fournis (formulaires de diagnostic, textes, documents) sont rattachés au seul espace du client et soumis au même régime d'isolation. Le client garantit disposer d'une base légale pour les données personnelles qu'il importe (notamment les listes de contacts) ; l'import est refusé sans cette garantie.

4. LLM — non-entraînement garanti

  • Aucune donnée client n'est utilisée pour entraîner ou affiner des modèles d'IA — ni par UPgraders, ni par ses fournisseurs de modèles.
  • Les appels aux fournisseurs LLM (Anthropic, OpenAI, OpenRouter) sont effectués via API avec les garanties contractuelles de ces fournisseurs : les données soumises par API ne servent pas à l'entraînementet sont soumises à des durées de rétention limitées. Une exécution locale (Ollama) est possible : rien ne sort alors de l'infrastructure.
  • La plateforme minimise la surface : les traitements structurants (score, prix, composition de l'Oracle) sont déterministes et n'envoient rienà un LLM. L'IA est réservée à l'assistance explicite (brouillons de piliers) et n'est active que si l'opérateur a configuré un fournisseur.
  • Sortie structurée validée par schéma : une réponse LLM non conforme est rejetée, jamais persistée silencieusement. Les contenus de marque transmis au modèle sont balisés comme données non exécutables (encapsulation anti-injection).
  • Un brouillon IA n'écrase jamais le noyau : il est marqué « à valider » et soumis à décision humaine, champ par champ.

5. Sécurité

  • En transit: TLS 1.2+ sur toutes les surfaces (certificats Let's Encrypt).
  • Authentification : mots de passe hachés bcrypt (12 rounds), sessions signées (JWT) en cookies httpOnly/secure.
  • Secrets: clés et secrets système en variables d'environnement exclusivement — jamais en base, jamais dans le code.
  • Cloisonnement: contrôle d'accès par rôle et par espace client à chaque requête.
  • Exploitation: infrastructure dédiée (VPS) administrée par UPgraders ; toute opération sensible (migration de données, bascule de version) est précédée d'une sauvegarde complète — règle d'exploitation non négociable.

6. Traçabilité immuable et droit à l'effacement — coexistence

Le journal d'audit de la plateforme est chaîné par empreintes (hash) : l'historique ne se réécrit pas et toute altération a posteriori est détectable. Il est minimisé (actions, identifiants techniques, références), son accès est restreint à l'opérateur, et il est conservé 5 ans au titre de l'obligation de traçabilité — jamais utilisé à d'autres fins. L'effacement d'une personne purge ses données des magasins applicatifs (compte, contenus, leads) ; le journal ne conserve que le minimum nécessaire à la preuve d'exécution. L'immuabilité de la trace et le droit à l'effacement coexistent ainsi.

7. Sous-traitants ultérieurs

Sous-traitantRôleLocalisation
Fournisseur d'infrastructure (VPS)Hébergement de l'application et de la base PostgreSQL, administrées par UPgraders via CoolifyCoordonnées communiquées sur demande
Anthropic / OpenAI / OpenRouterGénération LLM optionnelle (API, sans entraînement)US/UE — données minimisées, uniquement si l'assistance IA est utilisée
WhatsApp (Meta)Canal de règlement et de relation commerciale, à l'initiative du clientSelon Meta — aucun credential de paiement chez UPgraders

Toute évolution de cette liste est notifiée aux clients sous DPA signé, avec faculté d'objection motivée.

8. Durées, portabilité, restitution

  • Données de marque : durée du contrat + fenêtre de portabilité de 90 jours, puis purge sur demande ou à l'expiration.
  • Export en format ouvert sur demande à tout moment ; version imprimable (PDF) des livrables directement depuis le Cockpit.
  • Journal d'audit : 5 ans (obligation de traçabilité).

9. Violations de données

Notification au client sans retard injustifié et au plus tard 72 haprès prise de connaissance d'une violation affectant ses données, avec nature, périmètre, mesures prises et point de contact. Registre des incidents tenu par l'opérateur.

10. Cadres applicables et audits

RGPD lorsque des personnes concernées résident dans l'UE ; Convention de Malabo et cadres nationaux de la zone (CDP, ARTCI, APDP et équivalents) pour les traitements africains. Un audit documentaire annuel est disponible sur demande raisonnable ; voir aussi le Trust Center.