Accord de traitement des données (DPA)
Dernière mise à jour : 9 mai 2026
Le présent Accord de traitement des données (ci-après « DPA ») complète les Conditions générales d'utilisation et régit le traitement des données personnelles effectué par Chut.App BV, société à responsabilité limitée de droit belge, BCE/TVA BE 1035.742.145, dont le siège social est situé Ballingstraat 116, 8560 Wevelgem, Belgique (le « Sous-traitant ») pour le compte du Client (le « Responsable du traitement ») dans le cadre de l'utilisation de la plateforme Chut.
1. Définitions
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (Art. 4(1) RGPD)
- Traitement : toute opération effectuée sur des données personnelles (Art. 4(2) RGPD)
- Responsable du traitement : le Client, qui détermine les finalités et les moyens du traitement
- Sous-traitant : Chut.App BV, qui traite les données pour le compte du Responsable
2. Objet et durée du traitement
2.1 Finalité
Le Sous-traitant traite les données personnelles uniquement pour fournir les services de la plateforme Chut, à savoir :
- Hébergement et stockage sécurisé des données du Client
- Gestion comptable (module Comptable) : documents, écritures, rapports
- Assistance juridique IA (module Juridique) : analyse de documents, conseil
- Authentification et gestion des accès
2.2 Durée
Le traitement dure pendant toute la durée du contrat de service, plus les périodes de rétention légales applicables.
3. Catégories de données traitées
3.1 Types de données personnelles
| Catégorie | Exemples |
|---|---|
| Données d'identité | Nom, adresse e-mail, identifiant utilisateur |
| Identifiants d'entreprise | Numéro BCE, numéro de TVA, dénomination sociale, adresse du siège |
| Documents financiers | Factures, reçus, relevés |
| Données comptables | Écritures, plan comptable, journaux |
| Données de contact tiers | Coordonnées des fournisseurs et clients du Client |
| Documents juridiques | Contrats, statuts (module Juridique) |
| Conversations IA | Historique des échanges avec les agents IA (module Juridique) |
3.2 Catégories de personnes concernées
- Employés et collaborateurs du Client
- Clients et fournisseurs du Client
4. Obligations du Sous-traitant
Le Sous-traitant s'engage à :
- Traiter les données uniquement sur instruction documentée du Responsable (Art. 28(3)(a) RGPD)
- Garantir la confidentialité : tous les collaborateurs sont soumis à une obligation de confidentialité
- Mettre en œuvre les mesures techniques et organisationnelles décrites à l'article 5
- Ne pas faire appel à un sous-traitant ultérieur sans notification préalable (voir article 6)
- Assister le Responsable dans le respect des droits des personnes concernées (Art. 28(3)(e) RGPD)
- Notifier toute violation de données dans les 24 heures (voir article 7)
- Supprimer ou restituer toutes les données à la fin du contrat, sous réserve des obligations légales de conservation
- Mettre à disposition les informations nécessaires pour démontrer la conformité (Art. 28(3)(h) RGPD)
5. Mesures techniques et organisationnelles
5.1 Chiffrement
- Chiffrement en transit : TLS 1.2 minimum sur toutes les communications
- Chiffrement au repos : chiffrement AES-256 sur toutes les bases de données et le stockage
5.2 Isolation des données
- Row-Level Security (RLS) PostgreSQL pour l'isolation complète des données entre tenants
- Chaque requête est exécutée dans le contexte du tenant authentifié
5.3 Isolation réseau
- VPC Private Network Scaleway : toutes les ressources applicatives sont déployées dans un réseau privé isolé
- Bases de données accessibles uniquement depuis le VPC privé ; aucun accès public
- Filtrage et segmentation réseau au niveau du VPC et des namespaces de conteneurs
5.4 Gestion des identités et des secrets
- Applications IAM Scaleway auto-associées aux namespaces de conteneurs : aucun secret long terme stocké dans le code
- Variables d'environnement chiffrées au repos pour les secrets applicatifs ; rotation documentée
- Authentification multi-facteurs (MFA) obligatoire pour tous les accès d'administration de l'infrastructure
5.5 Journalisation
- Journaux d'audit structurés (JSON) sur toutes les opérations de données
- Conservation des journaux : 2 ans
- Surveillance en temps réel via Scaleway Cockpit et alerting applicatif
6. Sous-traitants ultérieurs
Le Sous-traitant fait appel aux sous-traitants ultérieurs listés à /sub-processors.
Les engagements de confidentialité et de protection des données des sous-traitants ultérieurs sont régis par leurs DPA respectifs, référencés sur la page sous-traitants (Scaleway DPA, OpenAI Ireland DPA, iDenfy DPA).
6.1 Notification de changement
- Le Responsable sera notifié au moins 30 jours avant tout ajout ou remplacement de sous-traitant ultérieur, par e-mail à l'administrateur du compte
- Le Responsable dispose de 30 jours pour formuler une objection motivée
- En cas d'objection non résolue, le Responsable peut résilier le contrat sans frais
7. Notification de violation de données
En cas de violation de données, le Sous-traitant :
- Notifie le Responsable dans les 24 heures suivant la découverte
- Fournit les informations requises par l'Art. 33(3) RGPD : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises
- Assiste le Responsable dans ses obligations de notification à l'Autorité de protection des données (APD / GBA) belge (72 heures) et aux personnes concernées (Art. 34 RGPD)
8. Conservation des données
| Catégorie | Durée de conservation | Fondement |
|---|---|---|
| Données du compte actif | Durée du contrat + 30 jours | Contractuel |
| Documents comptables | 7 ans | Code de droit économique Art. III.86 |
| Conversations IA | 1 an après dernière activité | Intérêt légitime |
| Journaux d'audit | 2 ans (anonymisés ensuite) | Intérêt légitime |
| Sauvegardes | 30 jours glissants | Continuité de service |
9. Droits des personnes concernées
Le Sous-traitant assiste le Responsable pour répondre aux demandes d'exercice des droits :
- Droit d'accès (Art. 15) — export JSON complet des données
- Droit de rectification (Art. 16) — modification via l'interface
- Droit à l'effacement (Art. 17) — suppression avec période de grâce de 30 jours
- Droit à la portabilité (Art. 20) — export JSON structuré
- Droit à la limitation (Art. 18) — sur demande au DPO
- Droit d'opposition (Art. 21) — désactivation du traitement IA
Les endpoints techniques sont disponibles pour chaque backend : GET /data-export, DELETE /account, POST /account/cancel-deletion.
10. Audits
Le Responsable peut, à ses frais et avec un préavis raisonnable de 30 jours, effectuer ou faire effectuer un audit de conformité du Sous-traitant. Le Sous-traitant met à disposition les informations nécessaires et facilite l'audit.
11. Droit applicable
Le présent DPA est régi par le droit belge et le RGPD. En cas de litige, seuls les tribunaux du siège de Chut sont compétents, soit le Tribunal de l'entreprise de Gand, division Courtrai.