Data Processing Agreement (DPA)
Version 1.0 — Avril 2026
1. Objet
Le pr\u00e9sent accord de traitement des donn\u00e9es (DPA) compl\u00e8te les Conditions G\u00e9n\u00e9rales d'Utilisation de Covalyo et d\u00e9finit les obligations des parties concernant le traitement des donn\u00e9es personnelles au sens du R\u00e8glement (UE) 2016/679 (RGPD).
2. R\u00f4les
- Responsable du traitement : le Client (l'organisation utilisant Covalyo).
- Sous-traitant : Covalyo SAS.
3. Donn\u00e9es trait\u00e9es
| Cat\u00e9gorie | Types | Dur\u00e9e |
|---|---|---|
| Code source | Fichiers COBOL, JCL, copybooks | Dur\u00e9e du projet |
| M\u00e9tadonn\u00e9es | Noms de programmes, structures, variables | Dur\u00e9e du projet |
| Donn\u00e9es utilisateurs | Email, nom, r\u00f4le | Dur\u00e9e du compte |
| Logs techniques | IP, actions, timestamps | 12 mois |
4. Mesures de s\u00e9curit\u00e9
- Chiffrement au repos (AES-256 pour S3, AES-256-GCM pour les cl\u00e9s API).
- Chiffrement en transit (TLS 1.2+).
- Authentification multi-facteur (SSO/OIDC).
- RBAC 4 r\u00f4les (Owner, Admin, Analyst, Viewer).
- Audit trail complet (actions, IP, request ID).
- Rate limiting sur tous les endpoints.
- D\u00e9rivation des cl\u00e9s HKDF-SHA256.
5. Sous-traitants ult\u00e9rieurs
Liste des sous-traitants ult\u00e9rieurs disponible sur la page Trust Center. Le Client est notifi\u00e9 de tout changement 30 jours avant mise en \u0153uvre.
6. Transferts internationaux
Les transferts hors UE sont encadr\u00e9s par des clauses contractuelles types (SCC). Les fichiers source sont trait\u00e9s dans la r\u00e9gion UE (Vercel cdg1, AWS eu-west-3).
7. Droits des personnes concern\u00e9es
Covalyo assiste le Client dans le traitement des demandes d'exercice de droits (acc\u00e8s, rectification, effacement, portabilit\u00e9) via les fonctions int\u00e9gr\u00e9es (export RGPD, suppression de compte) et par e-mail \u00e0 billocorentin@covalyo.com.
8. Notification de violation
Covalyo notifie le Client de toute violation de donn\u00e9es personnelles dans un d\u00e9lai de 48 heures apr\u00e8s d\u00e9tection, avec les informations requises par l'article 33 du RGPD.
9. Restitution et suppression
\u00c0 la fin du contrat, Covalyo supprime toutes les donn\u00e9es du Client dans un d\u00e9lai de 30 jours, sauf obligation l\u00e9gale de conservation.