Data Processing Agreement (DPA)

Version 1.0 — Avril 2026

1. Objet

Le présent accord de traitement des données (DPA) complète les Conditions Générales d'Utilisation de Covalyo et définit les obligations des parties concernant le traitement des données personnelles au sens du Règlement (UE) 2016/679 (RGPD).

2. Rôles

• Responsable du traitement : le Client (l'organisation utilisant Covalyo).
• Sous-traitant : Corentin Billo, exerçant en entreprise individuelle sous le nom commercial « Covalyo » (10 La Rimbertière, 44360 Vigneux-de-Bretagne, France — SIREN 903 660 082).

3. Données traitées

4. Mesures de sécurité

• Chiffrement au repos (AES-256 pour S3, AES-256-GCM pour les clés API).
• Chiffrement en transit (TLS 1.2+).
• Authentification multi-facteur (SSO/OIDC).
• RBAC 4 rôles (Owner, Admin, Analyst, Viewer).
• Audit trail complet (actions, IP, request ID).
• Rate limiting sur tous les endpoints.
• Dérivation des clés HKDF-SHA256.

5. Sous-traitants ultérieurs

Liste des sous-traitants ultérieurs disponible sur la page Trust Center. Le Client est notifié de tout changement 30 jours avant mise en œuvre.

6. Transferts internationaux

Les transferts hors UE sont encadrés par des clauses contractuelles types (SCC). Les fichiers source sont traités dans la région UE (Vercel cdg1, AWS eu-west-3).

7. Droits des personnes concernées

Covalyo assiste le Client dans le traitement des demandes d'exercice de droits (accès, rectification, effacement, portabilité) via les fonctions intégrées (export RGPD, suppression de compte) et par e-mail à support@covalyo.com.

8. Notification de violation

Covalyo notifie le Client de toute violation de données personnelles dans un délai de 48 heures après détection, avec les informations requises par l'article 33 du RGPD.

9. Restitution et suppression

À la fin du contrat, Covalyo supprime toutes les données du Client dans un délai de 30 jours, sauf obligation légale de conservation.