Accord de traitement des données (DPA)

Mise à jour : 12 juin 2026. Le présent accord encadre les traitements opérés par UPgraders / La Fusée SARL pour le compte de ses clients professionnels. Il complète la politique de confidentialitéet prévaut sur elle pour la relation B2B. Signature d'un exemplaire dédié sur demande : privacy@lafusee.upgraders.io.

1. Rôles et objet

Le client est responsable de traitement des données de sa marque ; UPgraders agit en sous-traitantpour les besoins exclusifs de la mission (diagnostic, production, mesure, dispatch). Pour les données d'exploitation de la plateforme (télémétrie technique, facturation), UPgraders est responsable de traitement.

2. Classes de données et propriété

ClasseContenuPropriétaireRemonte au pool cross-marques ?
Donnée de marqueNoyau ADVE/RTIS, briefs, assets, campagnes, Brand Vault (contacts communauté)Le clientNon — jamais
Donnée d'usageTélémétrie, événements, journaux, historique de pilotageUPgraders (lecture client depuis son Cockpit)Non identifiant
Apprentissage agrégéPatterns abstraits anonymisés appris sur la flotteUPgradersOui — uniquement si opt-in explicite ET seuil d'anonymat k ≥ 5 marques
  • Isolation par défaut (default-deny) : aucune donnée métier d'un client ne traverse vers un autre client. Un client ne voit jamais les piliers, briefs ou assets d'un autre.
  • La contribution au pool d'apprentissage est désactivée par défaut, révocable à tout moment à effet futur ; la liste de communauté (PII) n'y entre jamais, opt-in ou pas.

3. Ingestion et briefs

Les contenus ingérés (formulaires, documents, URL, briefs, études) sont rattachés au seul espace du client, indexés pour son usage propre (recherche, génération contextualisée) et soumis au même régime d'isolation. Le client garantit disposer d'une base légale pour les données personnelles qu'il importe (notamment les listes de contacts) ; l'import de communauté est refusé sans cette garantie.

4. LLM — non-entraînement garanti

  • Aucune donnée client n'est utilisée pour entraîner ou affiner des modèles d'IA — ni par UPgraders, ni par ses fournisseurs de modèles.
  • Les appels aux fournisseurs LLM (Anthropic, OpenAI) sont effectués via API avec les garanties contractuelles de ces fournisseurs : les données soumises par API ne servent pas à l'entraînement de leurs modèles et sont soumises à des durées de rétention limitées.
  • La plateforme minimise la surface : ~95 % des traitements (scores, prix, gates, compilation) sont déterministes et n'envoient rien à un LLM ; le LLM est réservé à la génération créative explicite.
  • Sortie structurée validée par schéma : les réponses LLM non conformes sont rejetées, jamais persistées silencieusement.

5. Sécurité et chiffrement

  • En transit : TLS 1.2+ sur toutes les surfaces (web, API, webhooks).
  • Au repos : chiffrement AES-256 des bases et sauvegardes (infrastructure Supabase/PostgreSQL managée).
  • Secrets : les clés de paiement et secrets système vivent en variables d'environnement, jamais en base ; les credentials de connecteurs externes sont stockés chiffrés dans un coffre applicatif ; les clés API émises ne sont conservées qu'en empreinte SHA-256.
  • Authentification : mots de passe hachés (bcrypt, 12 rounds), double authentification TOTP disponible et exigible pour les administrateurs.
  • Cloisonnement : contrôle d'accès par rôle et par espace client à chaque requête.

6. Traçabilité immuable et droit à l'effacement — coexistence

Le journal de gouvernance de la plateforme est chaîné par empreintes (hash) pour garantir l'infalsifiabilité de l'historique. Il ne contient jamais de données personnelles en clair: les PII vivent hors-chaîne, dans des magasins effaçables. L'effacement d'une personne purge ses données ; la chaîne conserve la seule preuve d'existence (empreinte), vide de contenu. L'immuabilité de la trace et le droit à l'effacement coexistent ainsi sans exception.

7. Sous-traitants ultérieurs

Sous-traitantRôleLocalisation
VercelHébergement applicatifUE/US (CDN mondial)
Supabase (PostgreSQL managé)Base de donnéesRégion contractuelle du projet
Anthropic / OpenAIGénération LLM (API, sans entraînement)US — données minimisées
CinetPay / Stripe / PayPalPaiementsSelon prestataire — aucune donnée carte chez UPgraders
Mailgun / fournisseurs SMSMessages transactionnelsUE/US

Toute évolution de cette liste est notifiée aux clients sous DPA signé avec faculté d'objection motivée.

8. Durées, portabilité, restitution

  • Données de marque : durée du contrat + fenêtre de portabilité de 90 jours, puis purge sur demande ou à l'expiration.
  • Export en format ouvert (JSON/PDF) à tout moment depuis le Cockpit ou sur demande.
  • Journal d'audit : 5 ans (obligation de traçabilité), empreintes seules au-delà.

9. Violations de données

Notification au client sans retard injustifié et au plus tard 72 haprès prise de connaissance d'une violation affectant ses données, avec nature, périmètre, mesures prises et point de contact. Registre des incidents tenu en gouvernance.

10. Cadres applicables et audits

RGPD lorsque des personnes concernées résident dans l'UE ; Convention de Malabo et cadres nationaux de la zone (CDP, ARTCI, APDP et équivalents) pour les traitements africains. Un audit documentaire annuel est disponible sur demande raisonnable ; voir aussi le Trust Center.