1. Responsable du traitement
Le responsable du traitement est Architecture Platform, dont les coordonnées figurent dans les mentions légales.
Pour les données traitées pour le comptede nos clients (DAS, fiches d'agents IA, utilisateurs des tenants), Architecture Platform agit en qualité de sous-traitantau sens de l'article 28 RGPD. Le responsable du traitement est alors le client.
2. Données collectées et finalités
2.1 En tant que responsable du traitement
| Finalité | Données collectées | Base légale | Conservation |
|---|---|---|---|
| Création et gestion du compte | Email, prénom, nom, mot de passe haché, slug du tenant | Exécution du contrat (art. 6.1.b) | Durée de l'abonnement + 3 ans |
| Authentification | Logs de connexion, IP, user-agent | Intérêt légitime — sécurité (art. 6.1.f) | 12 mois |
| Facturation | Raison sociale, adresse, SIRET, identifiant Stripe | Obligation légale (art. 6.1.c) | 10 ans (Code de commerce) |
| Support et communication | Contenu des échanges, email | Exécution du contrat / consentement | 3 ans après dernier contact |
| Statistiques d'usage anonymisées | Pages vues, sources de trafic (Plausible, sans cookie) | Intérêt légitime (art. 6.1.f) | 25 mois |
| Détection des erreurs techniques | Stack trace, version applicative, identifiant tenant — pas de données métier | Intérêt légitime — qualité du service (art. 6.1.f) | 90 jours |
2.2 En tant que sous-traitant
Les données importées ou créées par les utilisateurs de nos clients (fiches d'application, DAS, agents IA, etc.) sont traitées exclusivement pour fournir le service et selon les instructions du client (article 28.3 RGPD). Le client encadre ces traitements via les mentions d'information vers ses propres utilisateurs.
3. Hébergement et localisation
L'ensemble des données est hébergé en Union européenne chez Amazon Web Services EMEA SARL (Luxembourg), avec stockage physique dans la région AWS Europe (Paris). Aucun transfert hors UE pour les bases de données client.
AWS EMEA SARL étant filiale d'un groupe américain, Architecture Platform applique en complément : chiffrement at-rest avec clés gérées dans AWS KMS région UE, chiffrement applicatif des données les plus sensibles, et engagement contractuel AWS sur le respect du RGPD (Data Processing Addendum, Clauses Contractuelles Types).
Le service utilise quelques sous-traitants tiers, listés ci-dessous. Lorsqu'un transfert hors UE est inévitable (Stripe), il s'appuie sur les Clauses Contractuelles Types adoptées par la Commission européenne. Les emails transactionnels (signup, notifications, factures) sont envoyés via un prestataire européen (Brevo, hébergé en France) sans transfert hors UE.
4. Sous-traitants
| Sous-traitant | Service | Localisation |
|---|---|---|
| Amazon Web Services EMEA SARL | Hébergement infrastructure (région UE Paris) | Luxembourg (DPA + CCT) |
| Stripe Payments Europe Ltd. | Encaissement des paiements | Irlande (avec CCT pour les transferts US) |
| Brevo (Sendinblue SAS) | Envoi des emails transactionnels | France (UE) |
| Cloudflare | CDN, protection DDoS, DNS | Réseau mondial — chiffrement en transit |
| Functional Software, Inc. (Sentry) | Détection automatique des erreurs techniques (logs d'exception) | États-Unis (avec CCT) |
| Plausible Insights OÜ | Statistiques de fréquentation agrégées (sans cookie) | Estonie (UE) |
Nota — Sentry & Plausible. Sentry capture uniquement les traces techniques(stack trace, version applicative, identifiant tenant) au moment d'une exception serveur, jamais le contenu des données métier ni les credentials. Plausible mesure la fréquentation des pages publiques sans déposer de cookie ni collecter d'identifiant utilisateur ; à ce titre la délibération CNIL 2020-091 nous dispense du consentement préalable pour cet outil.
5. Multi-tenant et isolation
Le service repose sur une architecture database-per-tenant : chaque organisation cliente dispose d'une base PostgreSQL séparée. Cela garantit l'impossibilité technique d'une fuite croisée entre clients via le moteur d'application — toute requête est nécessairement scopée à la base du tenant authentifié.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès à vos données personnelles.
- Rectification des données inexactes ou incomplètes.
- Effacement(« droit à l'oubli »), sous réserve des obligations légales de conservation.
- Limitation du traitement.
- Portabilité : vous pouvez exporter vos données à tout moment via l'API publique au format JSON.
- Oppositionau traitement fondé sur l'intérêt légitime.
- Réclamation auprès de la CNIL (cnil.fr).
Pour exercer vos droits : dpo@arch-platform.com. Une réponse vous sera apportée dans un délai d'un mois maximum.
7. Cookies
Le service utilise uniquement les cookies strictement nécessaires à son fonctionnement (authentification, préférences de session) — aucun cookie publicitaire ou de tracking tiers. Conformément à la délibération CNIL 2020-091, ces cookies ne nécessitent pas de consentement préalable.
8. Sécurité
Les mesures techniques et organisationnelles mises en œuvre pour protéger vos données sont décrites sur notre page sécurité. En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Architecture Platform notifie la CNIL dans les 72 heures et informe les personnes concernées sans délai.
9. Délégué à la protection des données (DPO)
À ce jour, Architecture Platform n'est pas tenue de désigner un DPO au sens de l'article 37 RGPD. Un référent RGPD est néanmoins joignable :
dpo@arch-platform.com
10. Modifications
Toute modification substantielle de la présente politique sera notifiée par email aux administrateurs des tenants au moins 30 jours avant entrée en vigueur.