Entente de traitement des données

1. Définitions

• « Lois sur la protection des données » désigne toutes les lois applicables au traitement des renseignements personnels dans le cadre de la présente Entente DPA, notamment la Loi sur la protection des renseignements personnels dans le secteur privé du Québec telle que modifiée par la Loi 25, la LPRPDE (Canada), le RGPD (UE/R.-U.) et le CCPA/CPRA (Californie), selon le cas.
• « Renseignements personnels » désigne tout renseignement concernant une personne physique identifiée ou identifiable que nous traitons pour le compte du Client dans le cadre du service.
• « Données du Client » désigne l'ensemble des données (y compris les renseignements personnels) que le Client ou ses utilisateurs soumettent au service : actifs de design importés, étiquettes, collections, commentaires, annotations et informations sur les membres.
• « Responsable », « Sous-traitant au sens du RGPD » (processor), « Personne concernée », « Traitement » et « Incident de confidentialité » ont le sens que leur donnent le RGPD et, par équivalence, les autres Lois sur la protection des données.
• « CCT » désigne les clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne.

2. Relation entre les parties

Pour les Données du Client, le Client est le responsable et DesignVault agit comme sous-traitant (processor). Nous nous engageons à :

• ne traiter les Données du Client que sur instructions documentées du Client — soit le Contrat, la présente Entente DPA et la configuration du service par le Client (y compris l'activation ou la désactivation des fonctions IA) — sauf obligation légale, auquel cas nous informerons le Client à moins d'interdiction légale;
• veiller à ce que les personnes autorisées à traiter les Données du Client soient tenues à la confidentialité;
• ne pas vendre les Données du Client, ni les conserver, les utiliser ou les divulguer à d'autres fins que la fourniture du service (y compris au sens du CCPA/CPRA);
• ne pas divulguer volontairement les Données du Client aux forces de l'ordre ou aux organismes gouvernementaux; en cas de demande contraignante, nous redirigerons la demande vers le Client dans la mesure du possible et l'aviserons sauf interdiction.

Nous agissons comme responsable indépendant pour les données limitées décrites à l'article 9 (données de compte, de facturation et de sécurité).

3. Sous-traitants autorisés

Le Client accorde une autorisation écrite générale pour les sous-traitants énumérés à designvault.net/fr/subprocessors (annexe B). Nous imposons à chaque sous-traitant des obligations de protection des renseignements personnels au moins aussi protectrices que la présente Entente DPA et demeurons responsables de leur exécution.

Nous donnerons aux propriétaires d'organisation un préavis d'au moins 30 jours par courriel avant d'ajouter ou de remplacer un sous-traitant. Le Client peut s'y opposer pour des motifs raisonnables liés à la protection des renseignements personnels pendant cette période; si aucune solution de rechange n'est possible, le Client peut résilier l'abonnement visé et obtenir le remboursement au prorata des frais payés d'avance.

4. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (« MTO »), notamment l'isolation multi-locataire par Row Level Security PostgreSQL, le chiffrement applicatif AES-256-GCM des jetons d'intégration, le chiffrement en transit (TLS 1.2+) et au repos (AES-256), le contrôle d'accès par rôles, la journalisation d'audit et des en-têtes de sécurité durcis. Les MTO en vigueur sont décrites à designvault.net/docs/security et constituent l'annexe sécurité de la présente Entente DPA. Nous pouvons les mettre à jour pourvu que le niveau global de protection ne soit pas réduit.

5. Transferts internationaux

Les Données du Client sont principalement stockées au Canada (Supabase, AWS ca-central-1). Certains sous-traitants traitent des données aux États-Unis (voir l'annexe B). Pour ces transferts :

• Depuis l'EEE/R.-U./Suisse : les transferts s'effectuent en vertu des CCT (module 2 — responsable vers sous-traitant), incorporées par référence à la présente Entente DPA, ou en vertu d'une décision d'adéquation lorsqu'elle s'applique (le Canada bénéficie d'une décision d'adéquation de l'UE pour les traitements couverts par la LPRPDE; certains sous-traitants américains sont certifiés au Data Privacy Framework UE–É.-U.).
• Depuis le Québec : avant de communiquer des renseignements personnels à l'extérieur du Québec, nous procédons à l'évaluation des facteurs relatifs à la vie privée exigée par la Loi 25 (art. 17) afin de confirmer que les renseignements bénéficient d'une protection adéquate.

[À FAIRE — avocat : confirmer les modalités de complétion des CCT (clauses 9, 13, 17, 18), le mécanisme par sous-traitant (CCT ou certification DPF) et le dossier d'évaluation Loi 25 art. 17.]

5bis. Communications dirigées par le Client (API, MCP, webhooks, partage)

Le service permet au Client de transmettre les Données du Client à des tiers de son choix : clés API (et tout outil bâti sur elles, y compris le serveur MCP officiel de DesignVault utilisé avec des clients IA comme Claude ou Cursor), webhooks sortants vers des destinations configurées par le Client, et liens de partage publics créés par le Client. Ces transmissions sont effectuées sur instructions documentées du Client au sens de l'article 2. Les destinataires (y compris les clients IA du Client et les récepteurs de webhooks) agissent pour le Client, ne sont pas des sous-traitants de DesignVault et sont régis par les ententes propres du Client avec eux. Le Client est responsable de la licéité de ces communications, notamment lorsque les destinataires traitent des données hors du Canada ou de l'EEE.

6. Droits des personnes concernées

Compte tenu de la nature du traitement, nous aidons le Client à répondre aux demandes des personnes concernées (accès, rectification, suppression, portabilité, opposition, limitation). Le service offre des outils en libre-service : l'exportation des données (JSON) et la suppression de compte sont disponibles dans Paramètres > Confidentialité. Si une personne concernée nous contacte directement au sujet des Données du Client, nous la redirigerons vers le Client et l'aviserons sans délai injustifié.

7. Incident de confidentialité

Nous aviserons le Client sans délai injustifié après avoir pris connaissance d'un incident de confidentialité touchant les Données du Client, et au plus tard dans les 72 heures, en fournissant les informations raisonnablement nécessaires pour que le Client puisse remplir ses propres obligations de notification (notamment auprès de la CAI en vertu de la Loi 25 et des autorités de contrôle en vertu du RGPD). Nous documentons les incidents et les mesures correctives.

8. Audits, suppression et restitution

Sur demande (au plus une fois par année, sauf exigence d'une autorité de contrôle ou à la suite d'un incident), nous mettrons à disposition les informations raisonnablement nécessaires pour démontrer la conformité à la présente Entente DPA, y compris des résumés des évaluations de tiers de nos sous-traitants, et permettrons des audits menés d'une manière qui ne compromet pas la sécurité des autres clients (environnement multi-locataire).

À la résiliation du Contrat ou à la suppression de l'organisation, nous supprimons les Données du Client dans les 30 jours, sauf lorsque la loi exige une conservation plus longue (documents financiers : 7 ans). Le Client peut exporter ses données en tout temps avant la suppression via Paramètres > Confidentialité.

9. DesignVault à titre de responsable

Nous agissons comme responsable indépendant pour : les données d'inscription au compte (nom, courriel), les données de facturation (référence client Stripe), les journaux de sécurité et d'audit (adresse IP, agent utilisateur) et les données d'utilisation du service sous forme agrégée ou dépersonnalisée. Ce traitement est décrit dans notre Politique de confidentialité.

10. Dispositions générales

La présente Entente DPA est régie par le même droit et le même for que le Contrat (lois du Québec, Canada), sauf lorsque les CCT exigent autrement pour les transferts depuis l'EEE. En cas de conflit entre la présente Entente DPA et le Contrat concernant le traitement de renseignements personnels, l'Entente DPA prévaut; les CCT prévalent sur les deux. La responsabilité au titre de la présente Entente DPA est assujettie aux limitations de responsabilité du Contrat.

Annexe A — Détails du traitement

• Objet et durée : fourniture du service DesignVault pour la durée du Contrat, plus la fenêtre de suppression de 30 jours.
• Nature et finalité : hébergement, stockage, affichage, recherche (y compris l'étiquetage automatique et la recherche sémantique IA optionnels) et partage d'actifs de design et des données de collaboration connexes.
• Catégories de personnes concernées : utilisateurs du Client (employés, contractuels) et personnes apparaissant dans le contenu importé.
• Catégories de renseignements personnels : noms, adresses courriel, rôles, commentaires et annotations, et tout renseignement personnel contenu dans les actifs de design importés. Aucune donnée sensible n'est requise par le service; le Client est responsable de ne pas importer de catégories particulières de données.

Annexe B — Sous-traitants autorisés

La liste à jour, avec rôles et localisations, est maintenue à designvault.net/fr/subprocessors.

Contact

Responsable de la protection des renseignements personnels : Pascal Potvin, Sherbrooke (Québec), Canada — privacy@designvault.net
[À FAIRE — avocat : confirmer la raison sociale et l'adresse postale complète.]