Accord de traitement des données (DPA)

1. Définitions et rôles

• Responsable de traitement : l'entreprise cliente qui utilise Miltone pour gérer les données de ses employés, clients et activités.
• Sous-traitant : Miltone, raison individuelle, rue du débarcadère 22 - Saint-Aubin-Sauges - Suisse, qui traite les données pour le compte du responsable.
• Personnes concernées : employés du client, clients du client, et tout utilisateur dont les données sont saisies dans Miltone.

2. Objet et durée

Le présent accord régit le traitement des données personnelles effectué par Miltone pour le compte du client dans le cadre de la fourniture du service SaaS.

Il est en vigueur pendant toute la durée de l'abonnement du client et prend fin à la suppression effective de toutes les données du client.

3. Catégories de données traitées

4. Obligations de Miltone (sous-traitant)

Miltone s'engage à :

• Traiter les données uniquement sur instruction documentée du client.
• Garantir la confidentialité des données (obligation de confidentialité de tout le personnel).
• Mettre en œuvre les mesures de sécurité techniques et organisationnelles décrites à l'article 5.
• Ne pas faire appel à un sous-traitant ultérieur sans l'accord préalable du client (voir article 6).
• Assister le client pour répondre aux demandes d'exercice des droits des personnes concernées.
• Supprimer ou restituer les données à la fin du contrat, au choix du client.
• Mettre à disposition du client les informations nécessaires pour démontrer le respect de ses obligations.

5. Mesures de sécurité

Miltone met en œuvre les mesures suivantes :

Chiffrement

• HTTPS/TLS pour toutes les communications
• Mots de passe hachés avec bcrypt (12 rounds)
• Secrets 2FA chiffrés en AES-256-GCM
• Tokens de réinitialisation hachés en SHA-256

Contrôle d'accès

• Authentification par JWT avec invalidation par version de token
• 2FA (TOTP) disponible pour les administrateurs
• Contrôle d'accès basé sur les rôles (RBAC) : administrateur / employé
• Isolation multi-tenant : chaque entreprise n'accède qu'à ses propres données

Infrastructure

• Base de données hébergée en Suisse (Peaknetworks AG)
• Connexions SSL vers la base de données
• Sauvegardes automatiques
• Suppression logique (soft-delete) avec possibilité de restauration

6. Sous-traitants ultérieurs

Le client autorise Miltone à recourir aux sous-traitants ultérieurs suivants :

Miltone informera le client de tout changement de sous-traitant avec un préavis de 30 jours. Le client peut s'opposer au changement dans ce délai.

7. Transferts internationaux

Les données sont principalement hébergées en Suisse. Pour les sous-traitants situés aux USA (Stripe, Resend), des clauses contractuelles types (CCT) approuvées par la Commission européenne sont en place pour garantir un niveau de protection adéquat.

8. Notification de violation

En cas de violation de données personnelles, Miltone s'engage à :

• Notifier le client dans les 72 heures suivant la découverte de la violation.
• Fournir les informations nécessaires : nature de la violation, catégories de données concernées, mesures prises et recommandées.
• Coopérer avec le client pour la notification aux autorités compétentes et aux personnes concernées.

9. Fin du contrat et suppression

À la fin de l'abonnement, Miltone s'engage à :

• Permettre l'export des données sur demande dans un format structuré (JSON, CSV).
• Supprimer toutes les données du client dans les 90 jours suivant la résiliation.
• Conserver les données de facturation pendant 10 ans conformément au Code des obligations suisse.

10. Droit applicable

Le présent accord est régi par le droit suisse, en particulier la Loi fédérale sur la protection des données (nLPD) et, le cas échéant, le RGPD pour les personnes concernées résidant dans l'UE/EEE.

11. Contact

Pour toute question relative au présent accord :

• Miltone : tekweb.infos@gmail.com
• Adresse : rue du débarcadère 22 - Saint-Aubin-Sauges - Suisse