Data Processing Agreement (DPA)
Contrat de sous-traitance RGPD Art. 28. Téléchargez, signez, renvoyez à support@never-drop.com.
Chiffrement bout-en-bout
TLS 1.3 en transit, AES-256 au repos sur toutes données sensibles (transcripts, contacts, paiements).
Hébergement EU par défaut
Base de données produit Supabase à Francfort (EU). Transferts hors UE encadrés par SCC et Data Privacy Framework.
Conformité RGPD Art. 28
DPA signable disponible. Registre des traitements Art. 30 tenu à jour. Droits exerçables sous 30 jours.
Notification 72h
Politique d'incident alignée CNIL : toute violation de données entraîne une notification à la CNIL sous 72 h (Art. 33).
1Architecture & chiffrement
En transit
- TLS 1.3 obligatoire sur tous les endpoints (site, API, app)
- HSTS activé avec pre-load sur never-drop.com
- Certificats gérés automatiquement (Cloudflare + Vercel)
Au repos
- Chiffrement AES-256 géré par Supabase (PostgreSQL EU)
- Secrets applicatifs chiffrés (Railway Variables + macOS Keychain côté app mobile)
- Paiements : aucun numéro de carte n'est stocké par Scopeo — tokenisation 100 % Stripe (PCI-DSS Level 1)
2Contrôle d'accès & authentification
- 2FA disponible sur tous les comptes (TOTP)
- Mots de passe hachés avec bcrypt (coût ≥ 12)
- Sessions signées, expiration paramétrable, révocation immédiate côté admin
- Principe du moindre privilège côté équipe Scopeo : accès prod restreint, journalisé, et revu trimestriellement
3Hébergement & sous-traitants
Tous les sous-traitants sont encadrés par des DPA conformes RGPD. Les transferts hors UE reposent sur les Clauses Contractuelles Types (SCC) ou le Data Privacy Framework (DPF).
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données produit (PostgreSQL) | Francfort, Allemagne (EU) |
| Railway Corp. | Hébergement compute (backend, MCPs) | USA (SCC) |
| Vercel Inc. | Hébergement site vitrine never-drop.com | USA (SCC) |
| Cloudflare Inc. | CDN, DNS, WAF | USA (DPF + SCC) |
| Stripe Payments Europe | Paiement + facturation | Dublin, Irlande (EU + SCC) |
| HubSpot Inc. | CRM + marketing automation | USA (DPF + SCC) |
| Google Workspace | Emails, agenda, drive | USA (DPF) |
| PostHog Inc. | Analytics produit (si consentement) | USA (DPF) — option EU dispo |
| Anthropic | Modèle IA (transcription + résumé) | USA (SCC) — option EU en roadmap |
| Meta Platforms Ireland | WhatsApp (widget "Parler à NeverDrop") | Irlande (EU) + USA |
Liste détaillée avec finalités et bases légales dans la Politique de confidentialité — section 4.
4Gestion des incidents
- Détection : logs applicatifs Railway + Supabase + alerting Sentry sur anomalies
- Qualification : le Directeur Général (Christian Verbrugge) évalue gravité et impact sous 24 h
- Notification CNIL : sous 72 h en cas de violation de données (Art. 33 RGPD)
- Notification clients : email + bannière produit dès que le risque pour les droits des personnes est élevé (Art. 34)
- Post-mortem : rapport écrit publié aux clients affectés sous 14 jours
5Conservation & suppression
- Transcripts & contacts scannés — sous votre contrôle : supprimables à tout moment depuis l'app
- Compte utilisateur — durée d'utilisation + 3 ans (prescription civile)
- Facturation — 10 ans (obligation comptable L.123-22 C.com)
- Logs techniques — 12 mois maximum (reco CNIL)
- Export — format CSV/JSON sur demande sous 30 jours
6Documents & référentiels
- Data Processing Agreement (DPA) v1 — HTML signable
- Politique de confidentialité
- Mentions légales
- Règlement Founding Members
Registre des activités de traitement (Art. 30 RGPD) : document interne, communicable sur demande motivée à support@never-drop.com.
Une question sécurité, un audit, un DPA signé à faire viser ? Écrivez à support@never-drop.com — réponse sous 30 jours (souvent 48 h).