Accueil À Propos Objectifs Contact

Accord de Traitement des Données 2025

Dernière mise à jour : 2025-12-03

1. Préambule et Objet de l'Accord

Le présent Accord de Traitement des Données (ci-après « DPA » - Data Processing Agreement) est un document technique et juridique complémentaire à notre Politique de Confidentialité. Il vise à démontrer notre conformité proactive avec l'article 28 du RGPD et l'article 9 de la nLPD suisse concernant la sous-traitance.

Il détaille les mesures techniques et organisationnelles (TOMs) que LuminaVisio Suisse met en œuvre pour garantir la sécurité, la confidentialité, l'intégrité et la disponibilité des données personnelles que nous traitons, que ce soit en tant que Responsable de Traitement ou en tant que Sous-Traitant pour nos clients B2B.

2. Définitions et Rôles

Responsable de Traitement (Controller)

L'entité qui détermine les finalités et les moyens du traitement. Pour ce site web (gestion des contacts, analytique), c'est LuminaVisio Suisse.

Sous-traitant (Processor)

L'entité qui traite les données pour le compte du Responsable. Nos fournisseurs d'hébergement et de services email agissent en cette qualité.

Note : Lorsque nous fournissons nos solutions logicielles à une banque cliente, nous agissons alors en tant que Sous-traitant, et la banque reste Responsable de Traitement.

3. Description Détaillée des Traitements

Catégorie Description
Nature des opérations Collecte, enregistrement, organisation, structuration, stockage, adaptation, récupération, consultation, utilisation, communication par transmission, diffusion, effacement ou destruction.
Catégories de données Données d'identification (Nom, Email, IP), Données de connexion, Métadonnées techniques. Aucune donnée sensible.
Personnes concernées Visiteurs du site web, Prospects, Clients, Employés des clients (utilisateurs de la plateforme).
Durée Durée de la relation contractuelle + durées légales d'archivage (voir Politique de Confidentialité).

4. Mesures Techniques et Organisationnelles (TOMs)

Nous avons mis en place une politique de sécurité alignée sur la norme ISO/IEC 27001:2013. Voici les mesures concrètes :

4.1 Sécurité Physique et Environnementale

  • Hébergement dans des Data Centers Tier III/IV certifiés (contrôle d'accès biométrique, surveillance 24/7).
  • Redondance électrique et climatique.
  • Aucun serveur physique n'est hébergé dans nos bureaux administratifs.

4.2 Sécurité Logique et Chiffrement

  • Chiffrement en Transit : TLS 1.2 minimum (ECDHE-RSA-AES256-GCM-SHA384) pour toutes les communications web. HSTS activé.
  • Chiffrement au Repos : Bases de données chiffrées AES-256. Clés de chiffrement gérées via un KMS (Key Management Service) avec rotation automatique.
  • Anonymisation : Les logs d'accès IP sont tronqués ou hachés après 30 jours.

4.3 Contrôle d'Accès et Authentification

  • Authentification Multi-Facteurs (MFA) obligatoire pour tout accès administrateur à nos systèmes.
  • Principe du moindre privilège (PoLP) : Chaque employé n'a accès qu'aux ressources nécessaires à sa fonction.
  • Revue trimestrielle des droits d'accès.

4.4 Tests et Audit

  • Scans de vulnérabilités automatisés hebdomadaires.
  • Tests d'intrusion (Pentests) annuels réalisés par un cabinet tiers indépendant.
  • Revue de code (Peer Review) obligatoire avant toute mise en production.

5. Gestion des Incidents (Data Breach)

En cas de violation de données (accès non autorisé, perte, vol), nous avons une procédure de réponse aux incidents documentée :

  1. Détection & Qualification (T0) : L'équipe SecOps identifie l'anomalie et détermine s'il s'agit d'une violation avérée.
  2. Confinement (T0 + 4h) : Isolation des systèmes affectés pour stopper la fuite.
  3. Analyse Forensique : Détermination de l'étendue des données compromises.
  4. Notification Régulateur (T0 + 72h max) : Si un risque existe pour les droits des personnes, nous notifions le PFPDT (Suisse) et/ou la CNIL (si concerné).
  5. Notification Utilisateurs : Si le risque est élevé (ex: vol de mots de passe non hachés - ce qui n'arrive pas chez nous), nous informons les personnes concernées sans délai injustifié.
  6. Post-Mortem : Rapport d'incident et mise à jour des procédures pour éviter la récidive.

6. Sous-traitants Ultérieurs (Sub-processors)

Vous autorisez LuminaVisio Suisse à engager des sous-traitants pour mener à bien ses missions. Nous nous assurons que ces sous-traitants offrent des garanties suffisantes.

Liste des sous-traitants autorisés à ce jour :

  • Fournisseur Cloud (AWS/Azure/GCP Zurich Region) : Hébergement physique.
  • CDN (Cloudflare/Akamai) : Accélération web et protection DDoS.
  • Service Email (SendGrid/Mailgun Europe) : Envoi des emails transactionnels.

En cas de changement de sous-traitant, nous mettrons à jour cette page.

7. Coopération et Fin de Contrat

Assistance : Nous nous engageons à aider le Responsable de Traitement à répondre aux demandes d'exercice de droits des personnes concernées.

Suppression : Au terme de la prestation, nous nous engageons à supprimer toutes les données personnelles ou à les restituer au Responsable, et à détruire les copies existantes, sauf obligation légale de conservation.

8. Contact Sécurité

Pour signaler une vulnérabilité ou pour toute question technique sur le traitement des données, contactez notre responsable sécurité (CISO) à : info@aifinadvisorhub.com.