Engagement RGPD

Dernière mise à jour : 13 mars 2026

1. Notre rôle

Dans le cadre de l'utilisation de DataReq Pro, Mano Verde Inc SA agit en deux qualités distinctes :

Responsable de traitement pour les données de ses propres clients (données de compte, facturation, connexion), conformément à notre Politique de Confidentialité.

Sous-traitant (art. 28 RGPD) pour les données collectées par les clients via les formulaires DataReq Pro. Dans ce cadre, nous traitons les données uniquement selon les instructions documentées du client.

2. Privacy by Design (art. 25 RGPD)

DataReq Pro intègre la protection des données dès la conception :

Pseudonymisation automatique — Les données marquées comme PII (données personnelles identifiantes) sont automatiquement pseudonymisées via hachage SHA-256 et masquage partiel. Minimisation des données — Le form builder permet de créer des formulaires ne collectant que les données strictement nécessaires. Isolation des données — Architecture multi-tenant avec Row-Level Security (RLS) garantissant qu'aucune donnée ne peut fuiter entre organisations. Chiffrement — AES-256 au repos, TLS 1.3 en transit.

3. Registre des traitements (art. 30 RGPD)

DataReq Pro facilite la tenue du registre des traitements en permettant de documenter les projets de collecte avec leurs finalités et bases légales, d'identifier les champs PII dans chaque formulaire, de tracer l'origine de chaque réponse (source, horodatage), et de conserver un journal d'audit de toutes les opérations.

4. Droits des personnes concernées (art. 15-22 RGPD)

DataReq Pro fournit un module dédié de gestion des demandes de droits :

Droit d'accès (art. 15) — Export des données d'un répondant identifiable. Droit de rectification (art. 16) — Modification des données collectées. Droit à l'effacement (art. 17) — Suppression des données et réponses. Droit à la portabilité (art. 20) — Export dans un format structuré (CSV). Droit d'opposition (art. 21) — Enregistrement et suivi des oppositions.

Chaque demande est traçable avec un statut (en attente, en cours, terminée, rejetée) et des délais de réponse suivis.

5. Notification de violation (art. 33-34 RGPD)

En cas de violation de données personnelles, Mano Verde Inc SA s'engage à notifier le client sans délai indu et au plus tard dans les 72 heures suivant la prise de connaissance de la violation, à fournir toutes les informations requises par l'article 33 du RGPD, et à coopérer avec le client pour la notification à l'autorité de contrôle et aux personnes concernées si nécessaire.

6. Sous-traitance ultérieure (art. 28.2 RGPD)

Nos sous-traitants ultérieurs sont : Supabase Inc (hébergement base de données, données en UE), Amazon Web Services EMEA (infrastructure, données en UE), Vercel Inc (hébergement application, Data Privacy Framework), et Stripe Inc (paiement, Data Privacy Framework).

Tout changement de sous-traitant sera notifié au client avec un préavis de 30 jours, lui permettant de s'opposer ou de résilier.

7. Transferts internationaux (art. 44-49 RGPD)

Les données sont principalement stockées dans l'Union Européenne. Les transferts vers les États-Unis sont encadrés par le Data Privacy Framework (DPF) et/ou des clauses contractuelles types (CCT) approuvées par la Commission Européenne.

8. Sécurité des traitements (art. 32 RGPD)

Mesures techniques mises en œuvre : chiffrement AES-256 / TLS 1.3, pseudonymisation automatique des PII, contrôle d'accès RBAC (admin/contributeur/lecteur), Row-Level Security (RLS) PostgreSQL, sauvegardes quotidiennes chiffrées (rétention 30 jours), journal d'audit complet, monitoring et alertes de sécurité.

9. DPA (Accord de traitement des données)

Un Accord de Traitement des Données (DPA) conforme à l'article 28 du RGPD est disponible pour tous les clients. Consultez-le à l'adresse /legal/dpa.

10. Contact DPO

Pour toute question relative à la protection des données ou pour exercer vos droits, contactez notre Délégué à la Protection des Données : dpo@manovende.com.