Accord de traitement des données

Data Processing Agreement (DPA)

Rôles

Dans le cadre de l'utilisation du service unitae.app, chaque assemblée locale est le responsable du traitement (data controller) de ses données. Elle détermine les finalités et les moyens du traitement des données personnelles de ses membres.

MindsersIT agit en qualité de sous-traitant (data processor). MindsersIT traite les données personnelles uniquement sur instruction documentée du responsable du traitement et dans le cadre de la fourniture du service.

Objet et durée

  • Objet : hébergement et traitement des données de l'assemblée locale via la plateforme Unitae
  • Durée : pendant toute la durée de l'abonnement au service unitae.app
  • Types de données : données d'identification, coordonnées, données religieuses (catégorie spéciale), rapports d'activité, attributions de territoires
  • Personnes concernées : membres de l'assemblée locale

Obligations du sous-traitant

MindsersIT s'engage à :

  • Traiter les données uniquement sur instruction documentée du responsable du traitement
  • Garantir la confidentialité : toute personne ayant accès aux données est soumise à une obligation de confidentialité
  • Mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées (article 32)
  • Ne pas faire appel à un autre sous-traitant sans autorisation préalable écrite — la liste des sous-traitants est publiée et mise à jour
  • Aider le responsable du traitement à répondre aux demandes d'exercice des droits des personnes concernées (outils d'export et d'anonymisation intégrés)
  • Notifier le responsable du traitement dans les meilleurs délais en cas de violation de données (et assister dans la notification à la CNIL sous 72 heures)
  • Supprimer ou restituer les données à la fin du contrat, au choix du responsable du traitement (export JSON disponible)
  • Mettre à disposition les informations nécessaires pour démontrer le respect des obligations et permettre la réalisation d'audits

Données de catégorie spéciale

Les données traitées incluent des données révélant des convictions religieuses (article 9 du RGPD). MindsersIT met en œuvre des mesures de protection renforcées :

  • Isolation stricte des données par assemblée (Row-Level Security PostgreSQL)
  • Chiffrement en transit (TLS) et au repos
  • Contrôle d'accès granulaire (14 rôles)
  • Hébergement exclusivement en Union européenne (OVH France)
  • Consentement explicite recueilli auprès de chaque utilisateur

Transferts internationaux

Les données principales sont hébergées en France (OVH). Certains sous-traitants ultérieurs sont situés aux États-Unis et sont couverts par le EU-US Data Privacy Framework. Voir la liste complète des sous-traitants.

Fin du contrat

À la fin de l'abonnement, le responsable du traitement peut :

  • Exporter l'intégralité des données de l'assemblée au format JSON
  • Demander la suppression complète des données (anonymisation irréversible)

MindsersIT procède à la suppression des données dans un délai de 30 jours après la fin du contrat, sauf obligation légale de conservation.

Contact

Pour toute question relative au traitement des données ou pour obtenir une copie signée du DPA : privacy@mindsers.it