$ cat /etc/internalhost/dpa

Accord de traitement des données

Version 1.0 · Dernière mise à jour : 2026-05-19 · Fait partie des conditions de service

Cet accord de traitement des données (DPA) fait partie de nos conditions de service et s'applique automatiquement dès que toi, en tant que client B2B, prends un service dans lequel on traite des données personnelles de tes utilisateurs finaux pour ton compte (RGPD art. 28). Tu n'as pas besoin de le signer séparément — accepter les conditions = accepter ce DPA.

1. Parties et rôles

Responsable du traitement : toi, le client (le « Client »).

Sous-traitant : InternalHost (entreprise individuelle Xaviero Kajafas, KvK néerlandais 90174720).

InternalHost traite les données personnelles uniquement sur instructions du Client et uniquement dans la mesure nécessaire pour fournir les services convenus (hébergement, stockage, mail, réseau).

2. Objet et durée

  • Objet : traitement de données personnelles dans le cadre des services d'infrastructure IT que nous fournissons.
  • Nature du traitement : stockage, transmission (au sein de notre infrastructure), sauvegarde — pas de traitement actif du contenu des utilisateurs finaux par nous.
  • Finalité : mise à disposition des services IT convenus.
  • Catégories de personnes concernées : telles que déterminées par le Client. On n'a pas de visibilité (on ne regarde pas dans tes bases de données).
  • Types de données personnelles : tels que déterminés par le Client. Les catégories spéciales (santé, religion, etc.) sont permises à condition que le Client prenne les mesures techniques et organisationnelles appropriées.
  • Durée : tant que l'accord principal court, plus une période de récupération de 14 jours après résiliation.

3. Mesures de sécurité

InternalHost prend au moins les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : TLS 1.2+ sur tous les endpoints publics, WireGuard pour le mesh interne.
  • Chiffrement au repos : LUKS sur tous les volumes de stockage. Le chiffrement au niveau Client relève de la responsabilité du Client.
  • Contrôle d'accès : SSH par clés ed25519 uniquement, MFA obligatoire pour l'accès admin, principe du moindre privilège.
  • Journalisation : les accès à l'infrastructure sont journalisés (90 jours).
  • Sauvegardes : snapshots chiffrés quotidiens des volumes clients, rétention 7j/4s/12m (de notre côté — la sauvegarde applicative reste sous la responsabilité du Client).
  • Sécurité physique : Qupra DC dispose d'un accès supervisé 24/7, certifié ISO 27001 + 9001, accès biométrique + mantrap.
  • Mises à jour logicielles : patchs de sécurité sous 7 jours après publication, critiques sous 24 heures.
  • Monitoring : CrowdSec + fail2ban sur tous les services exposés.

Un aperçu actuel des mesures techniques est disponible sur demande à [email protected].

4. Sous-sous-traitants

On utilise les sous-traitants suivants. Tous dans l'UE. On notifie les changements au moins 30 jours à l'avance, pour que le Client puisse s'y opposer.

Sous-traitantFinalitéLocalisation
Qupra Data Centers BVDatacenter / colocationAmsterdam, NL
Mollie B.V.PaiementsAmsterdam, NL
Revolut Payments UABPaiements (alternative)Vilnius, LT
Cloudflare Germany GmbHCDN / DDoSDE, région données UE
Hoster B.V. (OpenProvider)Enregistrement de domaines (optionnel)La Haye, NL

5. Transfert hors UE

On ne transfère pas de données personnelles vers des pays hors UE/EEE, sauf lorsque Cloudflare en tant que CDN route nécessairement via des PoPs non-UE en cas de DDoS. Dans ce cas, des Clauses Contractuelles Types s'appliquent entre nous et Cloudflare.

6. Procédure violation de données

En cas de violation de données personnelles affectant le Client, on notifie le Client dans les 24 heures suivant la découverte (via l'email enregistré) avec :

  • La nature de la violation
  • Les catégories et le nombre approximatif de personnes affectées
  • Les conséquences probables
  • Les mesures prises ou proposées

Le Client décide si une notification à l'autorité de protection des données est requise. On apporte le soutien nécessaire.

7. Résiliation et restitution des données

Après résiliation de l'accord principal :

  • Le Client a 14 jours pour télécharger toutes ses données (via SSH/SFTP, ou requête d'export).
  • Après quoi, toutes les données personnelles sont définitivement supprimées, sauf lorsque la rétention légale s'applique (fisc néerlandais : données de facturation pendant 7 ans).
  • Sur demande on fournit un certificat écrit de destruction.

Pour des contrats spécifiques (B2B grands comptes, santé, secteur financier) on peut signer un DPA sur mesure. Email [email protected].