Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Accord de traitement des données

Version 3.0 · Dernière mise à jour : 9 mai 2026 · Applicable immédiatement

1. Parties

Le présent Accord de traitement des données ("DPA") est conclu entre le Client ("Responsable du traitement") et YARDtwin Ltd, enregistrée en Irlande ("Sous-traitant"), collectivement les "Parties". Ce DPA fait partie des, et est soumis aux, Conditions d'utilisation de YARDtwin Conditions d'utilisation.

2. Périmètre et finalité

Le Sous-traitant traite les données personnelles pour le compte du Responsable du traitement uniquement aux fins de la fourniture de la plateforme de gestion de cour YARDtwin : planification des quais, opérations de portail, visualisation numérique jumelle de la cour, gestion des transporteurs et des chauffeurs, piste d'audit conforme GMP, analytique et intégrations. Le traitement est effectué pour la durée de l'abonnement du Responsable du traitement et toute période de conservation requise par la Section 11.

3. Catégories de personnes concernées

  • Employés et administrateurs du Responsable du traitement (utilisateurs nommés de la plateforme)
  • Chauffeurs et personnels logistiques enregistrés aux portails du Responsable du traitement
  • Représentants des transporteurs et contacts d'expédition
  • Personnel de sécurité des portails et opérateurs d'entrepôt

4. Types de données personnelles

  • Données d'identité : noms, adresses e-mail, numéros de téléphone, poste/intitulé de fonction, raison sociale et adresse de l'entreprise
  • Données d'authentification : mots de passe hachés bcrypt (12 tours), jetons d'accès et de rafraîchissement JWT, horodatages de session, adresses IP, identifiants SSO (Google, Microsoft)
  • Données opérationnelles : rendez-vous, affectations de quais, mouvements de remorques, enregistrements d'inspection, documents, attributions de tâches, immatriculations de véhicules
  • Données chauffeurs : numéros de permis, images de permis, images faciales optionnelles pour la vérification biométrique au portail (données de catégorie spéciale, art. 9 GDPR — traitées uniquement lorsque le Responsable du traitement a activé la vérification biométrique au portail et a recueilli un consentement explicite au moment de la collecte)
  • Données d'audit : actions des utilisateurs, horodatages, adresses IP, chaînes user-agent, différences anciennes/nouvelles valeurs, enregistrements marqués GMP

5. Obligations du Sous-traitant

  • Traiter les données personnelles uniquement sur instructions documentées du Responsable du traitement (l'interface utilisateur de la plateforme et l'API constituent des instructions documentées)
  • S'assurer que les personnes autorisées à traiter les données sont liées par des accords de confidentialité
  • Mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées (art. 32) — voir Section 7 ci-dessous
  • Ne pas faire appel à des sous-traitants ultérieurs sans autorisation écrite préalable ; fournir un préavis de 30 jours pour tout nouveau sous-traitant (droit d'opposition)
  • Assister le Responsable du traitement dans les demandes des personnes concernées (art. 15–22) via les points de terminaison DSAR décrits à la Section 9
  • Notifier au Responsable du traitement toute violation de données personnelles sans délai indu et dans les 72 heures (Section 8)
  • Supprimer ou restituer l'ensemble des données personnelles à la fin des services (Section 11)
  • Mettre à disposition toutes les informations nécessaires pour démontrer la conformité et faciliter les audits (Section 12)

6. Sous-traitants ultérieurs

Le Sous-traitant fait actuellement appel aux sous-traitants ultérieurs suivants, chacun agissant dans le cadre d'un accord de traitement des données et (le cas échéant) des Clauses Contractuelles Types 2021 :

Sous-traitantFinalitéLocalisationGaranties
Microsoft AzureHébergement (App Service, Postgres Flexible Server, Blob Storage, Key Vault, App Insights, Front Door + WAF)EEA — Suède Centre + Norvège EstDPA Microsoft Online Services + SCCs UE, ISO 27001, SOC 2 Type II, ISO 27018, EU Data Boundary
StripeFacturation des abonnements et traitement des paiements (aucun numéro de carte stocké par YARDtwin)Stripe Irlande (EEA), support partiel aux États-UnisDPA Stripe + SCCs UE + PCI DSS Niveau 1
ResendE-mails transactionnels (bienvenue, rappels d'essai, réponses DSAR, alertes de violation)États-Unis (Delaware)DPA Resend + SCCs UE (vérification des mesures supplémentaires FISA 702 en cours — voir Politique GDPR 11.6)
Google Cloud VisionOCR de permis de conduire (uniquement lorsque le Responsable du traitement active la vérification du permis au portail)Régions UEDPA Google Cloud + SCCs UE, ISO 27001, SOC 2
Google / Microsoft (OAuth SSO)Jetons d'identité SSO pour les utilisateurs ayant choisi le SSOEEA (Microsoft Entra ID) / Mondial (Google Workspace)DPA Microsoft / Google Cloud
AnthropicAPI Claude pour l'assistant IA intégré au produit + analyse du texte OCR de permisÉtats-Unis (Californie)DPA Anthropic + engagement zéro-rétention + SCCs UE (vérification des mesures supplémentaires FISA 702 en cours)

Les clients sont informés au moins 30 jours avant l'ajout de tout nouveau sous-traitant ultérieur, avec droit d'opposition et de résiliation sans pénalité.

7. Mesures de sécurité (art. 32)

  • Chiffrement en transit : TLS 1.2+ sur chaque point de terminaison ; certificats gérés par Microsoft Azure (DigiCert)
  • Chiffrement au repos : Chiffrement transparent des données Azure Postgres Flexible Server ; chiffrement Azure Blob Storage
  • Chiffrement au niveau des champs : AES-256-GCM pour les données biométriques (images de permis de conduire, images de signature), clés conservées dans Azure Key Vault
  • Hachage des mots de passe : bcrypt, 12 tours
  • Authentification : Jetons d'accès JWT (expiration 1 heure) + jetons de rafraîchissement (expiration 7 jours, rotation à l'usage) ; SSO via Google et Microsoft équivalent MFA
  • Isolation des locataires : appliquée sur chaque route API, testée par régression via un audit croisé à 25 vecteurs à chaque publication
  • Contrôle d'accès basé sur les rôles : six rôles (admin, ops_manager, gate_guard, warehouse_operator, carrier, super_admin), middleware à moindre privilège
  • Pare-feu applicatif Web : Azure Front Door + WAF géré (ensemble de règles OWASP Core, protection contre les bots, DDoS L7)
  • Limitation du débit : limites par route, plus strictes sur les points d'accès d'authentification ; suivi des tentatives en mémoire et persisté
  • Piste d'audit : en ajout uniquement au niveau applicatif, conservation 6 ans, entrées GMP pertinentes marquées séparément, pseudonymisées (non supprimées) lors de l'effacement Art. 17 en vertu de l'Art. 17(3)(b)
  • Surveillance continue : Azure Application Insights, alerte de dérive de schéma (fenêtre de 15 minutes), sonde de bout en bout /health/db-write, agent de détection d'anomalies (pics d'échecs de connexion, attaques multi-IP, connexions depuis un nouveau pays, taux de 5xx)
  • Chaîne d'approvisionnement logicielle : npm audit, Trivy, Semgrep, gitleaks, OWASP ZAP à chaque PR. Secrets : Azure Key Vault accessible via l'identité managée App Service ; aucun secret dans le code, les fichiers env ou les images de conteneur

8. Notification des violations de données personnelles

Le Sous-traitant notifie le Responsable du traitement sans délai indu et au plus tard 72 heures après avoir pris connaissance d'une violation de données personnelles affectant les données du Responsable (Art. 33). La notification comprend la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, les mesures prises ou envisagées, ainsi que la référence au registre des violations. Les anomalies détectées sont acheminées vers le groupe d'action Azure Monitor yardtwin-breach-actions ; les incidents confirmés sont suivis dans la table du registre des violations avec un compte à rebours de 72 heures pour la DPC.

9. Droits des personnes concernées

Le Sous-traitant met à la disposition du Responsable du traitement les points d'accès suivants pour satisfaire aux droits des personnes concernées dans le délai de 30 jours prévu par l'Art. 12(3) :

  • POST /api/v1/dsar/export/by-email — export lisible par machine couvrant l'Art. 15 (accès) et l'Art. 20 (portabilité)
  • POST /api/v1/dsar/erase/by-email — pseudonymisation sur toutes les tables de données personnelles, avec conservation des journaux d'audit conformément à l'Art. 17(3)(b)
  • Portail de demande en libre-service à /data-request

10. Transferts internationaux

Les données opérationnelles sont stockées au sein de l'Espace économique européen (Microsoft Azure, Suède centrale + Norvège Est). Les transferts ultérieurs vers des sous-traitants hors EEE (Resend, Anthropic) sont encadrés par les Clauses contractuelles types 2021 avec des évaluations d'impact sur les transferts documentées. Stripe contracte via Stripe Ireland (principal EEE).

11. Durée, résiliation et restitution des données

Le présent DPA reste en vigueur pendant toute la durée du contrat de service. À la résiliation :

  • Le Responsable du traitement peut exporter l'ensemble de ses données dans les 30 jours via les fonctions d'export intégrées ou sur demande
  • Après 30 jours, le Sous-traitant supprimera toutes les données personnelles opérationnelles du Responsable du traitement
  • Les journaux d'audit sont conservés 6 ans après l'événement sous forme pseudonymisée, conformément aux exigences de 21 CFR Part 11 / EU GMP Annex 11 (dérogation pour obligation légale Art. 17(3)(b))
  • Les sauvegardes sont purgées dans les 7 jours suivant la suppression opérationnelle, conformément à la fenêtre de restauration à un instant donné

12. Droits d'audit

Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer la conformité à l'Art. 28 GDPR. Les clients peuvent demander : des copies des certifications de sécurité et rapports d'audit pertinents (le cas échéant), le registre actuel des sous-traitants, le dernier rapport de test de régression d'isolation des locataires, le dernier résumé de test d'intrusion externe (le cas échéant, voir la politique GDPR 11.1), ainsi que des réponses à un questionnaire de sécurité fournisseur. Des audits raisonnables sur site ou à distance peuvent être organisés avec un préavis d'au moins 30 jours, conduits par le Responsable du traitement ou un tiers indépendant soumis à confidentialité. Le Sous-traitant accordera la priorité aux rapports ISO 27001 / SOC 2 Type II comme éléments de preuve substituts une fois ces certifications obtenues.

13. Responsabilité et droit applicable

La responsabilité au titre du présent DPA est soumise aux limitations énoncées dans les conditions générales de YARDtwin Conditions d'utilisation. Le présent DPA est régi par le droit irlandais et le Règlement général sur la protection des données (GDPR) de l'UE. Tout litige relève de la compétence exclusive des juridictions irlandaises.

14. Contact

Pour toute question relative au présent DPA, pour demander un exemplaire contresigné ou pour exercer l'un des droits mentionnés ci-dessus, contactez admin@yardtwin.com ou le délégué à la protection des données à dpo@yardtwin.com. Un DPO externe fractionné est en cours de contractualisation (politique GDPR 11.2) ; jusqu'à sa nomination, les messages envoyés à dpo@yardtwin.com sont redirigés vers admin@yardtwin.com.

En acceptant, le Client s'engage à être lié par le présent Accord de traitement des données v3.0 en tant que Responsable du traitement.

Bonjour ! Démarrez votre essai gratuit en 2 minutes — je vous aide à tout configurer !