From ec4b06c4fa273bbecc4e754db9f2fed108a62449 Mon Sep 17 00:00:00 2001 From: Serge RAKOTO HARRY-NAIVO Date: Fri, 29 May 2026 19:22:38 +0200 Subject: [PATCH] fix(legal): politique de confidentialite - sous-traitants reels (RGPD, audit M13) La page declarait des sous-traitants faux/obsoletes (risque de conformite RGPD): retire HubSpot (decommissionne 2026-05-10) + son transfert hors-UE; Brevo -> Resend (USA) pour les emails; ajoute Cloudflare/Turnstile (USA, traite l'IP du visiteur, sous-traitant non declare); precise que la base de donnees (inscriptions/contacts) est hebergee par Hostinger (Allemagne, UE); corrige l'Article 6 transferts hors-UE en consequence. Applique aux 3 langues FR/EN/MG. Nettoie aussi les commentaires JS obsoletes (worker mva-hubspot-proxy decommissionne). Verifs: 0 mention HubSpot/Brevo restante, node --check OK sur form-handler.js + confirmation.js. Co-Authored-By: Claude Opus 4.8 (1M context) --- js/confirmation.js | 3 +-- js/form-handler.js | 7 +++---- politique-confidentialite.html | 24 ++++++++++++------------ 3 files changed, 16 insertions(+), 18 deletions(-) diff --git a/js/confirmation.js b/js/confirmation.js index 66dfe32..e6e1535 100644 --- a/js/confirmation.js +++ b/js/confirmation.js @@ -17,8 +17,7 @@ // Si le token est invalide / expiré / déjà consommé : affichage d'un // message d'erreur avec invitation à contacter le support. // -// Migration 2026-05-10 : remplace l'ancien Cloudflare Worker -// `mva-hubspot-proxy.sergemind4s.workers.dev` (= décommissionné). +// Les inscriptions sont confirmées via les routes leads de l'API. // ============================================================ const API_BASE_URL = 'https://api.mva.mind4solutions.com'; diff --git a/js/form-handler.js b/js/form-handler.js index a6b3cad..0522768 100644 --- a/js/form-handler.js +++ b/js/form-handler.js @@ -9,9 +9,8 @@ // single-use server-side; without reset, a re-submit silently // 403s from Cloudflare's siteverify endpoint) // -// Migration 2026-05-10 : remplace l'ancien Cloudflare Worker -// `mva-hubspot-proxy.sergemind4s.workers.dev` (= décommissionné) par -// les routes mva-api Fastify. La DB Postgres remplace HubSpot Contacts. +// Les inscriptions sont gérées par les routes leads de l'API (derrière Caddy) +// avec stockage en base Postgres. // ============================================ // ── MVA API BASE URL ───────────────────────────────────────────── @@ -245,7 +244,7 @@ async function sendWelcomeBackEmail(contact) { } } -// Affiche le message "déjà client" — ne modifie AUCUNE donnée HubSpot +// Affiche le message "déjà client" — ne crée aucune nouvelle inscription async function showAlreadyRegistered(contact) { const lang = localStorage.getItem('mva-lang') || 'fr'; const t = translations?.[lang]?.contact || {}; diff --git a/politique-confidentialite.html b/politique-confidentialite.html index a8ec247..0b55b04 100644 --- a/politique-confidentialite.html +++ b/politique-confidentialite.html @@ -148,15 +148,15 @@

Article 5 — Sous-traitants et destinataires

Vos données peuvent être traitées par les sous-traitants suivants, uniquement dans le cadre du service :

Ces prestataires sont soumis à des obligations de confidentialité et de sécurité conformes au RGPD.

Article 6 — Transferts hors Union européenne

-

Certaines données peuvent être transférées vers les États-Unis (HubSpot). Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne ou EU-US Data Privacy Framework). L'hébergement du site (Hostinger) est assuré dans l'Union européenne (datacenter en Allemagne).

+

Certaines données peuvent être transférées vers les États-Unis (Resend, pour l'envoi des emails ; Cloudflare, pour la protection anti-robot du formulaire). Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne ou EU-US Data Privacy Framework). L'hébergement du site et de la base de données (Hostinger) est assuré dans l'Union européenne (datacenter en Allemagne).

Article 7 — Durée de conservation

@@ -257,15 +257,15 @@

Article 5 — Sub-processors and Recipients

Your data may be processed by the following sub-processors, solely for the purpose of providing the service:

These providers are bound by confidentiality and security obligations in accordance with the GDPR.

Article 6 — Transfers Outside the European Union

-

Some data may be transferred to the United States (HubSpot). These transfers are governed by appropriate safeguards (EU Standard Contractual Clauses or the EU-US Data Privacy Framework). Website hosting (Hostinger) is located within the European Union (datacenter in Germany).

+

Some data may be transferred to the United States (Resend, for email delivery; Cloudflare, for form anti-bot protection). These transfers are governed by appropriate safeguards (EU Standard Contractual Clauses or the EU-US Data Privacy Framework). Website and database hosting (Hostinger) is located within the European Union (datacenter in Germany).

Article 7 — Data Retention Period

@@ -366,15 +366,15 @@

Andininy 5 — Mpandray sy mpiara-miasa

Ny angon-drakitrareo dia mety hodinina amin'ireto mpiara-miasa ireto, ao anatin'ny serivisy fotsiny :

Ireo mpamatsy ireo dia voafehin'ny adidy momba ny tsiambaratelo sy ny fiarovana mifanaraka amin'ny RGPD.

Andininy 6 — Famindrana ivelan'ny Vondrona Eoropeana

-

Mety hafindra any Etazonia (HubSpot) ny angon-drakitra sasany. Ireo famindrana ireo dia voaaro amin'ny antoka sahaza (SCC Eoropeana na EU-US Data Privacy Framework). Ny fampiantranoana ny tranonkala (Hostinger) dia ao anatin'ny Vondrona Eoropeana (datacenter any Alemaina).

+

Mety hafindra any Etazonia (Resend, ho an'ny fandefasana mailaka ; Cloudflare, ho an'ny fiarovana manohitra ny robot) ny angon-drakitra sasany. Ireo famindrana ireo dia voaaro amin'ny antoka sahaza (SCC Eoropeana na EU-US Data Privacy Framework). Ny fampiantranoana ny tranonkala sy ny banky angona (Hostinger) dia ao anatin'ny Vondrona Eoropeana (datacenter any Alemaina).

Andininy 7 — Faharetan'ny fitahirizana