fix(legal): politique de confidentialité — sous-traitants réels (RGPD, audit M13) #17

Open
serge wants to merge 1 commits from fix/rgpd-sous-traitants into main
3 changed files with 16 additions and 18 deletions

View File

@ -17,8 +17,7 @@
// Si le token est invalide / expiré / déjà consommé : affichage d'un // Si le token est invalide / expiré / déjà consommé : affichage d'un
// message d'erreur avec invitation à contacter le support. // message d'erreur avec invitation à contacter le support.
// //
// Migration 2026-05-10 : remplace l'ancien Cloudflare Worker // Les inscriptions sont confirmées via les routes leads de l'API.
// `mva-hubspot-proxy.sergemind4s.workers.dev` (= décommissionné).
// ============================================================ // ============================================================
const API_BASE_URL = 'https://api.mva.mind4solutions.com'; const API_BASE_URL = 'https://api.mva.mind4solutions.com';

View File

@ -9,9 +9,8 @@
// single-use server-side; without reset, a re-submit silently // single-use server-side; without reset, a re-submit silently
// 403s from Cloudflare's siteverify endpoint) // 403s from Cloudflare's siteverify endpoint)
// //
// Migration 2026-05-10 : remplace l'ancien Cloudflare Worker // Les inscriptions sont gérées par les routes leads de l'API (derrière Caddy)
// `mva-hubspot-proxy.sergemind4s.workers.dev` (= décommissionné) par // avec stockage en base Postgres.
// les routes mva-api Fastify. La DB Postgres remplace HubSpot Contacts.
// ============================================ // ============================================
// ── MVA API BASE URL ───────────────────────────────────────────── // ── MVA API BASE URL ─────────────────────────────────────────────
@ -245,7 +244,7 @@ async function sendWelcomeBackEmail(contact) {
} }
} }
// Affiche le message "déjà client" — ne modifie AUCUNE donnée HubSpot // Affiche le message "déjà client" — ne crée aucune nouvelle inscription
async function showAlreadyRegistered(contact) { async function showAlreadyRegistered(contact) {
const lang = localStorage.getItem('mva-lang') || 'fr'; const lang = localStorage.getItem('mva-lang') || 'fr';
const t = translations?.[lang]?.contact || {}; const t = translations?.[lang]?.contact || {};

View File

@ -148,15 +148,15 @@
<h2><i class="fa-solid fa-cloud"></i> Article 5 — Sous-traitants et destinataires</h2> <h2><i class="fa-solid fa-cloud"></i> Article 5 — Sous-traitants et destinataires</h2>
<p>Vos données peuvent être traitées par les sous-traitants suivants, uniquement dans le cadre du service :</p> <p>Vos données peuvent être traitées par les sous-traitants suivants, uniquement dans le cadre du service :</p>
<ul> <ul>
<li><strong>HubSpot, Inc.</strong> (États-Unis) — Gestion des contacts et du formulaire d'inscription</li> <li><strong>Hostinger International Ltd.</strong> (Chypre / datacenter Allemagne) — Hébergement du site web et de la base de données (formulaire d'inscription, contacts)</li>
<li><strong>Brevo (ex-Sendinblue)</strong> (France) — Envoi des emails transactionnels (confirmation d'inscription)</li> <li><strong>Resend, Inc.</strong> (États-Unis) — Envoi des emails transactionnels (confirmation d'inscription)</li>
<li><strong>Hostinger International Ltd.</strong> (Chypre / datacenter Allemagne) — Hébergement du site web</li> <li><strong>Cloudflare, Inc.</strong> (États-Unis) — Protection anti-robot du formulaire (Turnstile) ; traite l'adresse IP du visiteur</li>
</ul> </ul>
<p>Ces prestataires sont soumis à des obligations de confidentialité et de sécurité conformes au RGPD.</p> <p>Ces prestataires sont soumis à des obligations de confidentialité et de sécurité conformes au RGPD.</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-globe"></i> Article 6 — Transferts hors Union européenne</h2> <h2><i class="fa-solid fa-globe"></i> Article 6 — Transferts hors Union européenne</h2>
<p>Certaines données peuvent être transférées vers les États-Unis (HubSpot). Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne ou EU-US Data Privacy Framework). L'hébergement du site (Hostinger) est assuré dans l'Union européenne (datacenter en Allemagne).</p> <p>Certaines données peuvent être transférées vers les États-Unis (Resend, pour l'envoi des emails ; Cloudflare, pour la protection anti-robot du formulaire). Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne ou EU-US Data Privacy Framework). L'hébergement du site et de la base de données (Hostinger) est assuré dans l'Union européenne (datacenter en Allemagne).</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-clock"></i> Article 7 — Durée de conservation</h2> <h2><i class="fa-solid fa-clock"></i> Article 7 — Durée de conservation</h2>
@ -257,15 +257,15 @@
<h2><i class="fa-solid fa-cloud"></i> Article 5 — Sub-processors and Recipients</h2> <h2><i class="fa-solid fa-cloud"></i> Article 5 — Sub-processors and Recipients</h2>
<p>Your data may be processed by the following sub-processors, solely for the purpose of providing the service:</p> <p>Your data may be processed by the following sub-processors, solely for the purpose of providing the service:</p>
<ul> <ul>
<li><strong>HubSpot, Inc.</strong> (United States) — Contact management and registration form</li> <li><strong>Hostinger International Ltd.</strong> (Cyprus / datacenter Germany) — Website and database hosting (registration form, contacts)</li>
<li><strong>Brevo (formerly Sendinblue)</strong> (France) — Transactional email delivery (registration confirmation)</li> <li><strong>Resend, Inc.</strong> (United States) — Transactional email delivery (registration confirmation)</li>
<li><strong>Hostinger International Ltd.</strong> (Cyprus / datacenter Germany) — Website hosting</li> <li><strong>Cloudflare, Inc.</strong> (United States) — Form anti-bot protection (Turnstile); processes the visitor's IP address</li>
</ul> </ul>
<p>These providers are bound by confidentiality and security obligations in accordance with the GDPR.</p> <p>These providers are bound by confidentiality and security obligations in accordance with the GDPR.</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-globe"></i> Article 6 — Transfers Outside the European Union</h2> <h2><i class="fa-solid fa-globe"></i> Article 6 — Transfers Outside the European Union</h2>
<p>Some data may be transferred to the United States (HubSpot). These transfers are governed by appropriate safeguards (EU Standard Contractual Clauses or the EU-US Data Privacy Framework). Website hosting (Hostinger) is located within the European Union (datacenter in Germany).</p> <p>Some data may be transferred to the United States (Resend, for email delivery; Cloudflare, for form anti-bot protection). These transfers are governed by appropriate safeguards (EU Standard Contractual Clauses or the EU-US Data Privacy Framework). Website and database hosting (Hostinger) is located within the European Union (datacenter in Germany).</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-clock"></i> Article 7 — Data Retention Period</h2> <h2><i class="fa-solid fa-clock"></i> Article 7 — Data Retention Period</h2>
@ -366,15 +366,15 @@
<h2><i class="fa-solid fa-cloud"></i> Andininy 5 — Mpandray sy mpiara-miasa</h2> <h2><i class="fa-solid fa-cloud"></i> Andininy 5 — Mpandray sy mpiara-miasa</h2>
<p>Ny angon-drakitrareo dia mety hodinina amin'ireto mpiara-miasa ireto, ao anatin'ny serivisy fotsiny :</p> <p>Ny angon-drakitrareo dia mety hodinina amin'ireto mpiara-miasa ireto, ao anatin'ny serivisy fotsiny :</p>
<ul> <ul>
<li><strong>HubSpot, Inc.</strong> (Etazonia) — Fitantanana ny mpifandray sy ny taratasy fisoratana anarana</li> <li><strong>Hostinger International Ltd.</strong> (Sipra / datacenter Alemaina) — Fampiantranoana ny tranonkala sy ny banky angona (taratasy fisoratana anarana, mpifandray)</li>
<li><strong>Brevo (taloha Sendinblue)</strong> (Frantsa) — Fandefasana mailaka (fanamafisana fisoratana anarana)</li> <li><strong>Resend, Inc.</strong> (Etazonia) — Fandefasana mailaka (fanamafisana fisoratana anarana)</li>
<li><strong>Hostinger International Ltd.</strong> (Sipra / datacenter Alemaina) — Fampiantranoana ny tranonkala</li> <li><strong>Cloudflare, Inc.</strong> (Etazonia) — Fiarovana manohitra ny robot amin'ny taratasy (Turnstile) ; mandinika ny adiresy IP an'ny mpitsidika</li>
</ul> </ul>
<p>Ireo mpamatsy ireo dia voafehin'ny adidy momba ny tsiambaratelo sy ny fiarovana mifanaraka amin'ny RGPD.</p> <p>Ireo mpamatsy ireo dia voafehin'ny adidy momba ny tsiambaratelo sy ny fiarovana mifanaraka amin'ny RGPD.</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-globe"></i> Andininy 6 — Famindrana ivelan'ny Vondrona Eoropeana</h2> <h2><i class="fa-solid fa-globe"></i> Andininy 6 — Famindrana ivelan'ny Vondrona Eoropeana</h2>
<p>Mety hafindra any Etazonia (HubSpot) ny angon-drakitra sasany. Ireo famindrana ireo dia voaaro amin'ny antoka sahaza (SCC Eoropeana na EU-US Data Privacy Framework). Ny fampiantranoana ny tranonkala (Hostinger) dia ao anatin'ny Vondrona Eoropeana (datacenter any Alemaina).</p> <p>Mety hafindra any Etazonia (Resend, ho an'ny fandefasana mailaka ; Cloudflare, ho an'ny fiarovana manohitra ny robot) ny angon-drakitra sasany. Ireo famindrana ireo dia voaaro amin'ny antoka sahaza (SCC Eoropeana na EU-US Data Privacy Framework). Ny fampiantranoana ny tranonkala sy ny banky angona (Hostinger) dia ao anatin'ny Vondrona Eoropeana (datacenter any Alemaina).</p>
<hr class="legal-divider"> <hr class="legal-divider">
<h2><i class="fa-solid fa-clock"></i> Andininy 7 — Faharetan'ny fitahirizana</h2> <h2><i class="fa-solid fa-clock"></i> Andininy 7 — Faharetan'ny fitahirizana</h2>