Accord de traitement des données

Le présent accord de traitement des données (« ATD ») décrit comment promptShield traite les données personnelles pour le compte de ses clients, en appui au RGPD et aux lois équivalentes de protection des données.

Dernière mise à jour : June 22, 2026

En résumé

Pour les documents que vous anonymisez, promptShield n'est pas un sous-traitant de données : ce contenu ne quitte jamais votre appareil et n'atteint jamais nos systèmes, il n'y a donc rien à traiter pour votre compte. Nous agissons comme sous-traitant uniquement pour les données limitées de compte et de licence nécessaires au fonctionnement de votre abonnement.

1. Définitions

« Responsable du traitement », « Sous-traitant », « Personne concernée », « Données personnelles » et « Traitement » ont le sens que leur donne le Règlement général sur la protection des données (UE) 2016/679 (« RGPD »). « Client » désigne l'entité ou la personne ayant conclu les Conditions d'utilisation avec promptShield. « Données personnelles du client » désigne les données personnelles que promptShield traite pour le compte du client en vertu des présentes.

2. Rôles des parties

Concernant les données de compte et de licence, le client est le responsable du traitement et promptShield est le sous-traitant. Concernant le contenu des documents traité dans l'application, aucun traitement par promptShield n'a lieu : toute la détection et la rédaction s'exécutent localement sur l'appareil du client, qui demeure le seul responsable et l'unique gestionnaire de ce contenu. promptShield ne reçoit, ne stocke ni n'a aucun moyen technique d'accéder au contenu des documents.

3. Portée et objet du traitement

Les seules données personnelles que promptShield traite pour le compte du client sont :

  • Données d'identité et de contact — adresse e-mail utilisée pour le compte.
  • Données de facturation — informations de facturation traitées via Stripe ; les numéros de carte ne sont jamais stockés par promptShield.
  • Données de licence — une empreinte de machine SHA-256 et l'état de l'abonnement servant à faire respecter les limites d'appareils et les droits.

Le contenu des documents, les entités détectées et les résultats caviardés sont expressément hors de portée : ils ne sont traités que sur l'appareil du client et ne sont jamais transmis à promptShield.

4. Durée

Le traitement se poursuit pendant la durée de l'abonnement. À la résiliation, les données de compte sont supprimées sur demande, et les empreintes de machine liées aux licences expirées sont supprimées automatiquement après 90 jours, comme décrit dans la politique de confidentialité.

5. Sous-traitants ultérieurs

Le client autorise promptShield à recourir aux sous-traitants ultérieurs énumérés dans notre politique de confidentialité (actuellement Firebase Authentication, Stripe, Google Cloud, Sentry et Resend), chacun ne recevant que les données nécessaires à sa fonction. Nous refléterons tout ajout ou remplacement dans la date de dernière mise à jour de la politique de confidentialité et offrirons une possibilité raisonnable de s'y opposer.

6. Mesures de sécurité

promptShield met en œuvre des mesures techniques et organisationnelles appropriées, notamment le chiffrement TLS en transit, des identifiants hachés avec bcrypt, la vérification de licences signées Ed25519, des binaires signés et le nettoyage des données personnelles dans les rapports d'erreur. Comme le contenu des documents n'est jamais transmis, la catégorie de données la plus sensible ne comporte par conception aucun risque de transmission ni de stockage serveur. Voir notre page Sécurité pour les détails.

7. Transferts internationaux

Les données de compte et de licence sont traitées sur une infrastructure cloud située aux États-Unis. Lorsque la loi l'exige, les transferts sont encadrés par des garanties appropriées telles que les clauses contractuelles types de l'UE, disponibles sur demande.

8. Demandes des personnes concernées

promptShield assistera le client, compte tenu de la nature du traitement, pour répondre aux demandes des personnes concernées souhaitant exercer leurs droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Comme le contenu des documents n'est jamais reçu, ces demandes ne portent que sur les données de compte et de licence.

9. Violation de données personnelles

promptShield avisera le client sans retard injustifié après avoir pris connaissance d'une violation de données personnelles affectant les données personnelles du client, et fournira les informations raisonnablement nécessaires pour que le client respecte ses propres obligations de notification.

10. Audits

promptShield mettra à disposition, sur demande raisonnable et sous réserve de confidentialité, les informations nécessaires pour démontrer le respect du présent ATD. Compte tenu du modèle de traitement strictement local, les documents soumis à l'anonymisation ne se trouvent pas dans les systèmes de promptShield et ne relèvent donc pas d'un tel audit.

11. Restitution et suppression

À la résiliation, et à la demande du client, promptShield supprimera les données de compte et de licence du client, sauf lorsque la conservation est requise par la loi. Le contenu des documents ne nécessite ni restitution ni suppression, car il n'a jamais été en possession de promptShield.

12. Contact

Pour demander une copie contresignée du présent ATD, les clauses contractuelles types, ou pour poser une question relative à la protection des données, contactez-nous à legal@promptshield.ca.