Accord de traitement des données (résumé)

Dernière mise à jour : 2026-06-15

Quand vous collectez des retours auprès de visiteurs via Couac, vous êtes le responsable du traitement et Couac est le sous-traitant. Cette page résume nos engagements ; le DPA complet est disponible sur demande à [email protected].

Catégories de données traitées

• Adresse email et nom des rapporteurs (si fournis)
• Captures d'écran et annotations capturées par le widget
• Métadonnées techniques : URL, user-agent, OS, taille d'écran, erreurs console et réseau
• Commentaires laissés par les clients via les tableaux à lien magique

Sous-traitants

Voir la page dédiée aux sous-traitants.

Mesures de sécurité

• TLS partout · HSTS · flags cookies (HttpOnly, Secure, SameSite)
• Tokens hachés au repos pour clés API, tokens MCP, liens de partage, webhooks
• Rate limiting et CAPTCHA sur les endpoints publics de soumission
• Sauvegardes Postgres chiffrées quotidiennes, stockées en France
• Journaux d'audit pour les accès partagés et l'utilisation des outils MCP

Localisation des données

Compute applicatif, base de données Postgres et logs hébergés en France (PulseHeberg, Toulon). Captures stockées sur Cloudflare R2 (région UE). Les transferts éventuels hors EEE s'appuient sur les Clauses Contractuelles Types.

Changement de sous-traitants

Nous vous notifierons au moins 30 jours avant l'ajout d'un nouveau sous-traitant. Vous pouvez vous y opposer ; si l'objection ne peut être résolue sous 30 jours, vous pouvez résilier votre compte.

Droits des personnes concernées

Couac vous assiste dans les demandes (accès, rectification, effacement, portabilité) via la suppression et l'export du compte intégrés, et par email à [email protected].