EN Support ↗ Nous parler Voir les tarifs →

№ 008 / Traitement des données

Comment nous gérons vos données, par écrit.

Voici l'Addendum de traitement des données (DPA) entre vous, le responsable de traitement, et KiwiStack, le sous-traitant, rédigé en langage clair. Le PDF signé ci-dessous est le texte juridique opérationnel. En cas de désaccord entre les deux, le PDF gagne, et nous corrigerons cette page.

Version

v2026.05

En vigueur depuis le 2026-05-11

Juridiction

Droit luxembourgeois

Autorité de contrôle : CNPD

PDF contre-signé

Écrivez à hello@kiwistack.io.

Cette page est le texte canonique. Un PDF contre-signé est émis par client sur demande.

01 / Rôles

Vous (le client) êtes le responsable de traitement pour les données personnelles à l'intérieur de votre tenant KiwiStack : les boîtes mail, fichiers, agendas, salons de chat, enregistrements de réunions, registres projets de votre équipe, et le reste. Vous décidez ce qui rentre et pourquoi.

Nous (KiwiStack, exploité par Corentin Dekimpe depuis le Luxembourg) sommes le sous-traitant. Nous exploitons l'infrastructure et la pile logicielle open source documentée sur /architecture. Nous agissons sur vos instructions, plus ce qui est nécessaire pour faire tourner le service et nous conformer au droit de l'UE.

Les sous-traitants listés ci-dessous sont des sous-traitants ultérieurs au sens de l'article 28, 2 du RGPD. Tous les autres composants de la pile (Nextcloud, OX, Synapse, Jitsi, OpenProject, XWiki, Vaultwarden, CryptPad, Onyx, Keycloak, et le reste) sont des logiciels open source que nous exploitons à l'intérieur de votre tenant ; les projets amont ne voient pas vos données et ne sont pas des sous-traitants.

02 / Ce que nous traitons

Les catégories de données ci-dessous couvrent tout ce que la suite touche. Les personnes concernées sont vos employés et tout tiers avec lequel ils correspondent via le service. Le traitement court pour la durée du contrat de service.

Capacité

Catégories de données

Base légale

Mail

Contenu de la boîte de réception, en-têtes, pièces jointes, contacts référencés dans les messages

Exécution du contrat de service (art. 6, 1, b du RGPD)

Fichiers

Contenu des documents, versions, métadonnées de partage, commentaires

Exécution du contrat de service

Agenda

Détails d'événements, participants, données de disponibilité

Exécution du contrat de service

Contacts

Noms, adresses email, organisations, notes en texte libre

Exécution du contrat de service

Chat

Messages, présence, appartenance aux salons. Chiffré de bout en bout par défaut ; l'opérateur ne peut pas lire le contenu des messages.

Exécution du contrat de service

Visioconférence

Audio/vidéo en temps réel (pair à pair ou via pont SFU), liste de participants, enregistrement côté serveur optionnel

Exécution du contrat de service

Projets

Lots de travail, saisies de temps, commentaires, pièces jointes

Exécution du contrat de service

Connaissances

Pages wiki, historique d'édition, pièces jointes

Exécution du contrat de service

Notes

Notes personnelles (chiffrées de bout en bout, l'opérateur ne peut pas lire), notes d'équipe (lisibles côté serveur)

Exécution du contrat de service

Intelligence (option)

Contenu indexé des capacités ci-dessus, plus requêtes utilisateurs et transcriptions de réunions. Activation par utilisateur.

Exécution du contrat de service, plus activation par utilisateur contrôlée par le client

Nous ne traitons pas de données de catégories particulières (article 9 du RGPD) sauf si vous les soumettez dans le cadre d'un usage normal de la suite (par exemple, un dossier RH dans Fichiers), auquel cas le même chiffrement, contrôle d'accès et journal d'audit s'appliquent. Si votre secteur en exige plus, demandez-nous : nous documenterons les garanties supplémentaires par écrit avant que vous ne commenciez.

03 / Où vivent les données

Le traitement principal a lieu chez Contabo Nuremberg, Allemagne. La sauvegarde hors site est dans une seconde région UE via Restic, avec les clés de chiffrement détenues par vous. Le contrat est régi par le droit luxembourgeois, avec la CNPD comme autorité de contrôle. Aucune annexe « transfert international » de l'annexe II n'est requise : il n'y a pas de transfert hors UE. Voir /security pour la propre déclaration de l'opérateur sur ce point.

04 / Sous-traitants

Deux tableaux : qui gère vos données sur chaque tenant, et qui les gère uniquement quand l'option Intelligence est activée.

Nous vous notifions au moins 10 jours ouvrés avant d'ajouter ou de remplacer un sous-traitant. Vous avez 30 jours pour vous y opposer par écrit, auquel cas nous trouvons une alternative ou vous pouvez résilier le service concerné avec un remboursement au prorata des frais prépayés.

Actifs pour chaque tenant

Entité

Rôle

Localisation

Accès aux données

Contabo GmbH ↗

Calcul, stockage et réseau

Nuremberg, Allemagne

Tous les contenus clients au repos et en transit, chiffrés sur disque et sur le réseau

Hébergement DNS faisant autorité

Roubaix, France

Enregistrements DNS du domaine client uniquement. Aucun contenu de boîte mail, fichier ou message.

Actifs uniquement avec l'option Intelligence

Entité

Rôle

Localisation

Accès aux données

Inférence LLM : complétions de chat, résumés, transcription de réunions Voxtral

Paris, France

Contenu indexé et requêtes utilisateurs soumis via l'espace de travail Intelligence. Non utilisé pour l'entraînement (selon les conditions contractuelles de Mistral La Plateforme).

Intelligence est sur activation. Si vous ne l'activez pas, aucune donnée ne quitte le cluster du tenant pour l'inférence. Les sous-titres en direct dans les visioconférences tournent à l'intérieur du tenant via Skynet (open source, Apache-2.0), et l'audio des sous-titres en direct ne quitte pas le tenant. Voir /architecture/decisions, ADR-11 et ADR-12, pour la conception complète.

05 / Annexe II : mesures de sécurité

Les mesures techniques et organisationnelles requises par l'article 32 du RGPD. Reflète la page /security pour qu'elles ne dérivent pas.

01

Chiffrement en transit

TLS sur chaque endpoint client, certificats renouvelés automatiquement via Let's Encrypt. Trafic de cluster interne chiffré via overlay WireGuard.

02

Chiffrement au repos

Chiffrement de volume par tenant au niveau du stockage. etcd chiffré au niveau du cluster. Sauvegardes chiffrées avant de quitter le cluster, clé de chiffrement détenue par le client.

03

Pseudonymisation

Les journaux opérationnels suppriment les identifiants directs avant rétention ; le contenu des boîtes mail n'est jamais journalisé.

04

Accès résistant au phishing

Connexion par clé matérielle (YubiKey série 5, PIV plus FIDO2) est le défaut opérateur. TOTP minimum côté client, option clé matérielle activée dans chaque offre.

05

Accès basé sur les rôles côté opérateur

YubiKey par rôle, séparation cryptographique des rôles. Règle des deux personnes pour les opérations critiques sur les tenants clients.

06

Journaux d'audit

Chaque action privilégiée contre un tenant client est journalisée avec numéro de série de la clé, nom de l'admin, horodatage et cible. Les journaux sont en lecture seule pour l'admin client.

07

Sauvegarde et récupération

Snapshots Restic quotidiens vers une seconde région UE. Procédure de restauration documentée, exercée sur un échantillon tournant de tenants.

08

Reprise après sinistre

Fenêtre de restauration par tenant : cible 8 heures, plafond dur 24 heures. Plus courte dans les offres dédiées.

09

Segmentation réseau

Namespace Kubernetes par client avec isolation NetworkPolicy sur Core, cluster dédié sur Mesh et Fleet.

10

Gestion des vulnérabilités

Mises à niveau de dépendances pilotées par Renovate sur le repo de la plateforme. Flux CVE surveillé ; les éléments de gravité élevée sont patchés sous 7 jours après publication amont.

11

Journalisation et supervision

Prometheus, Loki, Grafana côté opérateur ; Uptime Kuma alimente la page de statut publique. L'admin client reçoit des rapports d'accès trimestriels.

12

Minimisation des données

L'opérateur ne collecte que ce qui est nécessaire pour faire tourner le service. Le formulaire d'inscription est la surface complète de collecte de données avant signature du contrat.

13

Personnel

Personnel opérateur : un (Corentin Dekimpe), lié par le même engagement de confidentialité que ce DPA impose à KiwiStack.

14

Contrôle de la sous-traitance

Liste des sous-traitants tenue à jour sur cette page. Les clients sont notifiés des ajouts ou remplacements 10 jours ouvrés à l'avance, avec une fenêtre d'opposition de 30 jours.

15

Sécurité physique

Les sous-traitants hébergent le parc physique. Contabo exploite des centres de données certifiés ISO 27001 à Nuremberg, Allemagne.

16

Responsabilité (accountability)

Registres des activités de traitement tenus à jour au titre de l'article 30 du RGPD. Disponibles à l'autorité de contrôle sur demande, disponibles au client sur demande raisonnable.

06 / Violation de données personnelles

Si nous prenons connaissance d'une violation de données personnelles affectant votre tenant, nous vous notifions sans retard injustifié et au plus tard sous 72 heures à compter de la prise de connaissance (article 33, 2 du RGPD).

La notification inclut : la nature de la violation, les catégories et le nombre approximatif de personnes concernées et d'enregistrements affectés, les conséquences probables, et les mesures prises ou proposées pour y remédier. Nous vous aidons à préparer votre propre notification à l'autorité de contrôle (article 33) et, le cas échéant, aux personnes concernées (article 34).

Les notifications vont à l'email admin que vous fournissez à l'onboarding (la même adresse qui reçoit la revue d'accès trimestrielle).

07 / Droits d'audit

Vous pouvez demander, une fois par période de douze mois : notre questionnaire de sécurité (forme CAIQ-Lite), la dernière liste des sous-traitants, nos registres des activités de traitement au titre de l'article 30, et tous les rapports d'audit interne dont nous disposons sur nos propres contrôles.

Un audit sur site est disponible avec un préavis d'au moins 30 jours, cadré conjointement pour ne pas perturber les autres clients, à vos frais raisonnables. Nous conservons les documents pertinents pour ce DPA pendant trois ans après la fin du contrat.

08 / Restitution et suppression

Vous pouvez demander un export complet des données à tout moment pendant le contrat : boîtes mail en EML et maildir, fichiers dans leurs formats d'origine, agendas en iCal, contacts en vCard, lignes de base de données en SQL standard. Les exports sont chiffrés au repos pendant la préparation et fournis via un canal authentifié de votre choix.

À la résiliation, vous avez 60 jours pour récupérer un export final. Après cela, les données personnelles client sont supprimées du stockage primaire. Les sauvegardes sont purgées sur leur rotation normale (rétention des snapshots Restic, contrôlée par le client). Une confirmation écrite de suppression est émise sur demande.

Lorsque nous sommes légalement tenus de conserver quelque chose au-delà de cette fenêtre (par exemple, registres de facturation au titre de la loi fiscale luxembourgeoise), nous ne conservons que ce qui est strictement requis, séparé des données opérationnelles, et non utilisé à d'autres fins.

09 / Assistance au responsable de traitement

Nous vous aidons à remplir vos propres obligations RGPD : répondre aux demandes de personnes concernées (articles 15 à 22), conduire des analyses d'impact relatives à la protection des données (article 35), consulter au préalable l'autorité de contrôle (article 36), et démontrer la conformité (article 5, 2).

Demandes acheminées via votre admin à hello@kiwistack.io. Les cibles de réponse par offre s'appliquent (voir /security).

10 / Transferts internationaux

Aucun. Tout le traitement et tous les sous-traitants sont à l'intérieur de l'Union européenne. Nous n'invoquons pas de Clauses contractuelles types, de Décisions d'adéquation, ni le Cadre de protection des données UE-US, parce que nous ne transférons pas vos données hors de l'UE.

Si une relation contractuelle en aval de votre côté exige que nous signions des CCT malgré tout (Module 3, sous-traitant à sous-traitant ultérieur), nous le ferons, sans modifier notre lieu de traitement réel.

11 / Durée, responsabilité, droit

Durée. Ce DPA court parallèlement au contrat de service. Les obligations de suppression, audit et confidentialité survivent à la résiliation aussi longtemps que nous détenons une partie de vos données.

Responsabilité. Plafonnée à la limite fixée dans les Conditions de service (actuellement douze mois de frais payés), conformément à l'article 82 du RGPD. Le plafond ne s'applique pas à la négligence grave, au manquement délibéré ou à la violation de confidentialité.

Loi applicable et juridiction. Droit luxembourgeois. Juridiction exclusive : tribunaux du Luxembourg. Autorité de contrôle : Commission nationale pour la protection des données (CNPD), Luxembourg. Vous conservez le droit de déposer une plainte auprès de votre autorité de contrôle locale au titre de l'article 77 du RGPD.

Modifications. Si nous modifions ce DPA d'une manière qui augmente vos obligations ou réduit les nôtres, nous vous notifions au moins 30 jours à l'avance par email et sur cette page. Un désaccord substantiel vous permet de résilier le service concerné avec un remboursement au prorata.

12 / Contact

KiwiStack

Entreprise individuelle, Luxembourg. Immatriculée à la TVA au Luxembourg. Adresse postale disponible sur demande à des fins contractuelles.

Contact protection des données : Corentin Dekimpe

hello@kiwistack.io

À l'échelle à laquelle KiwiStack opère, un DPO formel au titre de l'article 37 du RGPD n'est pas requis. Corentin Dekimpe est le point de contact désigné pour toutes les questions de protection des données.