Lumina Logo LUMINAAI
Accueil À Propos Objectifs Contact

Accord de Traitement des Données (DPA) 2025

Last updated: 2025-12-03

1. Objet, Portée et Définitions

Le présent Accord de Traitement des Données (ci-après « DPA ») décrit de manière exhaustive les engagements de Lumina AI Suisse en matière de sécurité, de confidentialité et de conformité lors du traitement de données personnelles pour le compte de ses utilisateurs ou partenaires.

Ce document est établi en stricte conformité avec la Loi fédérale sur la protection des données (nLPD) suisse révisée et l'article 32 du Règlement Général sur la Protection des Données (RGPD) de l'UE. Il a pour but d'informer nos utilisateurs (personnes concernées) et nos partenaires des Mesures Techniques et Organisationnelles (TOMs) mises en place pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience de nos systèmes.

Définitions :

  • Contrôleur : L'entité qui détermine les finalités et les moyens du traitement (Lumina AI Suisse pour les données du site web).
  • Sous-traitant (Processor) : L'entité qui traite des données pour le compte du Contrôleur (ex: nos hébergeurs).
  • Violation de données : Toute violation de sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

2. Description du Traitement

Détails des Opérations

  • Responsable du Traitement : Lumina AI Suisse.
  • Personnes concernées : Visiteurs du site web, prospects commerciaux, partenaires académiques, candidats au recrutement.
  • Types de données :
    • Données d'identité (nom, prénom).
    • Données de contact (email, téléphone).
    • Données techniques (adresse IP, user agent, logs de connexion).
    • Données de contenu (messages envoyés).
  • Nature du traitement : Collecte, enregistrement, organisation, structuration, stockage, consultation, utilisation, communication par transmission, effacement ou destruction.
  • Base légale : Intérêt légitime (sécurité), Consentement (cookies, contact), Exécution contractuelle.

3. Mesures Techniques et Organisationnelles (TOMs)

Nous appliquons une approche de "Défense en Profondeur" pour sécuriser vos données à plusieurs niveaux (physique, réseau, applicatif, humain).

3.1. Mesures de Confidentialité (Confidentiality)

  • Chiffrement en Transit : Utilisation forcée du protocole TLS 1.3 (Transport Layer Security) pour toutes les communications web (HTTPS) avec HSTS activé. Certificats SSL/TLS à validation de domaine avec clés RSA 4096-bit.
  • Chiffrement au Repos : Les bases de données et les systèmes de fichiers sont chiffrés sur les serveurs physiques utilisant le standard AES-256 (Advanced Encryption Standard).
  • Contrôle d'accès logique : Authentification multifacteur (MFA/2FA) obligatoire pour tout accès administratif ou accès aux dépôts de code. Gestion des mots de passe via un gestionnaire d'entreprise sécurisé.
  • Pseudonymisation : Les logs serveurs sont pseudonymisés après 7 jours et les adresses IP sont tronquées pour les analyses statistiques.

3.2. Mesures d'Intégrité (Integrity)

  • Ségrégation des réseaux : Isolation stricte des environnements de développement, de test (staging) et de production. Pas de données réelles en environnement de test.
  • Protection Malware : Utilisation de solutions anti-malware, d'EDR (Endpoint Detection & Response) et de détection d'intrusion (IDS/IPS) sur les serveurs.
  • Signature de code : Validation de l'intégrité du code déployé via des pipelines CI/CD sécurisés (GitHub Actions) avec analyse statique de code (SAST).

3.3. Mesures de Disponibilité et Résilience (Availability)

  • Sauvegardes (Backups) : Sauvegardes quotidiennes incrémentielles et hebdomadaires complètes, chiffrées, stockées sur un site géographique distinct (Géoredondance en Suisse - Zurich et Genève).
  • Protection DDoS : Infrastructure protégée contre les attaques par déni de service distribué via un CDN global et des règles WAF (Web Application Firewall) strictes.
  • Plan de Reprise d'Activité (PRA) : Procédures documentées et testées semestriellement pour la restauration rapide des services en cas d'incident majeur (RTO < 4h, RPO < 1h).

3.4. Mesures Organisationnelles

  • Formation continue : Sensibilisation annuelle obligatoire de tout le personnel à la sécurité de l'information, au phishing et à la protection des données.
  • Accords de confidentialité (NDA) : Signés par tous les employés, stagiaires et prestataires externes ayant accès aux données.
  • Privacy by Design : Intégration des exigences de confidentialité dès la phase de conception des nouvelles fonctionnalités (Data Protection Impact Assessment - DPIA si nécessaire).

4. Gestion des Violations de Données

Lumina AI Suisse dispose d'une procédure formelle de réponse aux incidents de sécurité, conforme à l'article 33 du RGPD et à l'article 24 de la nLPD :

  1. Détection & Alerte : Monitoring 24/7 des anomalies systèmes et remontée d'alerte à l'équipe SecOps.
  2. Qualification & Analyse : Évaluation de la nature, de l'étendue et de la gravité de l'incident par le DPO et le CISO.
  3. Confinement & Éradication : Mesures immédiates pour stopper la violation, isoler les systèmes affectés et corriger la vulnérabilité.
  4. Notification aux Autorités : Signalement au Préposé fédéral (PFPDT) et aux autorités de protection des données compétentes (CNIL, etc.) dans les 72 heures si la violation présente un risque pour les droits des personnes.
  5. Communication aux Personnes : Information directe des personnes concernées si le risque est élevé, avec des recommandations pour se protéger.
  6. Post-Mortem : Rapport d'analyse complet et mise à jour des procédures pour éviter la récidive.

5. Sous-traitance (Sub-processing)

Nous veillons à ce que nos sous-traitants respectent le même niveau de sécurité que nous. Nous signons avec eux des DPA spécifiques incluant les Clauses Contractuelles Types de l'UE si nécessaire.

Liste des sous-traitants autorisés :

Sous-traitant Service Localisation des Données Garanties
Infomaniak Network SAHébergement Web & CloudSuisse (Genève)Certifié ISO 27001, nLPD compliant
Proton AGMessagerie Email SécuriséeSuisseChiffrement de bout en bout
Google Ireland LtdAnalytics (Anonymisé)Irlande (UE)SCCs + Privacy Sandbox

6. Droits d'Audit

Sur demande écrite et justifiée de nos partenaires commerciaux (B2B), nous pouvons fournir :

  • Un résumé de nos rapports d'audit de sécurité internes les plus récents.
  • Les certificats de conformité de nos data centers (ISO 27001, SOC 2 Type II).
  • Un questionnaire de sécurité rempli par notre CISO.

7. Restitution et Suppression des Données

Au terme de la relation contractuelle ou sur demande :

  • Nous restituons les données du client dans un format standard (CSV, JSON, SQL dump).
  • Nous procédons à la suppression sécurisée (wiping) de toutes les copies des données de nos systèmes actifs sous 30 jours.
  • Les données présentes dans les sauvegardes chiffrées sont écrasées selon le cycle de rétention des backups (maximum 90 jours).

8. Contact Sécurité

Pour toute question technique, demande d'audit ou signalement de vulnérabilité, veuillez contacter notre équipe sécurité :

Email : security@aifinpowerhub.com

Clé PGP : Disponible sur demande pour les communications chiffrées.

Avis de non-responsabilité important

Le contenu de ce site web est fourni à des fins éducatives et informatives uniquement. Les informations présentées concernant l'intelligence artificielle, la visualisation de données et les technologies XR ne constituent pas des conseils financiers, juridiques ou d'investissement professionnels.

Bien que nous nous efforcions de fournir des informations précises et à jour, nous vous recommandons vivement de consulter des spécialistes qualifiés avant de prendre des décisions basées sur les technologies ou méthodes discutées. Lumina AI Suisse décline toute responsabilité quant aux actions entreprises sur la base des informations fournies sur ce site.