Accord de traitement des donnees (DPA)
Derniere mise a jour : 2026-02-20
1. Objet et portee
Le present accord de traitement des donnees (« DPA ») definit les obligations respectives de BorealHost.ai et de ses clients (« Responsable du traitement ») en matiere de traitement des donnees personnelles dans le cadre de la fourniture de services d'hebergement web et de modules d'intelligence artificielle.
Ce DPA complete les Conditions d'utilisation et la Politique de confidentialite de BorealHost.ai et s'applique dans la mesure ou BorealHost.ai traite des donnees personnelles pour le compte du client.
2. Definitions des roles
2.1 Responsable du traitement (Controleur)
Le client est le responsable du traitement des donnees personnelles de ses utilisateurs finaux. Le client determine les finalites et les moyens du traitement des donnees hebergees sur nos serveurs.
2.2 Sous-traitant (Processeur)
BorealHost.ai agit en tant que sous-traitant et traite les donnees personnelles uniquement selon les instructions du client et dans le cadre de la fourniture des services d'hebergement.
2.3 Sous-sous-traitants
BorealHost.ai fait appel a des sous-sous-traitants pour certains aspects de la prestation de services. La liste complete est presentee a la section 4.
3. Obligations de BorealHost.ai
- Traiter les donnees personnelles uniquement selon les instructions documentees du client
- Assurer la confidentialite des donnees personnelles traitees
- Mettre en oeuvre les mesures de securite techniques et organisationnelles appropriees
- Aider le client a repondre aux demandes d'exercice des droits des personnes concernees
- Notifier le client dans un delai de 72 heures en cas de violation de donnees
- Supprimer ou retourner les donnees personnelles a la fin du contrat, a la demande du client
- Permettre les audits raisonnables pour verifier la conformite au present DPA
4. Liste des sous-traitants
BorealHost.ai utilise les sous-traitants suivants dans le cadre de la prestation de ses services :
| Sous-traitant | Fonction | Donnees traitees | Localisation |
|---|---|---|---|
| Stripe, Inc. | Traitement des paiements | Nom, courriel, adresse de facturation | Canada (Montreal) |
| Google LLC (Analytics) | Analyse de trafic web | Adresse IP (anonymisee), pages visitees | Etats-Unis |
| Meta Platforms, Inc. | Marketing et suivi de conversions | Evenements de conversion (anonymises) | Etats-Unis |
| OpenAI, Inc. | Traitement IA (chatbot, SEO, contenu) | Contenu soumis aux modules IA | Etats-Unis |
| Anthropic, Inc. | Traitement IA (agents, code) | Contenu soumis aux modules IA | Etats-Unis |
| Google LLC (AI) | Traitement IA (Gemini) | Contenu soumis aux modules IA | Etats-Unis |
| DeepSeek | Traitement IA | Contenu soumis aux modules IA | Chine |
| Moonshot AI (Kimi) | Traitement IA | Contenu soumis aux modules IA | Chine |
| xAI (Grok) | Traitement IA | Contenu soumis aux modules IA | Etats-Unis |
Avertissement — Fournisseurs en Chine : DeepSeek et Moonshot AI (Kimi) sont des fournisseurs situes en Chine. L'utilisation de ces modeles est soumise a un consentement explicite separe de votre part. Les donnees transmises a ces fournisseurs sont soumises aux lois chinoises sur la protection des donnees. Nous recommandons de ne pas soumettre de donnees personnelles sensibles a ces modeles.
5. Transferts internationaux de donnees
5.1 Donnees d'hebergement
Toutes les donnees d'hebergement (fichiers, bases de donnees, sauvegardes) sont stockees exclusivement au Canada (Montreal, Quebec) sur nos serveurs dedies.
5.2 Donnees IA
Lorsque vous utilisez les modules d'intelligence artificielle, les donnees soumises (prompts, messages) sont transmises aux fournisseurs d'IA indiques dans la section 4. Ces transferts sont effectues avec les mesures de protection suivantes :
- Chiffrement en transit (TLS 1.3)
- Minimisation des donnees : seul le contenu necessaire au traitement est transmis
- Clauses contractuelles avec les fournisseurs americains
- Consentement explicite requis pour les fournisseurs situes en Chine
- Aucune donnee personnelle n'est transmise aux fournisseurs IA sans action explicite de l'utilisateur
6. Notification de violation
En cas de violation de donnees personnelles, BorealHost.ai s'engage a :
- Notifier le client dans un delai maximal de 72 heures apres la decouverte de la violation
- Fournir les details disponibles sur la nature de la violation, les categories de donnees affectees et les mesures correctives
- Cooperer avec le client pour la notification a la Commission d'acces a l'information (CAI) du Quebec et aux personnes concernees, conformement a la Loi 25
- Prendre les mesures necessaires pour contenir la violation et prevenir sa recurrence
7. Suppression des donnees
A la fin de la relation contractuelle ou sur demande du client :
- Delai de grace : 7 jours apres la fin de l'abonnement pour permettre la reactivation
- Sauvegardes finales : conservees 30 jours apres la desactivation
- Suppression permanente : toutes les donnees (fichiers, bases de donnees, sauvegardes, configurations) sont supprimees de maniere irreversible apres la periode de retention
- Donnees de facturation : conservees 7 ans conformement aux obligations legales et fiscales
8. Mesures de securite
BorealHost.ai met en oeuvre les mesures de securite suivantes :
- Isolation par conteneur LXC : chaque site heberge est isole dans un conteneur dedie
- Chiffrement en transit : TLS 1.3 sur toutes les connexions
- Controle d'acces : authentification a deux facteurs (2FA), cles SSH
- Protection contre les intrusions : fail2ban, pare-feu iptables
- Sauvegardes chiffrees : sauvegardes quotidiennes automatiques
- Gestion des vulnerabilites : mises a jour de securite regulieres
- Acces restreint : principe du moindre privilege pour tout le personnel
9. Audits
Le client peut demander des informations raisonnables pour verifier la conformite de BorealHost.ai au present DPA. Les demandes d'audit doivent etre soumises par ecrit a [email protected] avec un preavis de 30 jours.
10. Contact
Pour toute question relative au present accord de traitement des donnees :
- Responsable de la protection des donnees : [email protected]
- Adresse : BorealHost.ai, 165-1494, chemin de Chambly, Longueuil (Québec) J4J 3X3, Canada