GDPR-prêt. Conforme UE + Suisse.
CodeCourier traite les données personnelles en vertu du GDPR et du Swiss FADP révisé. Exercez l'un de vos huit droits en tant que personne concernée à tout moment - nous répondons dans les 30 jours, comme l'exige l'article 12, paragraphe 3.
La forme de notre programme de confidentialité.
Un résumé précis des régimes que nous respectons, des droits que nous honorons et des fournisseurs que nous auditons - avant de plonger dans les détails.
Adéquation : Suisse ↔ UE
La Suisse est reconnue comme adéquate au titre de l'GDPR article 45. Nous nous conformons également au Swiss FADP révisé, en vigueur depuis septembre 2023.
Bases légales : 6
Nous nous appuyons sur le consentement, le contrat, l'obligation légale, les intérêts vitaux, la mission publique et les intérêts légitimes - chacun étant documenté et proportionné à l'objectif.
Droits du sujet : 8
Tous les droits en vertu des articles 15 à 22 sont honorés par une seule boîte de réception. Le retrait du consentement au titre de l’article 7, paragraphe 3, est aussi simple que son octroi.
Sous-traitants : documentés
Chaque sous-traitant ultérieur est lié contractuellement en vertu de l'article 28 et répertorié sur demande. Les ajouts de matériel sont notifiés 30 jours à l’avance.
Contrôleur ou sous-traitant - en fonction des données.
En vertu du GDPR, une même société peut être responsable du traitement de certaines données et sous-traitant pour d'autres. Voici exactement où se situe CodeCourier pour chaque catégorie.
Nous sommes un CONTRÔLEUR pour…
- Pistes marketing collectées via des formulaires, des démos et des téléchargements de contenu.
- Inscription au compte, données de facturation et enregistrements de facturation.
- Demandes de support client et métadonnées de nos communications.
- Analyses de produits agrégées et anonymisées utilisées pour exploiter le service.
Nous sommes un PROCESSEUR pour…
- Code source et contenu du référentiel téléchargés par le client.
- Journaux d'exécution de l'agent, traces et sorties d'appels d'outils créés en votre nom.
- Artefacts de fichiers Sandbox produits lors de l’exécution de l’agent.
- Contextes de projet, personnages et configurations d'équipe que vous créez.
- Apprentissages et intégrations dérivés de votre corpus privé.
Notre Addendum sur le traitement des données (DPA) régit la relation avec le processeur - demandez-le via le CTA ci-dessus.
Six bases. Chacun utilisé exprès.
Chaque activité de traitement est mappée sur l'une des six bases juridiques énumérées à l'article 6 - et uniquement sur cette base. Nous n’empilons pas les bases pour garder les options ouvertes.
Consentement
Utilisé pour les e-mails marketing non essentiels, les cookies analytiques et toute personnalisation facultative. Toujours granulaire, toujours révocable en un clic.
Contrat
Utilisé pour fournir le service auquel vous vous êtes inscrit : provisionner des bacs à sable, exécuter des agents, stocker le contexte de votre projet et produire des factures.
Obligation légale
Utilisé pour conserver les dossiers comptables et fiscaux en vertu du droit commercial suisse, pour répondre aux demandes légales et pour honorer les droits des personnes concernées.
Intérêts vitaux
Réservé aux situations mettant en jeu la vie ou la sécurité - nous ne nous appuyons pas activement sur cette base, mais elle reste disponible si une urgence nécessite d'agir sur des données personnelles.
Tâche publique
Non utilisé. Nous sommes un opérateur commercial privé et n'effectuons pas de tâches d'intérêt public ou sous l'autorité publique.
Intérêts légitimes
Utilisé étroitement pour la prévention de la fraude, la sécurité des services, la détection des abus et la télémétrie minimale des produits - toujours après un test d'équilibre par rapport à vos droits.
Huit droits. Une boîte de réception.
Vous n'avez pas besoin de formulaire, de portail ou d'avocat. Envoyez un seul e-mail et nous acheminons la demande vers la bonne équipe et répondons dans les délais légaux.
Droit d'accès
Vous pouvez obtenir la confirmation que nous traitons vos données personnelles, une copie de ces données et des informations sur les finalités, les catégories et les destinataires.
Comment faire de l'exerciceDroit de rectification
Vous pouvez faire rectifier sans délai des données personnelles inexactes et compléter des données incomplètes, notamment en fournissant une déclaration complémentaire.
Comment faire de l'exerciceDroit à l'effacement
Aussi connu sous le nom de droit à l’oubli. Nous supprimons les données personnelles lorsque l'un des motifs légaux s'applique, sous réserve des obligations de conservation que nous devons respecter.
Comment faire de l'exerciceDroit à la limitation
Vous pouvez nous demander de limiter le traitement dans des circonstances spécifiques - par exemple lorsque nous vérifions un problème d'exactitude ou lors d'un test de pondération des objections.
Comment faire de l'exerciceDroit à la portabilité
Lorsque le traitement est basé sur un consentement ou un contrat et effectué par des moyens automatisés, vous pouvez recevoir vos données dans un format structuré et lisible par machine.
Comment faire de l'exerciceDroit d'opposition
Vous pouvez à tout moment vous opposer au traitement fondé sur des intérêts légitimes ou au marketing direct, après quoi nous nous arrêterons sauf si nous pouvons démontrer des motifs impérieux.
Comment faire de l'exercicePrise de décision automatisée
Nous ne vous soumettons pas à des décisions basées uniquement sur un traitement automatisé qui produisent des effets juridiques ou tout aussi importants sans examen humain significatif.
Comment faire de l'exerciceRetrait du consentement
Lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement effectué avant le retrait.
Comment faire de l'exerciceNous répondons dans les 30 jours, comme l'exige l'article 12(3). Si une demande est complexe, nous pouvons prolonger la prolongation jusqu'à deux mois supplémentaires, en indiquant les raisons. Vous recevrez une réponse de notre part dans les 30 premiers jours dans tous les cas.
Comment les données traversent les frontières.
Les données personnelles quittent une juridiction de l'UE/EEE uniquement lorsqu'il existe un mécanisme de transfert valide - et nous documentons lequel s'applique à chaque destination.
La Suisse bénéficie d'une décision d'adéquation de la Commission européenne en vertu de l'GDPR article 45, de sorte que les transferts entre l'UE/EEE et la Suisse ne nécessitent pas de garanties supplémentaires. Après Schrems II, nous traitons chaque transfert ultérieur avec la même diligence.
Pour les transferts vers des juridictions sans décision d'adéquation, nous utilisons les Clauses Contractuelles Types (CCS) 2021 comme garantie par défaut, combinées au supplément Swiss FADP où les données sont soumises en parallèle au droit suisse.
Lorsque les lois de surveillance du pays de destination le justifient, nous effectuons une évaluation de l'impact du transfert et appliquons des mesures supplémentaires - généralement un cryptage contrôlé par le responsable du traitement et des engagements contractuels en matière de transparence.
Choisissez où se trouvent vos données.
Les données clients sont stockées dans des clusters régionaux. Les résidences dans l'UE et en Suisse sont disponibles aujourd'hui ; des régions supplémentaires sont sur la feuille de route et peuvent être activées sur demande.
UE (Francfort)
Région principale pour les clients de l'UE. Tous les traitements et sauvegardes restent dans les limites de l’UE/EEE.
Suisse (Zurich)
Résidence suisse pour les clients sensibles au FADP. Adéquat avec l’UE au titre de l’article 45.
États-Unis (Virginie)
Prévu pour les clients nécessitant une résidence aux États-Unis. Sera livré avec les SCC 2021 et une évaluation de l’impact du transfert.
Autres régions sur demande
Nous pouvons cibler des clusters régionaux au Royaume-Uni, en APAC ou en LATAM pour des contrats d'entreprise - parlez-nous de vos besoins en matière de résidence.
Documenté, audité, notifié.
Nous nous appuyons sur un petit ensemble de sous-traitants - infrastructure cloud, fournisseurs de modèles et outils opérationnels - chacun lié par un contrat de traitement au titre de l'article 28 et examiné chaque année pour la sécurité et la confidentialité.
La liste complète des sous-traitants ultérieurs, y compris les catégories, les emplacements et les mécanismes de transfert, est disponible sur demande et est republiée dans notre DPA.
Mesures techniques et organisationnelles.
L'article 32 exige une garantie adaptée au risque. Ce sont les mesures que nous appliquons dans l’ensemble de nos activités de traitement – expliquées en langage simple.
Cryptage
TLS 1.2+ pour les données en transit et AES-256 pour les données au repos. Les clés sont gérées par le KMS du fournisseur de cloud avec la rotation et la journalisation d'audit activées.
Pseudonymisation
Les workflows internes d'analyse, de télémétrie et de ML fonctionnent sur des identifiants pseudonymes lorsque l'objectif ne nécessite pas de données attribuables.
Contrôles d'accès (RBAC)
Accès basé sur les rôles avec le moins de privilèges, SSO pour le personnel, MFA obligatoire et révisions d'accès trimestrielles. L’accès à la production est journalisé et limité dans le temps.
Résilience et sauvegardes
Sauvegardes cryptées et géoredondantes avec des objectifs RTO/RPO documentés et des exercices de restauration de routine pour confirmer que la récupération fonctionne réellement.
Réponse aux incidents
Un playbook documenté avec des niveaux de gravité, une rotation d'astreinte et un objectif de notification de violation dans un délai de 72 heures, aligné sur l'GDPR article 33.
Tests réguliers
Analyse continue des dépendances, tests périodiques de pénétration des applications et exercices sur table qui examinent les contrôles techniques et organisationnels.
Contact pour la protection des données.
- Contrôleur
- CodeCourier
- Représentant
- Nico Jaroszewski
- Adresse
- Schlosstalstrasse 202, 8408 Winterthur, Switzerland
- Courriel
- info@codecourier.dev
Représentant de l'UE en vertu de l'art. 27 : Non requis pour le moment. CodeCourier est établie en Suisse et ne traite pas régulièrement les données des résidents de l'UE en dehors du champ contractuel. Un représentant sera désigné si les critères de l'article 27 sont remplis. Un délégué officiel à la protection des données (article 37) n'est pas désigné, sauf si l'ampleur ou la sensibilité du traitement l'exige.
Questions auxquelles on a répondu honnêtement.
Combien de temps conservez-vous les données clients ?
Puis-je exporter mes données ?
Formez-vous des modèles sur le code client ?
Qu'arrive-t-il aux données lorsque j'annule ?
Transférez-vous des données vers les États-Unis ?
Comment déposer une réclamation auprès de mon autorité de contrôle ?
Des questions sur la façon dont nous traitons vos données ?
Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.
5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.