Confiance · GDPR

GDPR-prêt. Conforme UE + Suisse.

CodeCourier traite les données personnelles en vertu du GDPR et du Swiss FADP révisé. Exercez l'un de vos huit droits en tant que personne concernée à tout moment - nous répondons dans les 30 jours, comme l'exige l'article 12, paragraphe 3.

droits du sujet · GDPRHonoré
Art. 15
Accès
Art. 16
Rectification
Art. 17
Effacement
Art. 18
Restriction
Art. 20
Portabilité
Art. 21
Objet
Art. 22
Automatisé
Art. 7(3)
Retrait
CODECOURIER
personne concernée
En un coup d'œil

La forme de notre programme de confidentialité.

Un résumé précis des régimes que nous respectons, des droits que nous honorons et des fournisseurs que nous auditons - avant de plonger dans les détails.

Adéquation : Suisse ↔ UE

La Suisse est reconnue comme adéquate au titre de l'GDPR article 45. Nous nous conformons également au Swiss FADP révisé, en vigueur depuis septembre 2023.

Bases légales : 6

Nous nous appuyons sur le consentement, le contrat, l'obligation légale, les intérêts vitaux, la mission publique et les intérêts légitimes - chacun étant documenté et proportionné à l'objectif.

Droits du sujet : 8

Tous les droits en vertu des articles 15 à 22 sont honorés par une seule boîte de réception. Le retrait du consentement au titre de l’article 7, paragraphe 3, est aussi simple que son octroi.

Sous-traitants : documentés

Chaque sous-traitant ultérieur est lié contractuellement en vertu de l'article 28 et répertorié sur demande. Les ajouts de matériel sont notifiés 30 jours à l’avance.

Rôles

Contrôleur ou sous-traitant - en fonction des données.

En vertu du GDPR, une même société peut être responsable du traitement de certaines données et sous-traitant pour d'autres. Voici exactement où se situe CodeCourier pour chaque catégorie.

Nous sommes un CONTRÔLEUR pour…

  • Pistes marketing collectées via des formulaires, des démos et des téléchargements de contenu.
  • Inscription au compte, données de facturation et enregistrements de facturation.
  • Demandes de support client et métadonnées de nos communications.
  • Analyses de produits agrégées et anonymisées utilisées pour exploiter le service.

Nous sommes un PROCESSEUR pour…

  • Code source et contenu du référentiel téléchargés par le client.
  • Journaux d'exécution de l'agent, traces et sorties d'appels d'outils créés en votre nom.
  • Artefacts de fichiers Sandbox produits lors de l’exécution de l’agent.
  • Contextes de projet, personnages et configurations d'équipe que vous créez.
  • Apprentissages et intégrations dérivés de votre corpus privé.

Notre Addendum sur le traitement des données (DPA) régit la relation avec le processeur - demandez-le via le CTA ci-dessus.

Bases légales

Six bases. Chacun utilisé exprès.

Chaque activité de traitement est mappée sur l'une des six bases juridiques énumérées à l'article 6 - et uniquement sur cette base. Nous n’empilons pas les bases pour garder les options ouvertes.

Art. 6(1)a)

Consentement

Utilisé pour les e-mails marketing non essentiels, les cookies analytiques et toute personnalisation facultative. Toujours granulaire, toujours révocable en un clic.

Art. 6(1)(b)

Contrat

Utilisé pour fournir le service auquel vous vous êtes inscrit : provisionner des bacs à sable, exécuter des agents, stocker le contexte de votre projet et produire des factures.

Art. 6(1)(c)

Obligation légale

Utilisé pour conserver les dossiers comptables et fiscaux en vertu du droit commercial suisse, pour répondre aux demandes légales et pour honorer les droits des personnes concernées.

Art. 6(1)(d)

Intérêts vitaux

Réservé aux situations mettant en jeu la vie ou la sécurité - nous ne nous appuyons pas activement sur cette base, mais elle reste disponible si une urgence nécessite d'agir sur des données personnelles.

Art. 6(1)(e)

Tâche publique

Non utilisé. Nous sommes un opérateur commercial privé et n'effectuons pas de tâches d'intérêt public ou sous l'autorité publique.

Art. 6(1)(f)

Intérêts légitimes

Utilisé étroitement pour la prévention de la fraude, la sécurité des services, la détection des abus et la télémétrie minimale des produits - toujours après un test d'équilibre par rapport à vos droits.

Vos droits

Huit droits. Une boîte de réception.

Vous n'avez pas besoin de formulaire, de portail ou d'avocat. Envoyez un seul e-mail et nous acheminons la demande vers la bonne équipe et répondons dans les délais légaux.

Art. 15

Droit d'accès

Vous pouvez obtenir la confirmation que nous traitons vos données personnelles, une copie de ces données et des informations sur les finalités, les catégories et les destinataires.

Comment faire de l'exercice
Art. 16

Droit de rectification

Vous pouvez faire rectifier sans délai des données personnelles inexactes et compléter des données incomplètes, notamment en fournissant une déclaration complémentaire.

Comment faire de l'exercice
Art. 17

Droit à l'effacement

Aussi connu sous le nom de droit à l’oubli. Nous supprimons les données personnelles lorsque l'un des motifs légaux s'applique, sous réserve des obligations de conservation que nous devons respecter.

Comment faire de l'exercice
Art. 18

Droit à la limitation

Vous pouvez nous demander de limiter le traitement dans des circonstances spécifiques - par exemple lorsque nous vérifions un problème d'exactitude ou lors d'un test de pondération des objections.

Comment faire de l'exercice
Art. 20

Droit à la portabilité

Lorsque le traitement est basé sur un consentement ou un contrat et effectué par des moyens automatisés, vous pouvez recevoir vos données dans un format structuré et lisible par machine.

Comment faire de l'exercice
Art. 21

Droit d'opposition

Vous pouvez à tout moment vous opposer au traitement fondé sur des intérêts légitimes ou au marketing direct, après quoi nous nous arrêterons sauf si nous pouvons démontrer des motifs impérieux.

Comment faire de l'exercice
Art. 22

Prise de décision automatisée

Nous ne vous soumettons pas à des décisions basées uniquement sur un traitement automatisé qui produisent des effets juridiques ou tout aussi importants sans examen humain significatif.

Comment faire de l'exercice
Art. 7(3)

Retrait du consentement

Lorsque nous nous appuyons sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement effectué avant le retrait.

Comment faire de l'exercice

Nous répondons dans les 30 jours, comme l'exige l'article 12(3). Si une demande est complexe, nous pouvons prolonger la prolongation jusqu'à deux mois supplémentaires, en indiquant les raisons. Vous recevrez une réponse de notre part dans les 30 premiers jours dans tous les cas.

Transferts

Comment les données traversent les frontières.

Les données personnelles quittent une juridiction de l'UE/EEE uniquement lorsqu'il existe un mécanisme de transfert valide - et nous documentons lequel s'applique à chaque destination.

La Suisse bénéficie d'une décision d'adéquation de la Commission européenne en vertu de l'GDPR article 45, de sorte que les transferts entre l'UE/EEE et la Suisse ne nécessitent pas de garanties supplémentaires. Après Schrems II, nous traitons chaque transfert ultérieur avec la même diligence.

Pour les transferts vers des juridictions sans décision d'adéquation, nous utilisons les Clauses Contractuelles Types (CCS) 2021 comme garantie par défaut, combinées au supplément Swiss FADP où les données sont soumises en parallèle au droit suisse.

Lorsque les lois de surveillance du pays de destination le justifient, nous effectuons une évaluation de l'impact du transfert et appliquons des mesures supplémentaires - généralement un cryptage contrôlé par le responsable du traitement et des engagements contractuels en matière de transparence.

transfer · flow
UE / EEE
Décision d'adéquation · Art. 45
Suisse
Décision d'adéquation · Art. 45
Autres régions
CSC 2021 + TIA si nécessaire
Résidence

Choisissez où se trouvent vos données.

Les données clients sont stockées dans des clusters régionaux. Les résidences dans l'UE et en Suisse sont disponibles aujourd'hui ; des régions supplémentaires sont sur la feuille de route et peuvent être activées sur demande.

Disponible

UE (Francfort)

Région principale pour les clients de l'UE. Tous les traitements et sauvegardes restent dans les limites de l’UE/EEE.

Disponible

Suisse (Zurich)

Résidence suisse pour les clients sensibles au FADP. Adéquat avec l’UE au titre de l’article 45.

Feuille de route

États-Unis (Virginie)

Prévu pour les clients nécessitant une résidence aux États-Unis. Sera livré avec les SCC 2021 et une évaluation de l’impact du transfert.

Feuille de route

Autres régions sur demande

Nous pouvons cibler des clusters régionaux au Royaume-Uni, en APAC ou en LATAM pour des contrats d'entreprise - parlez-nous de vos besoins en matière de résidence.

Sous-traitants

Documenté, audité, notifié.

Nous nous appuyons sur un petit ensemble de sous-traitants - infrastructure cloud, fournisseurs de modèles et outils opérationnels - chacun lié par un contrat de traitement au titre de l'article 28 et examiné chaque année pour la sécurité et la confidentialité.

La liste complète des sous-traitants ultérieurs, y compris les catégories, les emplacements et les mécanismes de transfert, est disponible sur demande et est republiée dans notre DPA.

Demander la liste des sous-traitantsPréavis de 30 jours avant d'ajouter de nouveaux sous-traitants ultérieurs
Art. 32 mesures

Mesures techniques et organisationnelles.

L'article 32 exige une garantie adaptée au risque. Ce sont les mesures que nous appliquons dans l’ensemble de nos activités de traitement – ​​expliquées en langage simple.

Cryptage

TLS 1.2+ pour les données en transit et AES-256 pour les données au repos. Les clés sont gérées par le KMS du fournisseur de cloud avec la rotation et la journalisation d'audit activées.

Pseudonymisation

Les workflows internes d'analyse, de télémétrie et de ML fonctionnent sur des identifiants pseudonymes lorsque l'objectif ne nécessite pas de données attribuables.

Contrôles d'accès (RBAC)

Accès basé sur les rôles avec le moins de privilèges, SSO pour le personnel, MFA obligatoire et révisions d'accès trimestrielles. L’accès à la production est journalisé et limité dans le temps.

Résilience et sauvegardes

Sauvegardes cryptées et géoredondantes avec des objectifs RTO/RPO documentés et des exercices de restauration de routine pour confirmer que la récupération fonctionne réellement.

Réponse aux incidents

Un playbook documenté avec des niveaux de gravité, une rotation d'astreinte et un objectif de notification de violation dans un délai de 72 heures, aligné sur l'GDPR article 33.

Tests réguliers

Analyse continue des dépendances, tests périodiques de pénétration des applications et exercices sur table qui examinent les contrôles techniques et organisationnels.

Contacter

Contact pour la protection des données.

Contrôleur
CodeCourier
Représentant
Nico Jaroszewski
Adresse
Schlosstalstrasse 202, 8408 Winterthur, Switzerland
Courriel
info@codecourier.dev

Représentant de l'UE en vertu de l'art. 27 : Non requis pour le moment. CodeCourier est établie en Suisse et ne traite pas régulièrement les données des résidents de l'UE en dehors du champ contractuel. Un représentant sera désigné si les critères de l'article 27 sont remplis. Un délégué officiel à la protection des données (article 37) n'est pas désigné, sauf si l'ampleur ou la sensibilité du traitement l'exige.

FAQ

Questions auxquelles on a répondu honnêtement.

Combien de temps conservez-vous les données clients ?
Nous conservons les données client aussi longtemps que votre compte est actif et pendant une courte période résiduelle par la suite pour soutenir la facturation, la résolution des litiges et les obligations légales. Les durées de conservation spécifiques par catégorie de données sont documentées dans notre DPA, et vous pouvez demander une suppression anticipée en vertu de l'article 17.
Puis-je exporter mes données ?
Oui. Vous pouvez effectuer vous-même une exportation des données de votre projet actif depuis l'intérieur du produit, et vous pouvez également demander une exportation structurée lisible par machine en vertu de l'article 20 en nous envoyant un e-mail. Nous répondons dans les 30 jours et livrons le colis via un canal authentifié.
Formez-vous des modèles sur le code client ?
Non. Le code téléchargé par le client et les données d'exécution de l'agent ne sont pas utilisés pour entraîner nos modèles de base ou ceux de tiers. Nous ajustons ou intégrons uniquement dans les limites de votre propre espace de travail, et uniquement dans le but de servir vos agents.
Qu'arrive-t-il aux données lorsque j'annule ?
Les données de projet actif sont supprimées dans les 30 jours suivant l'annulation, sauf lorsque la loi exige une conservation plus longue d'enregistrements spécifiques (généralement la facturation et les taxes). Les sauvegardes vieillissent selon leur cycle de vie normal et sont chiffrées au repos jusqu'à leur expiration.
Transférez-vous des données vers les États-Unis ?
Uniquement lorsque cela est strictement nécessaire au fonctionnement du service - par exemple un petit ensemble d'outils opérationnels et de fournisseurs de modèles. Ces transferts sont couverts par les clauses contractuelles types 2021, étayées par une évaluation de l'impact du transfert le cas échéant, et répertoriées dans notre inventaire des sous-traitants ultérieurs.
Comment déposer une réclamation auprès de mon autorité de contrôle ?
Vous avez toujours le droit de déposer une plainte auprès de l'autorité de protection des données de votre pays de résidence (l'EDPB tient à jour un répertoire des APD nationales dans l'UE/EEE). Pour les résidents suisses, l'autorité compétente est le PFPDI. Nous apprécierions cependant d’avoir l’opportunité de répondre d’abord à votre préoccupation.
Confidentialité à CodeCourier

Des questions sur la façon dont nous traitons vos données ?

Gratuit pendant 14 jours · pas de carte de crédit

Embauchez votre premier ingénieur IA.
Expédier avant l'heure du déjeuner.

5 minutes pour embarquer. Premier PR dans l'heure. Annulez à tout moment.