Conformément à l’article 28 du Data Act (Règlement (UE) 2023/2854), nous publions des informations sur :
- la juridiction à laquelle est soumise l’infrastructure TIC utilisée pour le traitement de nos services, et
- une description générale des mesures techniques, organisationnelles et contractuelles que nous appliquons pour prévenir tout accès gouvernemental international ou transfert de données non personnelles en conflit avec le droit de l’UE ou le droit national pertinent.
Cette page est référencée dans nos contrats de services de traitement de données.
Juridictions applicables et localisation des données de nos infrastructures TIC
| Service | Localisation des données | Sous-traitant | Juridictions applicables |
|---|---|---|---|
| Développement logiciel | EU-FR | – | EU-FR |
| Expertise (cyber, industrialisation, …) | EU-FR | – | EU-FR |
| Hébergement | EU-FR | – | EU-FR |
| Helpdesk | EU-FR | – | EU-FR |
| Infogérance | EU-FR | – | EU-FR |
| Sauvegarde externalisée | EU-FR | – | EU-FR |
| SOC (détection et levée de doute) | EU-FR (*) | CYNA | EU-FR |
| SOC (remédiation) | EU-FR | – | EU-FR |
Pour l’ensemble de nos services, nos équipes sont habituellement basées en France (métropole et DROM) et accèdent à distance à nos plateformes hébergées. Ces accès n’impliquent aucun transfert vers un pays tiers.
(*) La plateforme SOC (SIEM/SOAR et stockage primaire) permet, pour un accès opérationnel en follow-the-sun, un accès à distance réalisé par des équipes de CYNA situées au Canada (Ontario) et à Singapour.
Mesures pour prévenir des accès/transferts internationaux contraires au droit de l’UE
Mesures techniques principales :
- Chiffrement en transit ;
- Gestion des clés : HSM/KMS, séparation des rôles, rotation, journalisation des accès ;
- Localisation par défaut dans l’UE pour les charges de travail configurées en régions UE ;
- Segmentation réseau et contrôle d’accès à privilèges minimaux ; traçabilité (logs horodatés, immuabilité) ;
- Export & portabilité documentés (formats lisibles par machine) lorsque pertinent.
Mesures contractuelles :
- Référence explicite à la présente page dans nos contrats de services.
Politique relative aux demandes d’autorités de pays tiers :
- Exigence d’un fondement légal international valide (traité d’entraide, etc.). À défaut, la demande n’est ni reconnue ni exécutoire au sein de l’UE ;
- Contrôle de conflit de lois et analyse de proportionnalité ;
- Opposition/contestation lorsque la demande est incompatible avec le droit français et le droit européen ;
- Registre des demandes reçues et décisions associées ; rapport de transparence (voir plus bas) ;
- Notification client (si légalement possible) avant toute divulgation ; minimisation et données non personnelles uniquement si la demande vise un périmètre relevant du Data Act.
Rapport de transparence (demandes internationales)
- Période couverte : 18/08/2025 → aujourd’hui
- Nombre de demandes reçues : 0
- Origines des autorités requérantes : –
- Demandes contestées/refusées : 0
- Demandes exécutées (après contrôle) : 0
- Délai moyen de traitement : –
