Zyre Logo
Zyre

Accord de Traitement des Données (DPA)

MISE À JOUR : 12 Juin 2026

Le présent Accord de Traitement des Données (« DPA ») complète les Conditions Générales de Venteet encadre, conformément à l'article 28 du RGPD, les traitements de données personnelles que Zyre (« le Sous-traitant ») réalise pour le compte de son client (« le Responsable de traitement ») dans le cadre du Service. Il s'applique automatiquement à tout abonnement, sans signature séparée, et prévaut sur toute stipulation contraire des CGV pour ce qui concerne la protection des données.

1. Objet, nature et finalité du traitement

Zyre traite pour le compte du Client les données techniques générées par le trafic des sites web que le Client a placés sous protection. Les opérations de traitement réalisées sont :

  • Filtrage en temps réel des requêtes HTTP (pare-feu applicatif : détection d'injections SQL, XSS, traversée de répertoires, outils d'attaque) ;
  • Journalisation des menaces détectées (collecte, enregistrement, conservation, consultation par le Client, effacement) ;
  • Blocage d'adresses IP identifiées comme malveillantes (automatique ou sur instruction manuelle du Client) ;
  • Agrégation de statistiques de trafic (comptages horaires, sans conservation des requêtes individuelles).

La finalité exclusive est la sécurisation des sites du Client(intérêt légitime de sécurité des réseaux et de l'information, considérant 49 du RGPD). Zyre ne réutilise jamais ces données pour son propre compte, ne les croise pas entre clients, et ne les utilise à aucune fin commerciale, publicitaire ou de profilage.

2. Catégories de données et de personnes concernées

  • Personnes concernées : visiteurs des sites web protégés par le Client.
  • Catégories de données : adresse IP, pays d'origine (déduit de l'IP), user-agent, chemin et méthode des requêtes HTTP, horodatage, type de menace détectée.
  • Aucune donnée sensible au sens de l'article 9 du RGPD n'est collectée intentionnellement. Le contenu des corps de requêtes est inspecté en mémoire pour la détection de menaces mais n'est pas conservé ; seul le motif de détection est journalisé.

3. Durée du traitement et conservation

Le présent DPA s'applique pendant toute la durée de l'abonnement. Les durées de conservation sont appliquées automatiquement par purge quotidienne :

  • Logs de menaces : 7 à 365 jours selon le plan souscrit (Starter : 7 jours, Pro : 30 jours, Agence : 90 jours, Enterprise : 365 jours).
  • IP bloquées automatiquement : 6 mois par défaut ; le Client peut configurer cette durée (7 jours, 30 jours, 3 mois, 6 mois ou 1 an) depuis son tableau de bord. Ce paramètre constitue une instruction documentée au sens de l'article 28.
  • Règles de blocage manuelles : conservées tant que le Client les maintient ; elles relèvent de sa seule décision.
  • Statistiques de trafic agrégées : 13 mois (aucune donnée individuelle).

4. Obligations de Zyre (sous-traitant)

Zyre s'engage à :

  • ne traiter les données que pour la finalité décrite ci-dessus et sur instruction documentée du Client, matérialisée par la configuration du Service (ajout/retrait de domaines, règles de filtrage, durées de rétention, listes blanches/noires) ;
  • informer le Client si, selon Zyre, une instruction constitue une violation du RGPD ;
  • garantir que les personnes autorisées à traiter les données sont soumises à une obligation de confidentialité contractuelle ;
  • mettre en œuvre les mesures techniques et organisationnelles décrites en Annexe (article 32 RGPD) ;
  • assister le Client, par des mesures techniques et organisationnelles appropriées, pour répondre aux demandes d'exercice de droits des personnes concernées (accès, effacement, opposition) qui lui parviendraient, notamment via la recherche et la suppression d'entrées de logs sur demande ;
  • assister le Client pour ses obligations au titre des articles 32 à 36 du RGPD (sécurité, notification de violation, analyse d'impact), compte tenu de la nature du traitement et des informations dont Zyre dispose ;
  • notifier le Client sans délai injustifié après avoir eu connaissance d'une violation de données à caractère personnel affectant ses données, en fournissant la nature de la violation, les catégories et le volume approximatif de données et de personnes concernées, les conséquences probables et les mesures prises, afin de permettre au Client d'effectuer sa propre notification à l'autorité de contrôle dans le délai de 72 heures (article 33 RGPD) ;
  • supprimer l'ensemble des données traitées pour le compte du Client à la résiliation de l'abonnement ou à la suppression du compte, avec une suppression effective en base de données et dans les caches (Redis), pas un simple archivage. Le Client peut exporter ses données avant suppression ;
  • mettre à la disposition du Client toute information nécessaire pour démontrer le respect du présent accord, et permettre la réalisation d'audits, dans la limite d'un audit par an, à distance, moyennant un préavis écrit de 30 jours, aux frais du Client, sans accès aux données des autres clients de Zyre ;
  • tenir un registre des catégories d'activités de traitement effectuées pour le compte du Client (article 30.2 RGPD).

5. Sous-traitants ultérieurs

Le Client autorise de manière générale le recours aux sous-traitants ultérieurs listés dans la Politique de Confidentialité (section « Destinataires et sous-traitants »).Les données des visiteurs des sites protégés ne transitent que par l'infrastructure d'hébergement de Zyre, située dans l'Union Européenne. Elles ne sont transmises ni à Stripe, ni à Brevo, ni à OpenAI, ni à Google, et ne font l'objet d'aucun transfert hors de l'Union Européenne.

Zyre informera le Client de tout projet d'ajout ou de remplacement d'un sous-traitant ultérieur affectant ces données, par email, au moins 30 jours à l'avance. Le Client peut s'y opposer par écrit ; en cas d'opposition, sa seule voie de recours est la résiliation de l'abonnement avant la prise d'effet du changement, sans pénalité. Zyre impose à tout sous-traitant ultérieur les mêmes obligations de protection des données que celles du présent DPA et demeure pleinement responsable envers le Client de leur exécution.

6. Obligations du Client (responsable de traitement)

  • Le Client garantit disposer d'une base légale pour le traitement des données des visiteurs de ses sites (typiquement l'intérêt légitime de sécurisation, considérant 49 du RGPD) et avoir procédé, le cas échéant, aux analyses requises.
  • Le Client s'engage à mentionner Zyre dans la politique de confidentialité de ses sites protégés, en tant que sous-traitant chargé de la sécurité, et à informer les visiteurs du traitement de leur adresse IP à des fins de sécurité.
  • Le Client garantit être propriétaire des domaines placés sous protection ou disposer de l'autorisation expresse de leur propriétaire (voir CGU).
  • Le Client est seul responsable des règles de blocage qu'il crée manuellement (choix des IP, durée de maintien) et de la configuration des durées de rétention, qui constituent ses instructions de traitement.
  • Le Client traite les demandes d'exercice de droits émanant des visiteurs de ses sites ; Zyre lui apporte son assistance conformément à l'article 4 du présent DPA.

7. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est régie par l'article 82 du RGPD : Zyre n'est responsable des dommages causés par le traitement que s'il n'a pas respecté les obligations du RGPD qui incombent spécifiquement aux sous-traitants, ou s'il a agi en dehors des instructions licites du Client ou contrairement à celles-ci. Les plafonds de responsabilité prévus aux CGVs'appliquent au présent DPA, sauf en cas de faute lourde ou intentionnelle.

8. Annexe : mesures techniques et organisationnelles (article 32 RGPD)

Mesures effectivement mises en œuvre par Zyre sur l'infrastructure traitant les données du Client :

  • Chiffrement en transit : TLS sur l'ensemble des communications (certificats Let's Encrypt à renouvellement automatique).
  • Cloisonnement multi-tenant : toutes les données sont scopées par organisation en base de données ; les listes de blocage d'un client n'affectent jamais les sites des autres clients (clés Redis isolées par organisation).
  • Contrôle d'accès : authentification JWT avec révocation par version de jeton, authentification à deux facteurs (TOTP avec secret chiffré au repos, ou code email), rôles différenciés (propriétaire, admin, membre, lecteur), double protection CSRF sur les mutations.
  • Hachage des mots de passe : bcrypt (facteur de coût 12) ; aucune conservation en clair.
  • Durcissement applicatif : requêtes SQL exclusivement paramétrées, timeout serveur de 30 s sur toute requête base de données, limitation de débit par IP avec éviction mémoire, timeouts de lecture/écriture contre les attaques slowloris, validation des en-têtes X-Forwarded-For limitée aux proxys de confiance.
  • Journalisation et traçabilité : journal d'audit de toutes les actions sensibles (conservé 12 mois), supervision Prometheus protégée par jeton.
  • Minimisation et purge automatique : purges quotidiennes appliquant les durées de l'article 3 sans intervention humaine ; les corps de requêtes inspectés ne sont jamais conservés.
  • Gestion des secrets : secrets applicatifs hors du code source (variables d'environnement), clés distinctes par usage (JWT, chiffrement MFA, challenge, proxy), rotation en cas de suspicion de compromission.
  • Continuité et incident : arrêt propre avec drainage des requêtes en cours, procédure interne de réponse aux violations de données avec notification CNIL sous 72 h et information des clients concernés sans délai injustifié.
  • Localisation : hébergement et caches (PostgreSQL, Redis) exclusivement dans l'Union Européenne.

9. Contact

Pour toute question relative au présent DPA, à la protection des données ou pour solliciter l'assistance prévue à l'article 4 : dpo@zyre.fr.

Pour toute question d'ordre légal, veuillez contacter legal@zyre.com