Synthèse
Cette page rassemble tout ce que Rush Studio met en œuvre pour se conformer au Règlement général sur la protection des données (RGPD) de l'UE, au RGPD britannique et aux lois équivalentes en matière de protection des données ailleurs dans le monde. Elle tient également lieu d'avenant de traitement des données (DPA) standard — voir la section 9 pour les clauses contractuelles.
Qui est le responsable du traitement, qui est le sous-traitant
Selon la terminologie du RGPD :
- Pour les données de votre propre compte (nom, e-mail, facturation) — Rush Studio est le responsable du traitement. Nous décidons quelles données collecter et pourquoi.
- Pour le contenu que vous placez dans Rush Studio (vos fichiers, segments, glossaires, mémoires de traduction) — Rush Studio est le sous-traitant. Vous êtes le responsable du traitement ; nous agissons selon vos instructions.
Cette page couvre les deux relations. Les clauses contractuelles de la section 9 régissent notre rôle de sous-traitant.
Base légale
Nous nous appuyons sur les bases suivantes de l'article 6 du RGPD, selon l'activité concernée :
- Contrat (art. 6(1)(b)) — la fourniture du Service à votre intention.
- Intérêt légitime (art. 6(1)(f)) — sécurité, prévention de la fraude, amélioration du produit, prospection auprès des clients existants.
- Consentement (art. 6(1)(a)) — fonctionnalités facultatives, prospection commerciale.
- Obligation légale (art. 6(1)(c)) — fiscalité, audit, réglementation.
Catégories de données à caractère personnel
Rush Studio traite les catégories de données à caractère personnel suivantes :
- Données de compte — nom, e-mail professionnel, entreprise, fonction, empreinte du mot de passe, préférences de profil.
- Données d'authentification — horodatages de connexion, adresse IP, appareil, jetons MFA.
- Contenu client — fichiers, segments, mémoire de traduction, glossaires, commentaires. Peut contenir des données à caractère personnel selon ce que vous importez.
- Données d'utilisation — usage des fonctionnalités, rapports d'erreur, durée des sessions.
- Données de facturation — nom de l'entreprise, adresse de facturation, numéro de TVA, moyen de paiement (nous ne conservons pas les numéros de carte complets ; c'est Stripe qui le fait).
- Données d'assistance — e-mails et tickets que vous nous adressez.
Personnes concernées
Les personnes dont nous pouvons traiter les données à caractère personnel incluent :
- Votre équipe — les collègues que vous invitez dans votre espace de travail.
- Vos relecteurs et traducteurs — les indépendants ou agences à qui vous confiez du travail.
- Les personnes nommées dans votre contenu — toute personne mentionnée dans les fichiers que vous importez (salariés, clients, tiers).
Si vous importez du contenu contenant des données à caractère personnel, vous êtes responsable de vous assurer que vous disposez d'une base légale pour les partager avec nous. Nous les traitons selon vos instructions, conformément au DPA.
Sous-traitants ultérieurs
Nous faisons appel aux sous-traitants ultérieurs suivants pour fournir le Service. Nous avons conclu un accord écrit de traitement des données avec chacun d'eux. Nous vous informons 30 jours à l'avance avant d'en ajouter ou d'en remplacer un ; vous pouvez vous y opposer via privacy@rush-studio.com.
Pour les sous-traitants d'IA en particulier : nous envoyons le segment en cours de traitement et le contexte limité dont la tâche a besoin — les segments voisins pour assurer la continuité, les termes de votre glossaire et vos paramètres de Brand Voice / de ton. Nous n'envoyons jamais de données de compte, de facturation ou d'authentification. Les requêtes vers OpenAI sont envoyées avec le stockage désactivé (store: false) de sorte qu'elles ne sont pas conservées à des fins d'entraînement ou d'évaluation des modèles ; les clients de notre plan Scale peuvent en outre demander un accord de non-conservation des données (Zero Data Retention) au niveau du compte. DeepL et Google traitent le contenu selon leurs conditions professionnelles standard excluant l'entraînement.
Transferts internationaux
Le stockage principal des données reste dans l'Union européenne. Certains sous-traitants (notamment les fournisseurs d'IA basés aux États-Unis et notre service d'envoi d'e-mails) impliquent le transfert de données à caractère personnel en dehors de l'UE/du Royaume-Uni.
Pour ces transferts, nous nous appuyons sur :
- Les clauses contractuelles types (CCT) approuvées par la Commission européenne, dans leur version révisée de 2021.
- L'avenant britannique sur les transferts internationaux de données pour les données originaires du Royaume-Uni.
- Le cadre de protection des données UE–États-Unis pour les sous-traitants qui y sont certifiés (actuellement AWS, OpenAI, Google).
Les analyses d'impact des transferts sont disponibles sous accord de confidentialité — écrivez à privacy@rush-studio.com.
Droits des personnes concernées
En vertu du RGPD, les personnes ont le droit d'accéder à leurs données à caractère personnel, de les rectifier, de les effacer, d'en limiter le traitement, de les faire porter et de s'opposer à leur traitement, ainsi que le droit de retirer leur consentement et d'introduire une réclamation auprès d'une autorité de contrôle.
Si vous êtes notre client direct : la plupart des droits peuvent être exercés depuis les paramètres de votre compte. Pour tout le reste, écrivez à privacy@rush-studio.com ; nous répondons sous 30 jours.
Si vous n'êtes pas notre client mais que vos données se trouvent dans l'espace de travail d'un client : nous transmettrons votre demande au client concerné (le responsable du traitement). C'est sa politique de confidentialité qui s'appliquera.
Avenant sur le traitement des données (DPA)
Cette section constitue notre DPA standard, qui fait partie intégrante de vos Conditions d'utilisation lorsque vous utilisez Rush Studio avec des données à caractère personnel.
9.1 Portée. Nous agissons en qualité de sous-traitant pour votre compte s'agissant du contenu client que vous importez dans le Service. Nous ne traitons ce contenu que sur la base de vos instructions documentées, telles qu'énoncées dans les présentes Conditions et dans la documentation du Service.
9.2 Confidentialité. Nous veillons à ce que le personnel autorisé à traiter vos données soit soumis à des obligations de confidentialité.
9.3 Sécurité. Nous mettons en œuvre les mesures techniques et organisationnelles décrites à la section 11, que nous jugeons appropriées au regard du risque.
9.4 Sous-traitants ultérieurs. Vous nous accordez une autorisation générale de recourir à des sous-traitants ultérieurs. La liste actuelle figure à la section 6. Nous vous informerons 30 jours à l'avance de tout changement et imposerons des obligations équivalentes à chaque sous-traitant ultérieur.
9.5 Demandes des personnes concernées. Nous vous aiderons à répondre aux demandes des personnes concernées, en tenant compte de la nature du traitement. Nous vous transmettrons toute demande que nous recevrions directement et qui porte sur votre contenu.
9.6 Incidents. Nous vous notifierons toute violation de données à caractère personnel dans les meilleurs délais, et en tout état de cause dans les 72 heures suivant le moment où nous en avons connaissance. Voir la section 10.
9.7 Audits. Une fois par an, vous pouvez auditer notre conformité au présent DPA, sous réserve d'un préavis raisonnable et de la confidentialité. Les rapports SOC 2 et équivalents sont acceptés en lieu et place d'un audit sur site dans la plupart des cas.
9.8 Restitution / suppression. À la résiliation, nous supprimerons ou vous restituerons votre contenu client dans un délai de 30 jours, sous réserve de toute conservation exigée par la loi.
9.9 Transferts internationaux. Lorsque des transferts en dehors de l'EEE ont lieu, les CCT figurant dans la décision d'exécution (UE) 2021/914 de la Commission s'appliquent, avec les modules et options indiqués dans l'annexe de notre DPA standard. Demander l'annexe pour en obtenir la copie officielle.
Réponse aux incidents
Si un incident de sécurité affecte vos données, nous en informons les clients concernés dans les meilleurs délais, et en tout état de cause dans les 72 heures suivant le moment où nous en avons connaissance. La notification comprend :
- La nature de l'incident et les catégories de données touchées.
- Le nombre approximatif de personnes concernées.
- Les conséquences probables.
- Les mesures que nous avons prises ou proposons de prendre pour l'atténuer.
- Le contact chez Rush Studio auquel vous pouvez poser des questions complémentaires.
Les incidents majeurs sont également divulgués publiquement sur notre page de statut dans les 24 heures.
Mesures de sécurité
Nos mesures techniques et organisationnelles comprennent (liste non exhaustive) :
- Chiffrement TLS 1.3 en transit ; AES-256 au repos.
- Contrôle d'accès basé sur les rôles avec des paramètres par défaut au moindre privilège.
- MFA obligatoire pour tout accès en production.
- Journalisation d'audit centralisée, conservée pendant 13 mois.
- Test d'intrusion annuel par un prestataire externe (dernier rapport disponible sous accord de confidentialité).
- Certifié SOC 2 Type II, ISO 27001 en cours.
- Sauvegardes chiffrées quotidiennes avec réplication interrégionale, restauration à un instant précis sur 30 jours.
- Exercices de reprise après sinistre trimestriels.
- Formation à la sécurité pour tous les employés à l'embauche puis chaque année.
Délégué à la protection des données
Rush Studio a désigné un délégué à la protection des données (DPO) comme l'exige l'article 37 du RGPD (nous traitons des données à caractère personnel à grande échelle et sommes donc tenus d'en désigner un).
DPO : Pedro Almeida
E-mail : privacy@rush-studio.com
Adresse postale : Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, UK
Notre représentant dans l'UE au titre de l'article 27 du RGPD est établi à Berlin et joignable à la même adresse e-mail du DPO.
Si quelque chose vous semble ambigu ici, dites-le-nous — nous le reformulerons dans la prochaine révision.
