Conformité

RGPD & Traitement des données

Dernière mise à jour : 15 avril 2026 · En vigueur : RGPD (UE) 2016/679

Cette page s'adresse aux responsables de la conformité, aux équipes d'approvisionnement et aux délégués à la protection des données qui évaluent QRStandard en tant que fournisseur. Elle couvre notre architecture de résidence des données, la liste des sous-traitants, la conformité à l'Art. 28 et comment demander un Accord de Traitement des Données (ATD).

Lieu de stockage
Allemagne, UE
Responsable du traitement
Contenza K/S
Droit applicable
RGPD + Droit danois
ATD disponible
Oui — sur demande

Responsable du traitement

Contenza K/S
CVR : 43349023 · TVA : DK43349023
Danemark
Contact : qrstandard.eu/contact

Contenza K/S est le responsable du traitement de toutes les données personnelles traitées via QRStandard. Nous ne désignons pas de co-responsable. Si vous êtes un client professionnel utilisant QRStandard pour traiter les données personnelles de vos propres utilisateurs ou clients (par exemple, l'analytique de scan liée à des personnes identifiables), vous agissez en tant que responsable du traitement indépendant et nous agissons en tant que votre sous-traitant conformément à l'Art. 28 RGPD.

Résidence des données

Toutes les données personnelles traitées par QRStandard sont stockées exclusivement sur des serveurs à Nuremberg, Allemagne, exploités par Hetzner Online GmbH. Aucune donnée personnelle n'est transférée à l'extérieur de l'Espace Économique Européen pour le stockage ou le traitement.

Cela signifie :

  • Vos données de compte, configurations de codes QR et enregistrements de redirection sont stockés en Allemagne.
  • L'analytique de scan est traitée et stockée en Allemagne.
  • Les sauvegardes sont stockées sur la même infrastructure en Allemagne.
  • Aucun service cloud américain (AWS, GCP, Azure) n'est utilisé pour les données personnelles.

Sous-traitants

Nous utilisons les sous-traitants suivants. Nous maintenons des accords de traitement des données avec chacun d'eux conformément à l'Art. 28(4) RGPD.

Sous-traitant Pays Finalité Mécanisme de transfert
Hetzner Online GmbH Allemagne Infrastructure serveur, base de données, stockage objet EEE — aucun transfert
Stripe, Inc. États-Unis Traitement des paiements et gestion des abonnements Cadre EU-États-Unis + CCT
Resend, Inc. États-Unis E-mails transactionnels (authentification, reçus) Clauses Contractuelles Types (Art. 46(2)(c))

Nous informons les clients des modifications importantes de notre liste de sous-traitants avec un préavis d'au moins 14 jours et offrons la possibilité de s'y opposer avant l'entrée en vigueur du changement.

Données que nous traitons pour votre compte (Art. 28)

Lorsque vous utilisez QRStandard en tant que client professionnel, nous traitons les catégories de données suivantes pour votre compte :

  • Événements de scan de codes QR : Horodatage, pays approximatif (déduit de l'IP, IP non stockée), type d'appareil, URL de référence. Ces données peuvent être liées à des personnes si vos codes QR sont déployés dans des contextes où le scanner est identifiable (par exemple, codes liés aux employés ou parcours clients authentifiés).
  • URLs de destination : Les URLs vers lesquelles vos codes QR redirigent et que vous fournissez et contrôlez.
  • Entrées de piste d'audit : Enregistrements de qui a modifié quelle destination de code QR et quand, basés sur des comptes utilisateurs que vous gérez au sein de notre plateforme.

Mesures Techniques et Organisationnelles (MTO)

Nous mettons en œuvre les mesures suivantes pour protéger les données personnelles :

  • Chiffrement en transit : Toutes les connexions utilisent TLS 1.2 ou supérieur. Les certificats sont gérés automatiquement via Let's Encrypt.
  • Chiffrement au repos : Les sauvegardes de base de données sont chiffrées. Les secrets d'application sont stockés dans des variables d'environnement, pas dans le code source ou le contrôle de version.
  • Contrôle d'accès : L'accès à la base de données est limité aux processus d'application s'exécutant sur le même serveur. Aucun accès direct externe à la base de données n'est autorisé. L'accès administrateur au serveur nécessite une authentification par clé SSH — les mots de passe sont désactivés.
  • Authentification : Authentification exclusivement par lien magique — aucun mot de passe n'est stocké. Les tokens de session sont signés cryptographiquement, à usage unique et expirent après 15 minutes.
  • Surveillance : La santé du système et les taux d'erreur sont surveillés en continu. Des alertes sont configurées pour les interruptions de service et les patterns d'erreurs inhabituels.
  • Minimisation des données : Nous ne stockons pas les adresses IP issues des scans de codes QR. Le pays est déduit de l'IP et l'IP est immédiatement supprimée.
  • Durées de conservation : Les événements de scan sont supprimés après 24 mois. Les journaux serveur sont supprimés après 30 jours. Les tokens de session expirent après 30 jours.

Vos droits en tant que personne concernée

Pour les détails complets sur les droits des personnes concernées, consultez notre Politique de confidentialité. Résumé :

  • Droit d'accès (Art. 15) — demander toutes les données stockées vous concernant
  • Droit à l'effacement (Art. 17) — demander la suppression du compte et des données
  • Droit à la portabilité (Art. 20) — recevoir les données au format JSON
  • Droit de rectification (Art. 16) — corriger les données inexactes
  • Droit d'opposition (Art. 21) — s'opposer au traitement fondé sur des intérêts légitimes

Contactez-nous via notre formulaire de contact. Réponse dans les 30 jours. Vous pouvez également déposer une réclamation auprès de l'Autorité danoise de protection des données : datatilsynet.dk · +45 33 19 32 00.

Contexte de conformité réglementaire

QRStandard est une infrastructure pour les exigences d'étiquetage numérique et de traçabilité de l'UE. Nos clients opèrent dans des cadres réglementaires tels que l'EU-MDR/IVDR (2017/745+746), le Règlement UE Machines (2023/1230), le Règlement UE Batteries (2023/1542) et les exigences ESPR pour les Passeports Produits Numériques. Nous comprenons que ces contextes impliquent des données sensibles de chaîne d'approvisionnement et de produits, et notre architecture de données est conçue en conséquence.

Si votre contexte réglementaire nécessite des accords de gestion des données spécifiques — tels qu'une conservation étendue des journaux d'audit, des formats d'export d'audit personnalisés ou une infrastructure dédiée — contactez-nous pour discuter des options Enterprise.

Besoin d'un Accord de Traitement des Données ?

Nous fournissons un ATD standard Art. 28 à tous les abonnés payants sur demande. Contactez-nous et nous vous l'enverrons dans les 2 jours ouvrés.

Demander un ATD →
Contact Protection des données
Contenza K/S · CVR 43349023
Danemark