RGPD
Règlement général sur la protection des données de l'UE — comment Scrydon accompagne les responsables du traitement et les sous-traitants sur la base légale, la minimisation, la conservation et les droits des personnes concernées.
Le Règlement général sur la protection des données (Règlement 2016/679) régit le traitement des données personnelles dans l'Union européenne. Cette page couvre les contrôles de Scrydon en matière de RGPD.
Dans un déploiement Scrydon typique, vous êtes le responsable du traitement des données personnelles que votre organisation traite via la plateforme ; Scrydon (le fournisseur) n'est pas un sous-traitant de vos données car la plateforme s'exécute dans votre cluster et Scrydon n'y a pas accès. C'est la raison architecturale pour laquelle la « souveraineté des données » se traduit si directement par la conformité au RGPD.
Principes clés → support de la plateforme
Article 5 — Principes
| Principe | Support Scrydon |
|---|---|
| Licéité, loyauté, transparence | Divulgation par workflow (finalité prévue, sources de données). Divulgation IA visible par l'utilisateur dans le chat. |
| Limitation des finalités | La définition du workflow déclare la finalité ; tout écart déclenche un événement de gestion du changement. |
| Minimisation des données | Masquage des colonnes, filtres de lignes. Traitez uniquement ce dont le workflow a besoin. Voir Classification et masquage. |
| Exactitude | Profils de tables gérées, bloc évaluateur, provenance ontologique. |
| Limitation de la conservation | Conservation configurable par organisation. |
| Intégrité et confidentialité | mTLS, chiffrement au repos, audit. Voir Sécurité. |
| Responsabilité | L'ensemble du dispositif d'audit et de gouvernance. |
Article 6 — Base légale
La plateforme ne détermine pas votre base légale — c'est une question juridique pour le responsable du traitement. Elle vous aide à l'enregistrer et à l'appliquer :
- Consentement : un flux de recueil du consentement peut être intégré dans les workflows traitant des données personnelles.
- Intérêt légitime : documenté par workflow dans le cadre de l'évaluation d'impact sur la gouvernance de l'IA.
- Contrat / obligation légale : documenté dans les métadonnées du workflow.
Article 9 — Catégories particulières
Les données de catégories particulières (santé, biométrique, opinion politique, …) reçoivent par défaut la classification restricted et une stratégie de masque redact pour les lecteurs non administrateurs. Les workflows traitant des données de catégories particulières nécessitent une dérogation explicite et sont signalés dans l'inventaire IA.
Droits des personnes concernées
Le RGPD confère aux personnes concernées des droits que vous devez respecter. La plateforme prend en charge le volet technique :
| Droit | Support Scrydon |
|---|---|
| Article 15 — Droit d'accès | Export par organisation des données personnelles : workflows, documents de la base de connaissances, lignes de tables gérées, événements d'audit liés à une personne concernée. |
| Article 16 — Rectification | Opérations d'écriture standard sur les tables gérées et les documents de la base de connaissances. |
| Article 17 — Droit à l'effacement | Effacement par personne concernée sur les tables gérées, la base de connaissances, l'historique de chat, les métadonnées d'audit (l'événement subsiste mais la référence à la personne est hachée). |
| Article 18 — Limitation du traitement | Marquez un enregistrement pour restriction ; il est exclu des résultats de requête jusqu'à sa levée. |
| Article 20 — Portabilité | Export structuré (JSON / CSV) de toutes les données personnelles liées à une personne concernée. |
| Article 21 — Opposition | Les exécutions de workflow contre une personne ayant exercé son droit d'opposition sont bloquées au moment de l'exécution. |
L'interface de demande de droits des personnes concernées se trouve dans Paramètres → Plateforme → Confidentialité.
Conservation
Les fenêtres de conservation par défaut sont conservatrices :
| Type de données | Par défaut | Justification |
|---|---|---|
| Événements d'audit | 365 jours | Aligné avec SOC 2, extensible pour la conformité dans les services financiers |
| Journaux d'exécution de workflow | 90 jours | Fenêtre de débogage opérationnel |
| Historique de chat | 365 jours | Attente des utilisateurs |
| Documents de la base de connaissances | indéfini | Contrôlé par la suppression par l'utilisateur |
| Lignes de tables gérées | indéfini | Contrôlé par la suppression de la table |
Toutes les fenêtres sont configurables par organisation. La réduction de la conservation des audits nécessite l'approbation du propriétaire de l'organisation et ne s'applique qu'aux nouveaux événements.
Transferts internationaux
Si vos intégrations installées appellent des fournisseurs cloud hors de l'UE (OpenAI aux États-Unis, par exemple), il s'agit de transferts internationaux. La plateforme le rend explicite :
- Le catalogue de fournisseurs déclare le profil de résidence des données de chaque intégration.
- Les administrateurs d'organisation peuvent restreindre le registre d'intégrations aux fournisseurs exclusivement européens ou auto-hébergés.
- Un événement d'audit est émis à chaque appel pertinent pour un transfert (appel LLM à un fournisseur transfrontalier).
Voir Cortex pour les contrôles de routage.
Accord de traitement des données (ATD)
Scrydon publie un ATD à l'adresse https://scrydon.com/legal/dpa. Pour une plateforme déployée par le client où Scrydon n'a pas accès à vos données, l'ATD couvre principalement :
- La relation de licence.
- La relation de support (lorsque les ingénieurs du support Scrydon aident au débogage, ils n'ont pas accès à votre cluster).
- Le signal de disponibilité (aucune donnée personnelle ne transite).
Voir aussi
- Classification et masquage — les contrôles de minimisation des données.
- Journalisation d'audit — comment les requêtes sont attestées.
- Conformité → Loi IA de l'UE — s'applique en parallèle du RGPD pour les systèmes d'IA.