Version 1.0 - Conforme RGPD

Politique de Confidentialité

Protection et traitement de vos données personnelles

Votre vie privée nous importe

RGAAudit s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés. Cette politique explique quelles données nous collectons, pourquoi, et comment vous pouvez exercer vos droits.

Sommaire

1 Responsable du traitement

Le responsable du traitement de vos données personnelles est RGAAudit, accessible à l'adresse rgaaudit.fr.

Contact Données Personnelles

privacy@rgaaudit.fr

Délégué à la Protection des Données (DPO)

dpo@rgaaudit.fr

2 Données collectées

Nous collectons différentes catégories de données selon votre utilisation :

2.1. Données de compte

  • Identité : nom, prénom, pseudonyme GitHub
  • Coordonnées : adresse email
  • Authentification : identifiant GitHub, token OAuth (via Auth.js)
  • Préférences : langue, thème d'affichage

2.2. Données d'utilisation

  • Audits : URLs auditées, résultats d'analyse, violations détectées
  • Configuration : paramètres d'audit, règles personnalisées
  • Historique : dates et heures d'audits, actions effectuées
  • Utilisation API : endpoints appelés, fréquence, quotas consommés

2.3. Données techniques

  • Connexion : adresse IP, user-agent, navigateur, système d'exploitation
  • Logs : journaux de connexion, erreurs, événements de sécurité
  • Cookies : cookies de session, préférences utilisateur (voir section 8)

2.4. Données de paiement

  • Facturation : nom de facturation, adresse, numéro de TVA (optionnel)
  • Paiement : les données bancaires sont traitées directement par notre prestataire certifié PCI-DSS. Nous ne stockons JAMAIS vos données bancaires.

3 Finalités et bases légales

Vos données sont traitées pour les finalités suivantes :

Fourniture des services

Base légale : Exécution du contrat (CGU)
Données : Compte, audits, utilisation API

Gestion des paiements

Base légale : Exécution du contrat + Obligations légales (comptabilité)
Données : Facturation, historique paiements

Amélioration des services

Base légale : Intérêt légitime
Données : Utilisation, statistiques anonymisées

Sécurité et prévention fraudes

Base légale : Intérêt légitime + Obligations légales
Données : Logs, IP, événements de sécurité

Communications marketing

Base légale : Consentement (opt-in)
Données : Email, préférences communication

4 Durée de conservation

Vos données sont conservées uniquement pour la durée nécessaire aux finalités poursuivies :

Données de compte actif

Pendant toute la durée de l'abonnement

Après résiliation

30 jours puis suppression automatique

Données de facturation

10 ans (obligation légale comptable)

Logs de sécurité

12 mois (sécurité et conformité)

Données anonymisées

Conservation illimitée (statistiques)

Cookies

13 mois maximum

5 Destinataires des données

Vos données personnelles sont accessibles uniquement aux destinataires suivants :

5.1. Personnel autorisé

Les employés et sous-traitants de RGAAudit ayant besoin d'accéder aux données dans le cadre de leurs fonctions (support technique, développement, comptabilité).

5.2. Prestataires techniques

  • Hébergement : Données hébergées en France (conformité RGPD)
  • Paiement : Prestataire certifié PCI-DSS pour traiter les paiements
  • Email : Service d'envoi d'emails transactionnels (factures, notifications)
  • IA : OpenAI API pour génération de suggestions (données anonymisées, pas de conservation par OpenAI)

5.3. Autorités légales

En cas d'obligation légale, nous pouvons communiquer vos données aux autorités compétentes (justice, police, administration fiscale, etc.).

Pas de revente de données

Nous ne vendons jamais vos données personnelles à des tiers, ne les utilisons pas à des fins publicitaires, et ne les partageons pas avec des courtiers en données.

6 Transferts hors Union Européenne

Vos données sont principalement hébergées et traitées en France. Certains prestataires peuvent être situés hors UE :

  • OpenAI (États-Unis) : pour générer les suggestions IA. Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission Européenne. Les données envoyées sont anonymisées et OpenAI ne les conserve pas.
  • GitHub (États-Unis) : pour l'authentification OAuth. Transfert encadré par les CCT.

Tous les transferts hors UE sont réalisés avec des garanties appropriées conformes au RGPD.

7 Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

Chiffrement

HTTPS/TLS pour toutes les communications, chiffrement base de données au repos

Contrôle d'accès

Authentification forte, gestion des permissions, accès au moindre privilège

Infrastructure sécurisée

Hébergement certifié ISO 27001, pare-feu, détection d'intrusion

Sauvegardes

Sauvegardes quotidiennes chiffrées, plan de reprise d'activité

Minimisation

Collecte du strict minimum, anonymisation quand possible

Gestion incidents

Surveillance 24/7, procédure de notification sous 72h (RGPD)

8 Cookies et traceurs

Nous utilisons des cookies et technologies similaires pour améliorer votre expérience :

8.1. Cookies essentiels (pas de consentement requis)

  • Session : maintien de la connexion utilisateur
  • Authentification : token OAuth GitHub
  • Sécurité : protection CSRF

8.2. Cookies de préférences (consentement requis)

  • Langue : mémorisation de la langue choisie
  • Thème : mode clair/sombre

8.3. Gestion des cookies

Vous pouvez configurer vos préférences cookies via les paramètres de votre navigateur. Attention : la désactivation de certains cookies peut limiter certaines fonctionnalités.

9 Vos droits RGPD

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès

Obtenir une copie de toutes vos données personnelles que nous détenons

Droit de rectification

Corriger les données inexactes ou incomplètes directement depuis votre compte

Droit à l'effacement ("droit à l'oubli")

Demander la suppression de vos données (sauf obligation légale de conservation)

Droit à la limitation du traitement

Geler temporairement le traitement de vos données en cas de contestation

Droit à la portabilité

Récupérer vos données dans un format structuré (JSON) pour les transférer ailleurs

Droit d'opposition

Vous opposer aux traitements basés sur l'intérêt légitime ou à des fins marketing

Droit de ne pas faire l'objet de décisions automatisées

Demander une intervention humaine si une décision automatisée vous concerne

9.1. Comment exercer vos droits

Pour exercer vos droits, contactez-nous à privacy@rgaaudit.fr avec :

  • Votre nom et adresse email de compte
  • Le droit que vous souhaitez exercer
  • Une copie de pièce d'identité (sécurité)

Délai de réponse : 1 mois maximum (extensible à 3 mois si demande complexe, avec notification)

9.2. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes

10 Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. Les modifications seront notifiées par email et/ou via une notification sur la Plateforme 30 jours avant leur entrée en vigueur.

La version en vigueur est toujours disponible à l'adresse rgaaudit.fr/privacy avec date de dernière mise à jour.

11 Contact

Pour toute question concernant cette politique de confidentialité ou l'exercice de vos droits :

Délégué à la Protection des Données (DPO)

dpo@rgaaudit.fr

Données personnelles

privacy@rgaaudit.fr

Support général

support@rgaaudit.fr

Besoin de plus d'informations ?

Notre équipe est à votre disposition pour répondre à toutes vos questions concernant la protection de vos données.