Politique de confidentialité — Sentinel NIS2

Article 1

Identité du responsable de traitement

Le responsable de traitement des données personnelles collectées dans le cadre de l'utilisation du Service Sentinel NIS2 est :

Nom : Kevin DESSEAUX
Forme juridique : Entrepreneur individuel
SIREN : 884 370 040
Siège social : 47 rue Vivienne, 75002 Paris, France
Email de contact : contact@sentinel-nis2.fr

Délégué à la Protection des Données (DPO) : Aucun DPO n'est désigné à ce jour. Pour toute question relative à la protection de vos données personnelles, le point de contact est Kevin DESSEAUX, joignable à l'adresse email ci-dessus.

Article 2

Objet

La présente politique de confidentialité décrit les conditions dans lesquelles Kevin DESSEAUX, éditeur de la plateforme Sentinel NIS2 (ci-après « l'Éditeur »), collecte, traite et protège les données personnelles des Clients et Utilisateurs du Service.

Elle est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données personnelles (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (loi Informatique et Libertés).

Cette politique s'applique à l'ensemble des traitements de données personnelles réalisés par l'Éditeur dans le cadre de la fourniture du Service accessible sur sentinel-nis2.fr.

Article 3

Données collectées

L'Éditeur collecte trois catégories de données personnelles dans le cadre de l'exploitation du Service.

3.1

Données de compte

Collectées lors de l'inscription et de la configuration du profil utilisateur :

Nom et prénom
Adresse email professionnelle
Fonction / poste dans l'organisation
Numéro de téléphone (optionnel)
Nom de l'organisation
Numéro SIREN

3.2

Données d'utilisation du Service

Données saisies par le Client dans le cadre de son utilisation du Service : documents de conformité, évaluations fournisseurs, résultats de scans de durcissement, données d'incidents, données de formation, données d'équipe.

Rôle de sous-traitant : Pour ces données, l'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le Client demeure responsable de traitement pour ses propres données métier saisies dans le Service. Voir Article 11 pour le détail des engagements.

3.3

Données techniques

Collectées automatiquement lors de l'utilisation du Service :

Logs d'accès : adresse IP, navigateur, horodatage des requêtes
Données de session : tokens d'authentification, identifiant de session
Données de diagnostic : traces d'erreurs techniques via Sentry (anonymisées — aucune donnée personnelle Client)

Article 4

Finalités et bases légales

Les traitements de données personnelles réalisés par l'Éditeur sont fondés sur les bases légales suivantes, conformément à l'article 6 du RGPD :

Finalité	Données concernées	Base légale (Art. 6 RGPD)	Conservation
Fourniture du Service Création de compte, accès, fonctionnalités	Données de compte, données d'utilisation	Art. 6.1.b — Contrat	Durée de l'abonnement + 30 jours
Facturation et comptabilité	Nom, email, données de facturation	Art. 6.1.c — Obligation légale	10 ans (obligation comptable)
Support technique	Nom, email, échanges de support	Art. 6.1.b — Contrat	Durée de l'abonnement + 12 mois
Sécurité du Service Détection d'anomalies, prévention de la fraude	Logs d'accès, adresse IP	Art. 6.1.f — Intérêt légitime	12 mois
Diagnostic et correction d'erreurs	Traces techniques (Sentry)	Art. 6.1.f — Intérêt légitime	90 jours
Prospection / newsletter	Email	Art. 6.1.a — Consentement	Jusqu'au retrait du consentement

Article 5

Cookies et traceurs

Le Service utilise exclusivement des cookies strictement nécessaires au fonctionnement de la plateforme. Aucun cookie publicitaire, aucun cookie de mesure d'audience tiers n'est déposé. Ces cookies bénéficient de l'exemption de consentement prévue par les recommandations de la CNIL.

Cookie	Fournisseur	Finalité	Durée
`sb-access-token` `sb-refresh-token`	Supabase	Authentification et maintien de la session utilisateur	Durée de la session
`__stripe_mid` `__stripe_sid`	Stripe	Sécurisation du paiement et prévention de la fraude	1 an / 30 min
`sentry-sc`	Sentry	Corrélation des rapports d'erreurs techniques	Durée de la session

Si des cookies non essentiels étaient ajoutés à l'avenir (analytics, newsletter), un bandeau de consentement conforme aux recommandations de la CNIL serait mis en place préalablement à leur dépôt.

Article 6

Sous-traitants et destinataires

Les données personnelles sont susceptibles d'être transmises aux sous-traitants suivants, sélectionnés pour leurs garanties en matière de protection des données et de conformité RGPD :

Sous-traitant	Rôle	Localisation	Données concernées	Garanties
Supabase Inc.	Hébergement base de données	Francfort, Allemagne UE	Toutes les données Client	DPA signé, données en UE
Vercel Inc.	Hébergement applicatif / CDN	États-Unis	Données techniques transitoires (pas de stockage persistant)	DPA, SCC
Fly.io Inc.	Hébergement backend	États-Unis	Données techniques transitoires (pas de stockage persistant)	DPA, SCC
Stripe Inc.	Paiement en ligne	États-Unis	Données de facturation (nom, email, carte bancaire via Stripe)	Certifié PCI-DSS, DPA, SCC
Scaleway SAS	Emails transactionnels	France (UE)	Nom, adresse email	DPA, hébergé UE
Functional Software (Sentry)	Monitoring d'erreurs	États-Unis	Traces techniques (aucune donnée personnelle Client)	DPA, SCC
Hostinger	Nom de domaine	Lituanie UE	Données WHOIS	Soumis au RGPD

Aucune vente de données. Aucune donnée personnelle n'est vendue à des tiers. Aucune donnée n'est utilisée à des fins publicitaires par l'Éditeur ou ses sous-traitants.

Article 7

Transferts hors Union européenne

Certains sous-traitants mentionnés à l'article 6 sont établis aux États-Unis (Vercel, Fly.io, Stripe, Sentry). Ces transferts de données vers des pays tiers sont encadrés par des Clauses Contractuelles Types (SCC) adoptées par la Commission européenne, conformément à l'article 46.2.c du RGPD.

Les garanties suivantes sont appliquées :

Données persistantes (base de données) : hébergées exclusivement dans l'Union européenne via Supabase (région Francfort, Allemagne). Aucun transfert hors UE pour les données de compte et données d'utilisation du Service.
Données techniques transitoires : les requêtes HTTP transitent par les CDN de Vercel et les serveurs Fly.io. Ces données ne sont pas stockées de manière persistante.
Données de facturation : traitées par Stripe Inc. (États-Unis), certifié PCI-DSS et encadré par des SCC.
Emails transactionnels : acheminés via Scaleway SAS (France, Union européenne), aucun transfert hors UE.

L'Éditeur veille à ce que l'ensemble des sous-traitants non-européens présentent des garanties appropriées au sens du Chapitre V du RGPD.

Article 8

Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité et la confidentialité des données personnelles :

Chiffrement en transit : toutes les communications sont chiffrées via TLS 1.2 minimum
Chiffrement au repos : les données stockées sont chiffrées (AES-256 via Supabase)
Authentification multifacteur (MFA) : disponible et recommandée pour tous les comptes
Contrôle d'accès basé sur les rôles (RBAC) : chaque utilisateur n'accède qu'aux données nécessaires à sa fonction
Sauvegardes chiffrées régulières : réalisées automatiquement, stockées exclusivement dans l'Union européenne
Journalisation des accès : surveillance continue des accès et détection des anomalies
Gestion des mots de passe : politique conforme aux recommandations de l'ANSSI

En cas de violation de données personnelles, l'Éditeur s'engage à :

Notifier la CNIL dans les 72 heures suivant la découverte de la violation, conformément à l'article 33 du RGPD ;
Informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD.

Article 9

Durée de conservation

Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées :

Catégorie de données	Durée de conservation
Données de compte et données d'utilisation	Durée de l'abonnement actif + 30 jours après résiliation
Données de facturation	10 ans (obligation légale de conservation comptable)
Logs d'accès	12 mois
Données de diagnostic (Sentry)	90 jours
Données de prospection commerciale / newsletter	Jusqu'au retrait du consentement ou 3 ans à compter du dernier contact
Échanges de support	Durée de l'abonnement + 12 mois

À l'expiration de ces durées, les données sont supprimées définitivement ou anonymisées de manière à ne plus permettre l'identification des personnes concernées.

Article 10

Droits des personnes concernées

Conformément au RGPD et à la loi Informatique et Libertés, toute personne dont les données sont traitées par l'Éditeur dispose des droits suivants :

Droit	Fondement	Description
Droit d'accès	Art. 15	Obtenir une copie de vos données personnelles et des informations sur leur traitement
Droit de rectification	Art. 16	Corriger des données inexactes ou incomplètes
Droit à l'effacement	Art. 17	Demander la suppression de vos données dans les cas prévus par le RGPD
Droit à la limitation	Art. 18	Geler temporairement le traitement de vos données
Droit à la portabilité	Art. 20	Recevoir vos données dans un format structuré et lisible par machine
Droit d'opposition	Art. 21	S'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection
Retrait du consentement	Art. 7.3	Retirer à tout moment un consentement précédemment donné, sans préjudice des traitements passés
Directives post-mortem	Loi I&L	Définir des directives relatives au traitement de vos données après votre décès

Comment exercer vos droits : adressez votre demande par email à contact@sentinel-nis2.fr en précisant votre identité et la nature du droit que vous souhaitez exercer. L'Éditeur répond dans un délai maximum de 30 jours à compter de la réception de la demande.

Droit de réclamation : Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 · www.cnil.fr

Article 11

Sous-traitance au sens de l'article 28 RGPD

Lorsque le Client saisit dans le Service des données personnelles concernant des tiers (membres de l'équipe, collaborateurs, contacts fournisseurs, etc.), l'Éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le Client est responsable de traitement pour ces données.

Dans ce cadre, l'Éditeur s'engage à :

Ne traiter ces données que sur instruction documentée du Client (matérialisée par l'utilisation du Service) ;
Garantir la confidentialité des données traitées et s'assurer que les personnes autorisées à les traiter sont soumises à une obligation de confidentialité ;
Mettre en œuvre les mesures de sécurité décrites à l'article 8 de la présente politique ;
Notifier le Client dans les meilleurs délais après avoir pris connaissance d'une violation de données personnelles le concernant ;
Supprimer les données du Client à l'issue du contrat dans le délai de 30 jours prévu aux Conditions Générales de Vente.

Accord de sous-traitance (DPA) : Un accord de sous-traitance détaillé, conforme aux exigences de l'article 28 du RGPD, est disponible sur simple demande adressée à contact@sentinel-nis2.fr.

Article 12

Modification de la politique de confidentialité

L'Éditeur se réserve le droit de modifier la présente politique de confidentialité afin de la tenir à jour au regard des évolutions légales, réglementaires ou techniques.

En cas de modification substantielle affectant les droits des personnes concernées, les Clients seront informés :

Par email à l'adresse associée à leur compte ;
Et/ou par notification dans le Service ;
Au minimum 15 jours avant l'entrée en vigueur des modifications.

La date de dernière mise à jour est indiquée en en-tête et en pied de la présente politique. La poursuite de l'utilisation du Service après l'entrée en vigueur des modifications vaut acceptation de la nouvelle version.

Solutions

Ressources