Politique de Confidentialite
Derniere mise a jour : avril 2026 — Conforme au Reglement General sur la Protection des Donnees (RGPD)
1. Responsable du traitement
Sedona AI, dont le siege social est situe en France. Contact : vincent.coderch@sedona-ai.com. Le delegue a la protection des donnees (DPO) est joignable a la meme adresse : vincent.coderch@sedona-ai.com.
2. Donnees collectees
Nous collectons les categories de donnees suivantes :
- Donnees de compte : adresse email, mot de passe (hashe), date d'inscription
- Donnees de scan : domaines scannes, resultats de scan, vulnerabilites detectees, rapports generes
- Donnees de consentement : horodatage du consentement, adresse IP de l'utilisateur lors du lancement du scan
- Donnees techniques : logs de connexion, navigateur, adresse IP
3. Finalites du traitement
- Fourniture du service d'audit de cybersecurite
- Authentification et gestion du compte utilisateur
- Generation et stockage des rapports d'audit
- Preuve du consentement (obligation legale, Article 323-1 du Code penal)
- Amelioration du service et correction des anomalies
- Communication relative au compte (notifications de scan, rapports)
4. Base legale du traitement
- Execution du contrat (Article 6.1.b RGPD) : fourniture du service de scan
- Obligation legale (Article 6.1.c RGPD) : tracabilite du consentement au scan
- Interet legitime (Article 6.1.f RGPD) : amelioration du service, securite
5. Sous-traitants
Nous faisons appel aux sous-traitants suivants, tous lies par un accord de traitement des donnees (DPA) ou des clauses contractuelles types (CCT) :
- Supabase Inc. (Etats-Unis) : hebergement de la base de donnees, authentification, stockage. Donnees hebergees sur des serveurs AWS en region EU (Francfort). Clauses contractuelles types signees, DPA disponible sur demande.
- Anthropic PBC (Etats-Unis) : generation des rapports IA via l'API Claude. Les donnees de scan (vulnerabilites, contexte technique) sont transmises pour la redaction du rapport. Aucune donnee n'est conservee par Anthropic au-dela du traitement (zero retention API). Clauses contractuelles types signees, DPA Anthropic Enterprise applicable.
- OVH SAS (France) : hebergement des serveurs de scan et d'orchestration. Siege social 2 rue Kellermann, 59100 Roubaix. Donnees hebergees au datacenter Gravelines (France). Conforme RGPD, ISO 27001 et HDS.
- Vercel Inc. (Etats-Unis) : hebergement du frontend Next.js. Donnees servies via le reseau Edge en region EU. Clauses contractuelles types signees.
- Stripe Payments Europe Ltd. (Irlande) : traitement des paiements et abonnements. Aucune donnee de carte bancaire ne transite par nos serveurs. Conforme PCI-DSS niveau 1 et RGPD.
- Resend (Etats-Unis) : envoi des emails transactionnels (confirmation, rapport pret). Conforme RGPD.
6. Duree de conservation
- Donnees de compte : conservees tant que le compte est actif + 3 ans apres suppression
- Resultats de scan : conserves 24 mois, puis archives ou supprimes
- Rapports PDF : conserves 24 mois
- Logs de consentement : conserves 5 ans (obligation legale)
- Logs techniques (Sentry, Vercel) : conserves 12 mois
- Logs d'audit (audit_logs) : conserves 36 mois pour preuves probatoires (article 17.3.e RGPD + prescription penale article 323-1 du Code penal), purge automatique hebdomadaire au-dela
7. Vos droits (RGPD)
Conformement au RGPD, vous disposez des droits suivants :
- Droit d'acces : obtenir une copie de vos donnees personnelles
- Droit de rectification : corriger vos donnees inexactes
- Droit a l'effacement : demander la suppression de vos donnees
- Droit a la portabilite : recevoir vos donnees dans un format structure (JSON/CSV)
- Droit d'opposition : vous opposer au traitement de vos donnees
- Droit a la limitation : demander la limitation du traitement
Pour exercer vos droits : vincent.coderch@sedona-ai.com. Nous repondons sous 30 jours.
8. Securite des donnees
Nous mettons en oeuvre les mesures techniques suivantes : chiffrement TLS en transit, chiffrement AES-256 au repos, authentification forte (Supabase Auth), Row Level Security (isolation des donnees entre utilisateurs), sauvegardes quotidiennes, logs d'audit.
9. Cookies
Sedona Radar utilise les categories de cookies suivantes :
- Cookies strictement necessaires (sans consentement, Article 82 LIL) : session d'authentification Supabase Auth (sb-access-token, sb-refresh-token), preferences UI (mode dirigeant/technique, theme clair/sombre).
- Cookies tiers Stripe Checkout : lors d'une souscription, l'utilisateur est redirige vers checkout.stripe.com qui depose ses propres cookies (anti-fraude, 3DS, session paiement). Ces cookies sont sous la responsabilite de Stripe Payments Europe Ltd. et regis par la Privacy Policy Stripe. Strictement necessaires au paiement, ils ne requierent pas de consentement separe.
- Cookies analytiques (Google Tag Manager / GA4) — soumis a consentement : utilises pour mesurer l'audience et ameliorer le service (evenements scan_created, sign_up). Anonymises (IP truncation activee). Conserves 14 mois maximum. Configuration GTM commune avec sedona-ai.com. Conformement a la deliberation CNIL n°2020-091, ces cookies ne sont deposes qu'apres recueil explicite du consentement de l'utilisateur via le bandeau cookies (case decochee par defaut, refus aussi simple que l'acceptation).
Aucun cookie publicitaire ni de tracking croise n'est utilise. L'utilisateur peut retirer son consentement a tout moment en effacant le cookie de consentement (localStorage `sedona-cookie-consent`) depuis les parametres de son navigateur.
10. Transferts internationaux
Certains sous-traitants sont situes aux Etats-Unis (Supabase, Anthropic). Ces transferts sont encadres par des clauses contractuelles types approuvees par la Commission europeenne (Article 46.2.c RGPD). Les donnees de scan sont hebergees en region EU.
11. Reclamation
Si vous estimez que le traitement de vos donnees constitue une violation du RGPD, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr.
- · Société française, équipe basée en France
- · Serveurs de scan : OVH Gravelines (France)
- · Base de données : Supabase (Allemagne, EU)
- · Conforme RGPD & chiffrement bout en bout