Politique de Confidentialite

1. Responsable du traitement

Sedona AI, dont le siege social est situe en France. Contact : contact@sedona.ai. Le delegue a la protection des donnees (DPO) est joignable a : dpo@sedona.ai.

2. Donnees collectees

Nous collectons les categories de donnees suivantes :

• Donnees de compte : adresse email, mot de passe (hashe), date d'inscription
• Donnees de scan : domaines scannes, resultats de scan, vulnerabilites detectees, rapports generes
• Donnees de consentement : horodatage du consentement, adresse IP de l'utilisateur lors du lancement du scan
• Donnees techniques : logs de connexion, navigateur, adresse IP

3. Finalites du traitement

• Fourniture du service d'audit de cybersecurite
• Authentification et gestion du compte utilisateur
• Generation et stockage des rapports d'audit
• Preuve du consentement (obligation legale, Article 323-1 du Code penal)
• Amelioration du service et correction des anomalies
• Communication relative au compte (notifications de scan, rapports)

4. Base legale du traitement

• Execution du contrat (Article 6.1.b RGPD) : fourniture du service de scan
• Obligation legale (Article 6.1.c RGPD) : tracabilite du consentement au scan
• Interet legitime (Article 6.1.f RGPD) : amelioration du service, securite

5. Sous-traitants

Nous faisons appel aux sous-traitants suivants, tous lies par un accord de traitement des donnees (DPA) ou des clauses contractuelles types (CCT) :

• Supabase Inc. (Etats-Unis) : hebergement de la base de donnees, authentification, stockage. Donnees hebergees sur des serveurs AWS en region EU (Francfort). Clauses contractuelles types signees, DPA disponible sur demande.
• Anthropic PBC (Etats-Unis) : generation des rapports IA via l'API Claude. Les donnees de scan (vulnerabilites, contexte technique) sont transmises pour la redaction du rapport. Aucune donnee n'est conservee par Anthropic au-dela du traitement (zero retention API). Clauses contractuelles types signees, DPA Anthropic Enterprise applicable.
• OVH SAS (France) : hebergement des serveurs de scan et d'orchestration. Siege social 2 rue Kellermann, 59100 Roubaix. Donnees hebergees au datacenter Gravelines (France). Conforme RGPD, ISO 27001 et HDS.
• Vercel Inc. (Etats-Unis) : hebergement du frontend Next.js. Donnees servies via le reseau Edge en region EU. Clauses contractuelles types signees.
• Stripe Payments Europe Ltd. (Irlande) : traitement des paiements et abonnements. Aucune donnee de carte bancaire ne transite par nos serveurs. Conforme PCI-DSS niveau 1 et RGPD.
• Resend (Etats-Unis) : envoi des emails transactionnels (confirmation, rapport pret). Conforme RGPD.

6. Duree de conservation

• Donnees de compte : conservees tant que le compte est actif + 3 ans apres suppression
• Resultats de scan : conserves 24 mois, puis archives ou supprimes
• Rapports PDF : conserves 24 mois
• Logs de consentement : conserves 5 ans (obligation legale)
• Logs techniques : conserves 12 mois

7. Vos droits (RGPD)

Conformement au RGPD, vous disposez des droits suivants :

• Droit d'acces : obtenir une copie de vos donnees personnelles
• Droit de rectification : corriger vos donnees inexactes
• Droit a l'effacement : demander la suppression de vos donnees
• Droit a la portabilite : recevoir vos donnees dans un format structure (JSON/CSV)
• Droit d'opposition : vous opposer au traitement de vos donnees
• Droit a la limitation : demander la limitation du traitement

Pour exercer vos droits : dpo@sedona.ai. Nous repondons sous 30 jours.

8. Securite des donnees

Nous mettons en oeuvre les mesures techniques suivantes : chiffrement TLS en transit, chiffrement AES-256 au repos, authentification forte (Supabase Auth), Row Level Security (isolation des donnees entre utilisateurs), sauvegardes quotidiennes, logs d'audit.

9. Cookies

Sedona Radar utilise uniquement des cookies strictement necessaires au fonctionnement du service (cookies de session d'authentification). Aucun cookie de tracking, d'analyse ou publicitaire n'est utilise. Aucun consentement supplementaire n'est requis pour ces cookies (Article 82 de la loi Informatique et Libertes).

10. Transferts internationaux

Certains sous-traitants sont situes aux Etats-Unis (Supabase, Anthropic). Ces transferts sont encadres par des clauses contractuelles types approuvees par la Commission europeenne (Article 46.2.c RGPD). Les donnees de scan sont hebergees en region EU.

11. Reclamation

Si vous estimez que le traitement de vos donnees constitue une violation du RGPD, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr.