Politique de confidentialité
Dernière mise à jour : 2026-04-23
1. Responsable du traitement
L'NKBOOT SAS (marque commerciale Secushot) SIREN 832 734 065 · 60 rue François Ier, 75008 Paris, France Contact données personnelles : [email protected]
2. Données collectées et finalités
2.1 Exécution du contrat de mission
| Données | Finalité | Base légale |
|---|---|---|
| Adresse email | Création du compte, magic link, suivi de mission, livraison du rapport | Exécution du contrat (art. 6.1.b RGPD) |
| URL du site cible | Réalisation de l'intervention commandée | Exécution du contrat |
| Description de l'incident | Cadrage et réalisation de la mission | Exécution du contrat |
| Accès système (CMS, SSH, hébergeur) | Réalisation des missions P.02, P.03, P.04, P.05 et packs associés | Exécution du contrat |
| Adresse IP de connexion | Sécurité, lutte contre la fraude, traçabilité des magic links | Intérêt légitime (art. 6.1.f RGPD) |
2.2 Facturation et obligations comptables
| Données | Finalité | Base légale |
|---|---|---|
| Email, nom/raison sociale, adresse de facturation | Émission de la facture fiscale française | Obligation légale (art. 6.1.c RGPD) |
| Données de transaction Stripe | Traçabilité paiement | Obligation légale |
2.3 Communications transactionnelles
| Données | Finalité | Base légale |
|---|---|---|
| Adresse email | Envoi du magic link, confirmation de commande, livraison du rapport, facture | Exécution du contrat |
2.4 Analyse et diagnostic IA
Les données techniques collectées sur le site cible (scan de headers, TLS, DNS, fingerprint CMS, CVE publiques) sont traitées par l'API Anthropic pour générer une analyse préliminaire.
Par défaut, aucune donnée d'identification personnelle du Client (email, nom, accès systèmes) n'est transmise à l'API Anthropic. Seules les données techniques non personnelles du site audité sont soumises à l'IA.
Si le Client autorise explicitement la transmission d'éléments contextuels supplémentaires lors du briefing, cette transmission est effectuée sur la base de son consentement (art. 6.1.a RGPD).
3. Durées de conservation
| Catégorie | Durée | Action à l'échéance |
|---|---|---|
| Compte utilisateur (email) | 3 ans après la dernière mission | Suppression |
| Accès systèmes (CMS, SSH) | Durée de la mission + clôture | Purge automatique à la clôture |
| Rapports PDF | 24 mois après livraison | Anonymisation ou purge |
| Factures | 10 ans (obligation fiscale, art. L.123-22 C.com.) | Archivage sécurisé |
| Logs de connexion | 12 mois | Suppression |
| Formulaires de contact sans suite | 90 jours | Suppression |
| Magic links | 30 minutes | Expiration automatique |
4. Destinataires des données
4.1 Sous-traitants et partenaires
| Destinataire | Rôle | Localisation |
|---|---|---|
| Stripe Inc. | Traitement du paiement | États-Unis (voir section 5) |
| Resend Inc. | Envoi des emails transactionnels | États-Unis (voir section 5) |
| OVH SAS | Hébergement du site et des données | France · datacenter Gravelines |
| Anthropic PBC | Analyse IA des données techniques de mission | États-Unis (voir section 5) |
4.2 Autres destinataires
Les données ne sont transmises à aucun tiers à des fins commerciales, publicitaires ou de prospection. Elles peuvent être communiquées aux autorités compétentes sur réquisition judiciaire.
5. Transferts hors Union européenne
Trois sous-traitants sont établis aux États-Unis :
Stripe Inc.
Stripe adhère au Data Privacy Framework EU-US. Un accord de traitement des données (Data Processing Agreement) est en place. Données transmises : informations de transaction (montant, email, pays).
Resend Inc.
Accord de traitement des données avec clauses contractuelles types (SCC) approuvées par la Commission européenne. Données transmises : adresse email du destinataire, contenu de l'email transactionnel.
Anthropic PBC
Accord de traitement des données avec clauses contractuelles types (SCC). Données transmises : données techniques du site audité (non personnelles par défaut). Anthropic s'engage contractuellement à ne pas utiliser les données soumises via l'API pour entraîner ses modèles, sauf opt-in explicite.
6. Droits des personnes concernées
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Droit d'accès : obtenir confirmation du traitement de vos données et en recevoir une copie.
- Droit de rectification : corriger des données inexactes ou incomplètes.
- Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales de conservation).
- Droit à la limitation : suspendre un traitement pendant la durée d'un litige ou d'une vérification.
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine.
Pour exercer vos droits : [email protected]
Nous répondons sous 30 jours calendaires. Une pièce d'identité peut être demandée pour les demandes d'accès ou d'effacement.
7. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation, vous pouvez déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
https://www.cnil.fr/fr/plaintes 3 Place de Fontenoy, TSA 80715 · 75334 Paris Cedex 07
8. Cookies
L'utilisation des cookies est décrite dans la Politique cookies.
9. Sécurité des données
Les mesures techniques en place incluent :
- Chiffrement des données en transit (TLS 1.3).
- Chiffrement des accès systèmes stockés en base de données.
- Liens de téléchargement signés à durée limitée pour les rapports PDF.
- Magic links à usage unique avec expiration de 30 minutes.
- Purge automatique des accès à la clôture de chaque mission.
10. Modifications
En cas de modification substantielle de cette politique, les Clients disposant d'un compte actif en sont informés par email au moins 15 jours avant l'entrée en vigueur. La version applicable est celle publiée sur cette page.