Politique de Confidentialité

1. Introduction et Responsable du Traitement

La presente Politique de Confidentialite decrit comment CryptoGuard SRL (ci-apres « la Societe », « nous », « notre ») collecte, utilise, stocke et protege vos donnees personnelles dans le cadre de l'utilisation de la plateforme ResiPlan (ci-apres « le Service »).

Conformement au Reglement General sur la Protection des Donnees (RGPD - Reglement UE 2016/679) et aux lois nationales applicables, nous nous engageons a proteger votre vie privee et vos donnees personnelles.

Responsable du traitement :

• Societe : CryptoGuard SRL
• Email : privacy@continuity-resilience.com
• Site web : https://continuity-resilience.com

2. Donnees que Nous Collectons

Nous collectons differentes categories de donnees dans le cadre de la fourniture du Service :

2.1 Donnees de compte

• Nom, prenom, adresse email professionnelle.
• Nom de l'organisation et role au sein de celle-ci.
• Identifiants de connexion (mot de passe chiffre).
• Preferences linguistiques et de notification.

2.2 Donnees d'utilisation

• Adresse IP, type de navigateur, systeme d'exploitation.
• Pages visitees, fonctionnalites utilisees, horaires de connexion.
• Metriques de performance et journaux d'erreurs (via Sentry).
• Indicateurs Web Vitals (performance du navigateur).

2.3 Donnees metier (continuite d'activite)

• Analyses d'impact sur l'activite (BIA), plans de continuite (BCP, DRP, IRP, ERP), evaluations de risques.
• Informations sur les actifs informatiques (CMDB) : applications, serveurs, contrats.
• Organigrammes, processus metier, dependances critiques.
• Donnees d'incidents et de gestion de crise.
• Conversations avec l'assistant IA et recommandations generees.

3. Comment Nous Utilisons Vos Donnees

Nous utilisons vos donnees aux fins suivantes :

3.1 Fourniture du Service

• Creation et gestion de votre compte utilisateur.
• Hebergement et traitement de vos donnees de continuite d'activite.
• Synchronisation en temps reel des donnees entre les utilisateurs de votre organisation.
• Generation de rapports et tableaux de bord.

3.2 Fonctionnalites d'IA

• Transmission de donnees contextuelles a l'API Anthropic Claude pour generer des plans de continuite, des analyses de risques et des recommandations.
• Les donnees transmises a l'IA ne sont pas conservees par Anthropic pour l'entrainement de modeles (conformement a la politique d'Anthropic pour les API commerciales).
• Les conversations avec l'assistant IA sont stockees dans votre espace de donnees pour reference ulterieure.

3.3 Amelioration et analyse

• Analyse des metriques d'utilisation agregees pour ameliorer le Service.
• Surveillance des erreurs et de la performance technique (Sentry, Web Vitals).
• Les donnees analytiques sont anonymisees et agregees ; elles ne permettent pas d'identifier individuellement un utilisateur.

3.4 Communications

• Envoi d'emails transactionnels (confirmation d'inscription, reinitialisation de mot de passe, invitations).
• Notifications relatives a la securite du compte et aux mises a jour du Service.
• Alertes et rapports configures par l'utilisateur.

4. Base Legale du Traitement (Article 6 du RGPD)

Nous traitons vos donnees personnelles sur les bases legales suivantes :

• Execution du contrat (Art. 6.1.b) : le traitement est necessaire a l'execution du contrat d'abonnement auquel vous etes partie (creation de compte, fourniture du Service, gestion de la facturation).
• Interet legitime (Art. 6.1.f) : amelioration du Service, prevention de la fraude, securite des systemes, analyse agregee de l'utilisation.
• Consentement (Art. 6.1.a) : pour les communications marketing (si applicables) et l'utilisation de cookies non essentiels.
• Obligation legale (Art. 6.1.c) : conservation des donnees de facturation conformement aux obligations comptables et fiscales.

5. Partage des Donnees et Sous-Traitants

Nous ne vendons jamais vos donnees personnelles. Nous partageons vos donnees uniquement avec les sous-traitants suivants, necessaires a la fourniture du Service :

Tous nos sous-traitants sont lies par des accords de traitement des donnees (DPA) conformes au RGPD. Nous pouvons egalement divulguer des donnees en reponse a une demande legale valide d'une autorite competente.

6. Transferts Internationaux de Donnees

Certains de nos sous-traitants sont situes en dehors de l'Espace Economique Europeen (EEE), notamment aux Etats-Unis. Pour ces transferts, nous mettons en place les garanties suivantes :

• Clauses Contractuelles Types (CCT) : nous utilisons les CCT approuvees par la Commission europeenne (decision d'execution 2021/914) avec chaque sous-traitant situe hors EEE.
• Cadre de Protection des Donnees UE-USA (DPF) : lorsque applicable, nos sous-traitants americains sont certifies sous le Data Privacy Framework.
• Mesures supplementaires : chiffrement des donnees en transit (TLS 1.3) et au repos, evaluation d'impact du transfert, et mesures techniques pour empecher l'acces non autorise.

7. Conservation des Donnees

Nous conservons vos donnees selon les durees suivantes :

• Donnees de compte : pendant toute la duree de votre abonnement, puis 30 jours apres la resiliation pour permettre l'export des donnees.
• Donnees metier : pendant toute la duree de votre abonnement, puis supprimees 30 jours apres la resiliation.
• Donnees de facturation : 10 ans conformement aux obligations comptables et fiscales francaises.
• Journaux d'acces et de securite : 12 mois conformement aux obligations legales.
• Sauvegardes : les sauvegardes quotidiennes sont conservees pendant 30 jours, puis supprimees automatiquement.
• Donnees d'essai gratuit : 30 jours apres l'expiration de la periode d'essai, sauf souscription d'un abonnement.

A l'issue des periodes de conservation, les donnees sont supprimees de maniere securisee de nos systemes et sauvegardes.

8. Vos Droits (RGPD)

Conformement au RGPD, vous disposez des droits suivants :

• Droit d'acces (Art. 15) : obtenir la confirmation que vos donnees sont traitees et en recevoir une copie.
• Droit de rectification (Art. 16) : corriger les donnees inexactes ou incompletes vous concernant.
• Droit a l'effacement (Art. 17) : demander la suppression de vos donnees dans les conditions prevues par la loi.
• Droit a la portabilite (Art. 20) : recevoir vos donnees dans un format structure, couramment utilise et lisible par machine (JSON). Le Service propose des outils d'export integres.
• Droit d'opposition (Art. 21) : vous opposer au traitement de vos donnees fonde sur l'interet legitime.
• Droit a la limitation du traitement (Art. 18) : demander la limitation du traitement dans certains cas.
• Droit de retirer votre consentement : lorsque le traitement est fonde sur le consentement, vous pouvez le retirer a tout moment.
• Droit de deposer une plainte : aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) ou de toute autre autorite de controle competente.

Pour exercer vos droits, contactez-nous a privacy@continuity-resilience.com. Nous repondrons a votre demande dans un delai de 30 jours.

9. Cookies et Technologies de Suivi

Le Service utilise les cookies et technologies suivants :

Cookies strictement necessaires

• Session d'authentification : gestion de votre session de connexion (cookie securise, HttpOnly).
• Preferences linguistiques : memorisation de votre choix de langue (fr/en).
• Preferences de theme : memorisation du mode clair/sombre.

Ces cookies sont necessaires au fonctionnement du Service et ne necessitent pas de consentement.

Cookies de performance

• Sentry : collecte d'erreurs et metriques de performance pour ameliorer la qualite du Service.
• Web Vitals : mesure des indicateurs de performance du navigateur.

Le Service n'utilise pas de cookies publicitaires ou de suivi marketing tiers. Nous n'utilisons pas Google Analytics ni aucun autre outil de tracking publicitaire.

10. Mesures de Securite

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees :

• Chiffrement : toutes les donnees sont chiffrees en transit (TLS 1.3) et au repos (AES-256).
• Authentification : mots de passe hashes avec des algorithmes securises ; possibilite d'authentification a deux facteurs (2FA).
• Isolation des donnees : architecture multi-tenant avec isolation stricte des donnees entre organisations.
• Controle d'acces : systeme de roles a deux niveaux (plateforme et organisation) avec principe du moindre privilege.
• Headers de securite : HSTS, X-Frame-Options, X-Content-Type-Options, Content-Security-Policy.
• Protection API : limitation de debit (rate limiting), validation des entrees (Zod), verification des signatures webhook (HMAC SHA-256).
• Sauvegardes : sauvegardes quotidiennes automatiques avec retention de 30 jours.
• Surveillance : monitoring continu des erreurs et des anomalies via Sentry.

11. Protection des Mineurs

Le Service est destine a un usage professionnel et n'est pas concu pour les personnes de moins de 16 ans. Nous ne collectons pas sciemment de donnees personnelles de mineurs. Si nous decouvrons que des donnees d'un mineur ont ete collectees, nous les supprimerons dans les meilleurs delais.

12. Modifications de Cette Politique

Nous pouvons mettre a jour cette Politique de Confidentialite pour refleter les changements dans nos pratiques ou les evolutions legales. En cas de modification substantielle :

• Nous vous informerons par email et par notification dans l'application au moins 30 jours avant l'entree en vigueur.
• La date de « derniere mise a jour » en haut de cette page sera modifiee en consequence.
• Votre poursuite de l'utilisation du Service apres la date d'effet constitue une acceptation de la politique modifiee.

13. Contact et Delegue a la Protection des Donnees

Pour toute question concernant cette Politique de Confidentialite ou pour exercer vos droits, contactez-nous :

• Responsable de la protection des donnees : CryptoGuard SRL - Service DPO
• Email : privacy@continuity-resilience.com
• Email general : contact@continuity-resilience.com
• Site web : https://continuity-resilience.com

Vous pouvez egalement deposer une plainte aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr