Politique de confidentialité

Le responsable du traitement des données personnelles est [À COMPLÉTER — Éditeur, raison sociale + SIREN], dont le siège social est situé à [À COMPLÉTER — adresse].

Contact : dpo@deploysovereign.fr (ou contact@deploysovereign.fr à défaut)

Nous collectons les catégories de données suivantes :

• Identité : nom de l'entreprise, email du contact principal.
• Données de facturation : adresse de facturation, numéro de TVA si applicable (traitées par Stripe, non stockées chez nous).
• Données techniques : adresse IP, navigateur, date/heure des requêtes, identifiant de session — collectées dans les logs serveur pour des raisons de sécurité.
• Données d'usage : identifiant de tenant, type d'offre souscrite, dates de souscription et de provisioning.
• Configuration d'infrastructure : choix de cloud provider, région, sous-domaine attribué.

Nous ne collectons pas de données sensibles au sens du RGPD (origine, opinions, santé, biométrie, etc.). Les applications déployées via notre Service peuvent collecter des données personnelles, mais leur traitement relève de la responsabilité du Client, qui agit alors en qualité de responsable du traitement.

• Fourniture du Service (exécution du contrat) : créer et gérer votre compte, provisionner votre infrastructure, vous délivrer votre clé de licence.
• Facturation et comptabilité (obligation légale) : émission de factures, conservation des pièces comptables.
• Sécurité (intérêt légitime) : journalisation des accès, détection d'abus, audit trail.
• Communication transactionnelle (exécution du contrat) : envoi de magic links, notifications de provisioning, alertes incident.
• Amélioration du Service (intérêt légitime, anonymisé) : statistiques d'usage agrégées et anonymisées.

Aucun traitement à des fins de marketing direct n'est effectué sans votre consentement préalable explicite.

Nous faisons appel aux sous-traitants suivants, dans le cadre d'accords conformes à l'article 28 du RGPD :

La liste des sous-traitants peut évoluer. Toute modification substantielle est notifiée par email.

Les transferts de données hors Union Européenne (vers Vercel, Resend, Anthropic aux États-Unis) sont encadrés par le Data Privacy Framework (DPF) UE-US, jugé adéquat par la Commission Européenne par décision du 10 juillet 2023.

• Compte actif : pendant toute la durée de la relation contractuelle.
• Compte résilié : 30 jours après résiliation, puis suppression des données techniques.
• Données de facturation : 10 ans (obligation comptable).
• Logs serveur : 1 an glissant.
• Audit trail (sécurité) : 3 ans glissants.
• Magic links (login + licence) : 1 heure (TTL technique), purge à 7 jours.

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès — obtenir une copie de vos données.
• Rectification — corriger une donnée inexacte.
• Effacement — demander la suppression, sous réserve des obligations légales (facturation notamment).
• Limitation — restreindre l'usage de vos données dans certains cas.
• Opposition — vous opposer à un traitement basé sur l'intérêt légitime.
• Portabilité — recevoir vos données dans un format structuré.
• Définir des directives post-mortem — conformément à la loi Informatique et Libertés.

Pour exercer vos droits, écrivez à dpo@deploysovereign.fr. Nous répondons sous 30 jours.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr.

Le site utilise uniquement des cookies strictement nécessaires au fonctionnement :

• NEXT_LOCALE — préférence de langue (durée : 1 an).
• ds_session — session d'authentification au dashboard (durée : 7 jours, HttpOnly, Secure, SameSite=Lax).

Aucun cookie de mesure d'audience, de tracking ou de publicité n'est utilisé. Aucun consentement n'est requis pour les cookies strictement nécessaires (article 82 de la loi Informatique et Libertés).

Les mesures de sécurité techniques et organisationnelles mises en œuvre incluent :

• Chiffrement TLS 1.2 minimum (TLS 1.3 recommandé) pour toutes les transmissions.
• Stockage des clés de licence sous forme hashée (SHA-256), jamais en clair.
• Magic links à usage unique avec expiration à 1 heure.
• Cloisonnement des environnements (dev, staging, production).
• Audit trail horodaté pour les accès sensibles.
• Sauvegardes quotidiennes chiffrées de la base de données.
• Sessions JWT signées HMAC-SHA256 avec secret rotatif.

En cas de violation de données personnelles présentant un risque pour vos droits et libertés, vous serez notifié(e) par email dans un délai de 72 heures à compter de la prise de connaissance, conformément à l'article 33 du RGPD.

La présente politique peut évoluer. Toute modification substantielle vous sera notifiée par email avec un préavis de 30 jours avant son entrée en vigueur. La date de version est indiquée en haut de cette page.

Pour toute question relative au traitement de vos données : dpo@deploysovereign.fr