Politique de confidentialité

CyberAudit (« nous », « notre », « la plateforme ») édite une plateforme d'audit cybersécurité défensif. Le responsable du traitement est CyberAudit. Pour toute demande relative à vos données personnelles, vous pouvez contacter le délégué à la protection des données : dpo@cyberaudit.app.

• Compte : nom, email, organisation, mot de passe haché.
• Authentification : sessions, jetons, IP de connexion, user-agent, journaux MFA.
• Audits & scans : cibles déclarées (URL, domaines, dépôts), résultats de scan, vulnérabilités, preuves techniques, fichiers SAST téléversés.
• Facturation : plan, statut d'abonnement, identifiants de paiement (traités par notre prestataire de paiement).
• Journalisation : journal d'audit immuable (audit trail) horodaté et chaîné par hachage, pour traçabilité réglementaire.
• Données techniques : cookies strictement nécessaires (session, thème, langue), pas de traceurs publicitaires.

• Exécution du contrat (fourniture du service d'audit, scans, livraison de rapports, support).
• Obligation légale (conservation des journaux d'audit, lutte contre la fraude, réquisitions judiciaires).
• Intérêt légitime (sécurité de la plateforme, détection d'abus, amélioration produit anonymisée).
• Consentement (newsletters, communications marketing — opt-in révocable à tout moment).

CyberAudit est un outil strictement défensif. Vous ne pouvez scanner que des actifs que vous possédez ou pour lesquels vous disposez d'une autorisation écrite explicite. Une preuve d'autorisation, une relation déclarée et votre adresse IP de déclaration sont enregistrées pour chaque projet, et conservées avec le journal d'audit pour finalité probatoire.

• Compte actif : pendant toute la durée de la relation contractuelle.
• Compte inactif : suppression automatique 24 mois après la dernière connexion.
• Résultats de scans : 36 mois, sauf demande de suppression anticipée.
• Journal d'audit immuable : 6 ans (obligations légales et probatoires).
• Données de facturation : 10 ans (obligation comptable).
• Cache de scan public anonyme : 24 h.
• Téléversements SAST : 1 h après analyse, puis suppression automatique.

Les sous-traitants utilisés sont sélectionnés pour leurs garanties RGPD et listés ci-dessous :

• Hébergement & base de données : infrastructure souveraine UE, chiffrement au repos.
• Email transactionnel : envoi des confirmations et alertes.
• Paiements : prestataire PCI-DSS niveau 1, aucune carte stockée chez nous.
• IA explicative : uniquement les métadonnées du finding sont transmises, jamais vos identifiants ni vos secrets.

Aucun transfert hors UE n'est effectué sans clauses contractuelles types (SCC) et analyse d'impact (TIA).

• Chiffrement TLS 1.3 en transit, AES-256 au repos.
• Authentification multi-facteur (TOTP / WebAuthn).
• Politiques d'accès Row Level Security (RLS) strictes par utilisateur et workspace.
• Rotation régulière des clés, gestion BYOK disponible pour les plans Enterprise.
• Journal d'audit immuable, signature des certificats émis.

Conformément aux articles 15 à 22 du RGPD, vous disposez :

• D'un droit d'accès, de rectification et d'effacement.
• D'un droit à la limitation et à la portabilité de vos données.
• D'un droit d'opposition et de retrait de votre consentement à tout moment.
• D'un droit de définir des directives post-mortem.
• D'un droit d'introduire une réclamation auprès de la CNIL (cnil.fr).

Vous pouvez exercer ces droits depuis la page Paramètres › Données ou par email à dpo@cyberaudit.app. Une réponse vous sera apportée sous 30 jours.

Nous n'utilisons que des cookies strictement nécessaires au fonctionnement (session, préférence de thème, préférence de langue). Aucun cookie tiers de mesure d'audience ni de publicité n'est déposé.

Toute modification substantielle de la présente politique fera l'objet d'une notification dans l'application et par email. La version en vigueur est identifiée par son numéro affiché en haut de cette page.