Politique de confidentialité

Dernière mise à jour : mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

  • EFFITEK SARL
  • 10 Rue Vandrezanne, 75013 Paris, France
  • Email : contact@effitek.fr
  • Téléphone : +33 (0)1 77 62 80 01

2. Données collectées

Dans le cadre de l'utilisation de la plateforme Auditor Pro, nous collectons les données suivantes :

2.1 Authentification via Azure Entra ID (SSO)

  • Nom et prénom (displayName)
  • Adresse email professionnelle (userPrincipalName)
  • Identifiant unique Azure (OID)
  • Identifiant du tenant Azure (tenant ID)

2.2 Authentification locale

  • Nom et prénom
  • Adresse email
  • Mot de passe (stocké sous forme de hash bcrypt — jamais en clair)

2.3 Données d'audit

  • Réponses aux questionnaires de conformité
  • Scores et niveaux de conformité calculés
  • Plans d'action et recommandations générés
  • Rapports exportés
  • Pièces justificatives uploadées (preuves)

2.4 Données techniques

  • Adresse IP de connexion
  • Date et heure de connexion
  • Type de navigateur et système d'exploitation

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Fourniture du service : gestion de votre compte, exécution des audits de conformité, génération de rapports et plans d'action
  • Gestion multi-tenant : isolation des données entre organisations (chaque tenant dispose de sa propre base de données chiffrée)
  • Sécurité : authentification, gestion des sessions, détection d'accès non autorisés, limitation de débit (rate limiting)
  • Amélioration du service : analyse statistique agrégée et anonymisée de l'utilisation

4. Base légale

Les traitements reposent sur :

  • L'exécution du contrat (art. 6.1.b du RGPD) : fourniture du service SaaS d'audit
  • L'intérêt légitime (art. 6.1.f) : sécurisation de la plateforme, prévention des fraudes
  • L'obligation légale (art. 6.1.c) : conservation des logs de connexion conformément au droit français

5. Destinataires des données

Vos données sont accessibles exclusivement par :

  • Les administrateurs de votre organisation (tenant) dans Auditor Pro
  • L'équipe technique d'EFFITEK SARL, dans le cadre strict de la maintenance et du support
  • L'hébergeur OVH (en qualité de sous-traitant, dans les limites de l'hébergement)

Nous ne vendons pas vos données personnelles. Aucun transfert de données en dehors de l'Union européenne n'est effectué. L'ensemble des données est hébergé en France (OVH, Roubaix).

6. Durée de conservation

Type de données Durée de conservation
Données de compte (nom, email) Durée du contrat + 1 an
Données d'audit (réponses, scores, rapports) Durée du contrat
Logs de connexion (IP, date) 12 mois
Cookie de consentement 13 mois

À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.

7. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir une copie
  • Droit de rectification : corriger des données inexactes ou incomplètes
  • Droit à l'effacement : demander la suppression de vos données (dans les limites légales)
  • Droit à la limitation : restreindre le traitement dans certains cas
  • Droit à la portabilité : récupérer vos données dans un format structuré
  • Droit d'opposition : vous opposer au traitement pour motif légitime

Pour exercer ces droits, contactez-nous à : contact@effitek.fr. Nous nous engageons à répondre dans un délai de 30 jours.

Vous pouvez également introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

  • Isolation multi-tenant : chaque organisation dispose de sa propre base de données SQLite chiffrée
  • Authentification sécurisée : JWT RS256, OAuth2 avec state + nonce, session unique (anti-double connexion)
  • Protection des mots de passe : hachage bcrypt (coût 12), politique de mot de passe stricte, historique des 5 derniers mots de passe
  • Protection contre les attaques : CSRF token, rate limiting, en-têtes de sécurité CSP et HSTS
  • Chiffrement des communications : HTTPS (TLS 1.2+) obligatoire

9. Cookies

L'utilisation des cookies est décrite dans notre Politique de cookies.

10. Modification de cette politique

Nous nous réservons le droit de modifier cette politique de confidentialité. En cas de modification substantielle, les utilisateurs seront informés via la plateforme. La date de dernière mise à jour est indiquée en haut de cette page.