Cette politique explique comment PolicyForge collecte, utilise et protège vos données personnelles lorsque vous utilisez notre service. Elle est rédigée conformément au Règlement Général sur la Protection des Données (RGPD).
1. Responsable de traitement
Le responsable de traitement est NAGASHIELD SECURITY, SAS au capital de 1 €, immatriculée au RCS de Paris sous le numéro 989 235 999, dont le siège social est situé 60 rue François 1er, 75008 Paris, éditrice du service PolicyForge. Pour toute question relative à vos données personnelles, contactez : contact@nagashieldsecurity.com.
2. Données collectées
Nous collectons uniquement les données strictement nécessaires :
- Données de compte : adresse e-mail, nom complet, nom de l'entreprise, rôle, langue préférée.
- Données générées : politiques créées, brouillons, exports, paramètres de branding (logo, couleurs).
- Données techniques : journaux d'audit (qui a fait quoi et quand), adresse IP au moment des actions sensibles.
- Données de facturation : gérées par notre sous-traitant Stripe (nous ne stockons jamais de numéro de carte).
3. Bases légales
- Exécution du contrat (art. 6.1.b RGPD) — pour la fourniture du service.
- Intérêt légitime (art. 6.1.f) — sécurité, prévention de la fraude, journaux d'audit.
- Obligation légale (art. 6.1.c) — conservation comptable et fiscale.
4. Finalités
Vos données sont utilisées pour :
- Fournir et améliorer le service PolicyForge.
- Authentifier votre compte et sécuriser l'accès à vos politiques.
- Facturer votre abonnement (via Stripe).
- Vous notifier en cas d'incident ou de mise à jour majeure.
- Répondre à vos demandes d'assistance.
5. Conservation
Nous conservons vos données :
- Compte actif : tant que vous utilisez le service.
- Après suppression du compte : les données personnelles sont supprimées immédiatement ; les enregistrements comptables sont conservés 10 ans (obligation légale française).
- Journaux de sécurité : 12 mois.
6. Vos droits
Vous avez le droit de :
- Accéder à vos données (téléchargement JSON depuis « Mon compte »).
- Rectifier vos informations (depuis « Mon compte »).
- Supprimer votre compte (depuis « Mon compte »).
- Limiter ou vous opposer au traitement (par e-mail à contact@nagashieldsecurity.com).
- Portabilité : récupérer vos données dans un format structuré (export JSON).
- Introduire une réclamation auprès de la CNIL (cnil.fr).
7. Sous-traitants
Pour fournir le service, nous nous appuyons sur des sous-traitants soumis à un DPA conforme RGPD. La liste complète est publiée et tenue à jour sur la page Sous-traitants.
8. Transferts internationaux
Nos sous-traitants peuvent traiter des données en dehors de l'UE (notamment Stripe et Vercel aux États-Unis). Ces transferts reposent sur les Clauses Contractuelles Types (CCT) de la Commission européenne et, le cas échéant, sur les mesures complémentaires (chiffrement, contrôles d'accès).
9. Sécurité
Vos données sont chiffrées au repos (AES-256) et en transit (TLS 1.2+). L'accès est strictement contrôlé par rôle et limité au strict besoin. Nous tenons un journal d'audit de toutes les actions sensibles. Voir nos politiques internes de sécurité sur demande.
10. Violations de données
En cas de violation susceptible d'engendrer un risque pour vos droits et libertés, nous notifions la CNIL sous 72 heures et vous informons sans délai indu lorsque le risque est élevé.
11. Cookies
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service (session d'authentification, préférence de langue). Aucun cookie marketing ou analytics tiers. Aucun consentement préalable n'est requis pour ces cookies essentiels.
12. Modifications
Cette politique est revue annuellement ou en cas de changement matériel. La date « Dernière mise à jour » en haut de la page indique la dernière révision. Les modifications importantes vous sont notifiées par e-mail.
13. Contact
Pour toute question : contact@nagashieldsecurity.com.