Politique de confidentialité
Dernière mise à jour : 10 mai 2026
1. Introduction
La société CYBER DREAM SAS, dont le siège social est situé au 3 Rue Jacques Daguerre, 44300 Nantes, France, est responsable du traitement des données personnelles collectées sur le site monauditrgpd.fr (ci-après « le Service »).
La présente politique a pour objectif de vous informer, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, sur la manière dont vos données personnelles sont collectées, utilisées et protégées.
Le Service est exclusivement destiné aux personnes majeures (18 ans et plus). En l'utilisant, vous attestez avoir atteint cet âge. Toute donnée concernant une personne mineure sera supprimée sur signalement.
2. Responsable du traitement
- Identité : CYBER DREAM SAS
- Adresse : 3 Rue Jacques Daguerre, 44300 Nantes, France
- Représentant légal : Le Président de CYBER DREAM SAS
- Contact : [email protected]
- Référent données personnelles : [email protected] (pas de DPO désigné — entreprise non soumise à l'obligation art. 37 RGPD)
3. Données collectées et finalités
3.1 Création de compte (optionnel)
- Nom, prénom, adresse email
- Mot de passe (haché en bcrypt, jamais stocké en clair)
- Préférences (thème clair/sombre)
Base légale : exécution du contrat (art. 6.1.b RGPD).
Durée : tant que le compte est actif. Suppression effective sur demande ou après 24 mois d'inactivité.
3.2 Réalisation d'un audit (anonyme ou authentifié)
- Réponses au questionnaire d'auto-évaluation
- Score calculé, niveau de risque, recommandations générées
- Adresse email (si audit anonyme : pour recevoir le rapport)
Base légale : exécution de la prestation demandée (art. 6.1.b).
Durée : 30 jours pour les audits anonymes (purge automatique). Pour les audits liés à un compte : tant que le compte est actif.
3.3 Calculateur d'amende CNIL
- Tranche de chiffre d'affaires, secteur, effectif, types de données concernées, nature de l'incident
- Adresse email (pour réception du rapport détaillé)
Base légale : exécution de la prestation demandée (art. 6.1.b).
Durée : 24 mois.
3.4 Téléchargement de ressources (lead magnets)
- Email, entreprise et taille (optionnels)
- Ressource demandée, date
Base légale : exécution de la prestation demandée (art. 6.1.b).
Durée : 24 mois.
3.5 Communications par email (séquences de conseils)
- Email, secteur, événements d'envoi
Base légale : consentement explicite (art. 6.1.a) — case à cocher non pré-cochée. Sans cocher cette case, aucune séquence n'est déclenchée.
Durée : jusqu'à désinscription (lien dans chaque email). Données conservées 30 jours après désinscription puis purgées.
3.6 Attribution de source (UTM)
- Paramètres
utm_*de l'URL d'arrivée, page de destination, referer HTTP
Base légale : intérêt légitime (art. 6.1.f) — mesure d'efficacité des canaux d'acquisition, sans profilage individuel.
Stockage : uniquement en cookie de session (first-party, httponly), associé au lead seulement à la conversion. Aucune adresse IP ni empreinte appareil n'est stockée.
Durée : 30 jours en session ; jointe au lead lors de la conversion (mêmes durées que ci-dessus).
3.7 Journalisation technique
Les serveurs conservent des journaux techniques minimaux (timestamp, méthode HTTP, URL, code de réponse). Ces journaux ne contiennent pas d'adresse IP en clair dans nos bases applicatives. Le reverse proxy Cloudflare (cf. section 5) peut conserver des logs réseau séparément selon ses propres conditions.
Base légale : intérêt légitime (sécurité, lutte anti-abus).
Durée : 30 jours.
4. Politique de conservation
Nous appliquons une politique de minimisation : les durées ci-dessus sont des plafonds. Vous pouvez à tout moment demander une suppression anticipée (cf. section 7).
Les leads non vérifiés (email jamais confirmé) sont supprimés automatiquement après 6 mois. Les audits anonymes après 30 jours. Les liens magiques expirés et tokens consommés après 30 jours.
5. Sous-traitants et destinataires
Nous nous appuyons sur les sous-traitants suivants, encadrés par des accords conformes à l'article 28 RGPD :
| Sous-traitant | Rôle | Données traitées | Localisation |
|---|---|---|---|
| Cloudflare, Inc. | Reverse proxy, protection anti-DDoS, terminaison TLS | Métadonnées de connexion (IP, user-agent) | Réseau mondial (UE prioritaire pour le routage) |
| CYBER DREAM SAS (auto-hébergement) | Hébergement applicatif et base de données sur infrastructure en propriété | Toutes les données applicatives | France (datacenter détenu par l'éditeur) |
| Scaleway SAS (Transactional Email) | Envoi des emails transactionnels et de séquences (vérification compte, résultats d'audit, rapports calculateur, conseils RGPD) | Adresse email destinataire, contenu du message, métadonnées d'envoi (logs de délivrabilité, bounces) | France (Paris) - traitement intra-UE uniquement |
| hCaptcha (Intuition Machines Inc.) | Protection anti-bot des formulaires | Données techniques liées au défi captcha (IP, user-agent, comportement) | États-Unis (DPF / SCCs) |
Aucune donnée n'est cédée ni revendue à des tiers à des fins commerciales.
5 bis. hCaptcha (seul script tiers du Service)
Pour protéger les formulaires (création de compte, audit anonyme, calculateur, demandes de ressources) contre les soumissions automatisées (bots, scraping, abus), nous utilisons hCaptcha, fourni par Intuition Machines Inc., société américaine. C'est le seul script tiers chargé par notre site — toutes les autres ressources (CSS, JS, polices, images) sont auto-hébergées en France.
- Sous-traitant : Intuition Machines Inc., 2261 Market Street #4242, San Francisco CA 94114, États-Unis.
- Données traitées par hCaptcha : adresse IP, agent utilisateur, données de capteurs et signaux comportementaux liés à la résolution du défi (mouvements de souris, schémas de saisie). Ces données sont collectées directement par hCaptcha ; nous ne les recevons ni ne les stockons côté Mon Audit RGPD.
- Finalité : distinguer un humain d'un bot, lutter contre les soumissions frauduleuses et les attaques automatisées.
- Base légale : intérêt légitime (art. 6.1.f RGPD) tenant à la sécurité du Service et à la protection contre les abus. Ce traitement est strictement nécessaire à la fourniture du Service : sans lui, nous serions exposés à la création massive de faux audits et au pollution des données métier.
- Transfert hors UE : les données sont susceptibles d'être transférées aux États-Unis. Ce transfert est encadré par les clauses contractuelles types de la Commission européenne et par l'adhésion d'Intuition Machines au cadre Data Privacy Framework UE-US (DPF).
- Durée de conservation par hCaptcha : selon leurs propres politiques, généralement de quelques jours à quelques semaines pour les données de défis non sauvegardés.
- Politique hCaptcha : hcaptcha.com/privacy · conditions d'utilisation.
hCaptcha se distingue des solutions concurrentes (Google reCAPTCHA notamment) par sa politique de minimisation : pas de profilage publicitaire, pas de tracking inter-sites, pas de cookies tiers persistants. Il a été retenu pour cette raison, faute d'alternative auto-hébergeable suffisamment robuste contre les attaques actuelles.
6. Transferts hors UE
Les données applicatives sont stockées et traitées en France, dans le datacenter détenu et opéré par CYBER DREAM SAS — sans sous-traitance d'hébergement. Seul hCaptcha implique un transfert vers les États-Unis, encadré par les clauses contractuelles types de la Commission européenne et le cadre Data Privacy Framework (DPF). Cloudflare, lorsqu'il route le trafic, peut traiter temporairement des métadonnées de connexion sur son réseau mondial, également couvert par DPF / SCCs.
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Droit de retirer votre consentement à tout moment (ne remet pas en cause la licéité du traitement effectué avant le retrait)
- Droit de définir des directives post-mortem (art. 85 LIL)
Exercice des droits : envoyez votre demande par email à [email protected] en précisant la nature de la demande et en joignant si possible une preuve d'identité (le but étant uniquement de vérifier que vous êtes bien la personne concernée).
Nous répondrons dans un délai maximum de 1 mois à compter de la réception de la demande (prorogeable de 2 mois si la demande est complexe, avec information préalable).
Désinscription des emails marketing : un clic sur le lien « Se désinscrire » présent dans chaque email suffit. La désinscription est immédiate et irrévocable côté serveur.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
- Commission Nationale de l'Informatique et des Libertés (CNIL)
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- www.cnil.fr
8. Notification de violation
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, CYBER DREAM SAS s'engage à notifier la CNIL dans les 72 heures et à vous en informer dans les meilleurs délais, conformément aux articles 33 et 34 RGPD.
9. Sécurité
- HTTPS (TLS) sur l'ensemble du site, en-têtes HSTS, CSP stricte, X-Frame-Options, Referrer-Policy
- Mots de passe hachés en bcrypt (jamais stockés en clair)
- Cookies de session HttpOnly, SameSite=Lax
- Tokens magiques aléatoires (32 octets) à usage unique, expiration courte
- Aucun script ou ressource chargés depuis des CDN tiers (Bootstrap et polices auto-hébergés)
- Aucun pixel, tracker, ou outil d'analyse comportementale tiers
- Sauvegardes chiffrées, accès journalisé, mises à jour régulières
10. Cookies
Le Service n'utilise que des cookies strictement nécessaires à son fonctionnement, exemptés de consentement préalable selon les lignes directrices CNIL :
| Cookie | Finalité | Durée |
|---|---|---|
session | Authentification, état de session, attribution de source (UTM first-touch) | 30 jours |
cf_* (Cloudflare) | Sécurité réseau, anti-DDoS, vérification du navigateur | Variable (voir politique Cloudflare) |
Aucun cookie publicitaire, analytique ou de mesure d'audience tiers n'est déposé.
11. Modification de la politique
CYBER DREAM SAS se réserve le droit de modifier la présente politique. Toute modification substantielle sera signalée sur le site et, le cas échéant, notifiée par email aux titulaires de compte.
12. Contact
- Email : [email protected]
- Courrier : CYBER DREAM SAS, 3 Rue Jacques Daguerre, 44300 Nantes, France