Politique de Confidentialité

1.1 Informations sur le Responsable du Traitement :

Nom de la société : Covenant Security Solutions International

Nom du service : CoreCyber

Adresse : Sheridan, Wyoming, États-Unis

Courriel : legal@corecyber.io

Délégué à la Protection des Données : legal@corecyber.io

Représentant EEE/Royaume-Uni/Suisse : Covenant Security Solutions Intl., 30 N. Gould St. STE 9374, Sheridan Wyoming USA, Courriel : legal@corecyber.io

2.1 Informations Personnelles que Vous Fournissez (Catégories CCPA : A, B, C, H)

Nous collectons les informations que vous nous fournissez volontairement lorsque vous :

• Vous inscrivez ou créez un compte
• Demandez un test d'intrusion ou une évaluation de vulnérabilités
• Vous abonnez à notre newsletter ou à nos communications
• Nous contactez via nos canaux d'assistance
• Participez à des enquêtes ou des promotions
• Téléchargez des documents ou des fichiers sur notre plateforme
• Effectuez un paiement pour nos services
• Exercez vos droits en matière de confidentialité

Ces informations peuvent inclure :

• Nom complet (RGPD : Données d'identité)
• Adresse électronique (RGPD : Données de contact)
• Nom de l'entreprise, fonction et informations professionnelles (RGPD : Données professionnelles)
• Numéro de téléphone (RGPD : Données de contact)
• Adresse professionnelle (RGPD : Données de contact)
• Secteur d'activité, taille de l'entreprise et données organisationnelles (RGPD : Données professionnelles)
• Adresses IP et informations réseau pour les évaluations de sécurité (RGPD : Données techniques)
• Informations de paiement, traitées par Stripe (RGPD : Données financières, Catégorie CCPA D)
• Pièce d'identité émise par un gouvernement pour la vérification d'identité via Stripe Identity (RGPD : Données d'identité, Catégorie CCPA G)
• Informations d'habilitation de sécurité si vous les fournissez volontairement (RGPD : Données de catégorie spéciale)
• Préférences de communication et consentements marketing (RGPD : Données marketing)
• Toute autre information que vous choisissez de fournir

2.2 Informations Collectées Automatiquement (Catégories CCPA : F, G, K)

Lorsque vous accédez à nos Services, nous collectons automatiquement certaines informations via des cookies et des technologies similaires :

• Informations sur l'appareil : type d'appareil, système d'exploitation, type et version du navigateur (RGPD : Données techniques)
• Adresse IP et données de géolocalisation approximative (RGPD : Données techniques)
• Données de journal : horaires d'accès, pages consultées, URL de référence, données de flux de clics (RGPD : Données d'utilisation)
• Cookies et technologies de suivi similaires (voir Section 7)
• Données d'utilisation et d'analyse : fonctionnalités utilisées, temps passé, schémas d'interaction (RGPD : Données d'utilisation)
• Données de performance et de diagnostic : erreurs, pannes, temps de chargement (RGPD : Données techniques)
• Activité réseau : utilisation de la bande passante, qualité de la connexion (RGPD : Données techniques)
• Inférences tirées de ce qui précède pour créer des profils d'utilisateurs (Catégorie CCPA K)

2.3 Informations Provenant de Tiers (Catégories CCPA : B, C, F, G)

Nous pouvons recevoir des informations vous concernant de sources tierces, notamment :

• Partenaires commerciaux et prestataires de services (informations de contact et professionnelles)
• Plateformes de réseaux sociaux si vous choisissez de connecter vos comptes (données de profil)
• Bases de données accessibles au public et courtiers en données (informations commerciales)
• Prestataires de marketing et d'analyse (données démographiques et comportementales)
• Sources de renseignements sur les menaces et bases de données de sécurité (données relatives à la sécurité)
• Processeurs de paiement (données de transaction et de vérification)
• Services de vérification d'identité (données de confirmation d'identité)

2.4 Informations Personnelles Sensibles (Catégories spéciales du RGPD)

Nous ne collectons pas intentionnellement d'informations personnelles sensibles (données de catégorie spéciale au sens du RGPD) telles que l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses, l'appartenance syndicale, les données génétiques, les données biométriques, les données de santé ou les données relatives à la vie sexuelle ou à l'orientation sexuelle. Cependant, nous pouvons collecter :

• Une pièce d'identité émise par un gouvernement à des fins de vérification d'identité (avec votre consentement explicite)
• Des informations d'habilitation de sécurité si vous les fournissez volontairement pour des services professionnels

Lorsque nous collectons des informations personnelles sensibles, nous obtiendrons votre consentement explicite et les traiterons uniquement aux fins spécifiques divulguées au moment de la collecte.

3.1 Prestation de Services (RGPD : Exécution du contrat, Intérêts légitimes)

• Fournir, exploiter et maintenir nos Services
• Traiter vos demandes, transactions et commandes de services
• Réaliser des tests d'intrusion et des évaluations de vulnérabilités
• Générer des rapports de sécurité, des constats et des recommandations
• Fournir une assistance à la clientèle et une aide technique
• Authentifier les utilisateurs et gérer les contrôles d'accès
• Prévenir la fraude, les abus et les accès non autorisés
• Effectuer la vérification d'identité via Stripe Identity
• Traiter les paiements de manière sécurisée via Stripe

3.2 Communication (RGPD : Consentement, Exécution du contrat, Intérêts légitimes)

• Vous envoyer des notifications, mises à jour et confirmations relatives au service
• Répondre à vos questions, demandes et tickets d'assistance
• Envoyer des communications marketing (avec votre consentement – vous pouvez vous désabonner à tout moment)
• Fournir des alertes de sécurité, des notifications de menaces et des divulgations de vulnérabilités
• Envoyer des newsletters, du contenu éducatif et des bonnes pratiques en matière de sécurité
• Vous informer des modifications de nos Conditions d'Utilisation ou de notre Politique de Confidentialité
• Mener des enquêtes de satisfaction client et des demandes de retour d'information

3.3 Amélioration et Développement (RGPD : Intérêts légitimes)

• Analyser les tendances d'utilisation et le comportement des utilisateurs pour améliorer nos Services
• Développer de nouvelles fonctionnalités, outils et fonctions
• Mener des recherches, des analyses et des analyses statistiques
• Améliorer les mesures de sécurité et les capacités de détection des menaces
• Résoudre les problèmes techniques et optimiser les performances
• Tester et évaluer de nouvelles technologies et méthodologies
• Créer des données agrégées et anonymisées pour la recherche sectorielle

3.4 Obligations Légales et de Conformité (RGPD : Obligation légale, Intérêts vitaux)

• Respecter les obligations légales au titre du RGPD, du CCPA et d'autres réglementations
• Faire respecter nos Conditions d'Utilisation, politiques et accords
• Protéger nos droits, notre propriété, notre sécurité et ceux de nos utilisateurs
• Répondre aux procédures judiciaires, ordonnances et demandes gouvernementales
• Prévenir la fraude, les menaces à la sécurité, la cybercriminalité et les activités illégales
• Enquêter sur les violations de données ou les incidents de sécurité et y répondre
• Conserver les registres requis par la loi ou la réglementation
• Se défendre contre les réclamations et litiges judiciaires

3.5 Prise de Décision Automatisée et Profilage (Article 22 du RGPD)

Nous pouvons utiliser un traitement automatisé, y compris l'IA et l'apprentissage automatique, pour :

• Détecter des anomalies et des menaces de sécurité potentielles dans vos systèmes
• Hiérarchiser et classer les vulnérabilités en fonction de leur gravité de risque
• Générer des recommandations de sécurité personnalisées
• Évaluer la posture de sécurité de votre infrastructure

Vous avez le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques ou vous affecte de manière significative. Vous pouvez demander une intervention humaine, exprimer votre point de vue et contester des décisions automatisées en contactant legal@corecyber.io.

5.1 Prestataires de Services (CCPA : Divulgué à des fins commerciales)

Nous faisons appel à des prestataires de services tiers qui traitent des données personnelles en notre nom en tant que sous-traitants (RGPD) ou prestataires de services (CCPA). Nous partageons les Catégories A, B, C, F, G, H avec :

• Prestataires d'hébergement cloud et d'infrastructure : Vercel (hébergement) et un service de base de données cloud géré (base de données) – Catégories A, B, C, F, G, H
• Prestataires de services de messagerie électronique : Resend (distribution d'e-mails) – Catégories A, B, C
• Processeurs de paiement : Stripe (traitement des paiements et vérification d'identité) – Catégories A, B, C, D, G, H
• Services d'analyse et de surveillance : Google Analytics (analyse d'utilisation) – Catégories F, G
• Plateformes d'assistance client : Systèmes de tickets et de chat d'assistance – Catégories A, B, C
• Outils de sécurité et d'analyse de vulnérabilités : Plateformes de test de sécurité – Catégories F, G, H
• Plateformes de communication : Services SMS et de notification – Catégories A, B

Ces prestataires ont accès à vos informations uniquement pour effectuer des tâches spécifiques en notre nom, dans le cadre de contrats écrits qui les obligent à protéger vos informations, à ne pas les utiliser à leurs propres fins et à se conformer aux lois applicables en matière de protection des données.

5.4 Exigences Légales et Protection

Nous pouvons divulguer vos informations si la loi l'exige ou si nous estimons de bonne foi qu'une telle divulgation est nécessaire pour :

• Respecter des assignations à comparaître, ordonnances judiciaires, procédures légales ou demandes légales d'autorités gouvernementales
• Faire respecter nos Conditions d'Utilisation, politiques ou autres accords
• Protéger les droits, la propriété ou la sécurité de CoreCyber, de nos utilisateurs ou du public
• Enquêter, prévenir ou agir en cas de fraude présumée, de problèmes de sécurité, d'activités illégales ou de violations de nos politiques
• Répondre aux demandes d'accès des personnes concernées ou à d'autres demandes de droits à la vie privée telles qu'exigées par la loi
• Se protéger contre la responsabilité juridique ou défendre des réclamations juridiques

Nous ne divulguerons que les informations minimales nécessaires pour répondre à l'exigence légale et contesterons, si possible, les demandes excessivement larges ou inappropriées.

6.1 Mécanismes de Transfert RGPD

Lorsque nous transférons des données personnelles depuis l'EEE, le Royaume-Uni ou la Suisse vers des pays en dehors de ces régions, nous mettons en place des garanties appropriées conformément au RGPD :

• Clauses Contractuelles Types (CCT) : Nous utilisons les Clauses Contractuelles Types de la Commission européenne pour les transferts vers des pays sans décision d'adéquation.
• Accords de Traitement des Données (ATD) : Nous concluons des ATD complets avec tous les prestataires de services qui traitent des données personnelles en notre nom.
• Décisions d'adéquation : Nous nous appuyons sur les décisions d'adéquation de la Commission européenne lorsqu'elles sont disponibles.
• Mesures supplémentaires : Nous mettons en œuvre des mesures techniques et organisationnelles supplémentaires pour assurer une protection des données équivalente aux normes du RGPD.
• Évaluations de l'impact des transferts (EIT) : Nous réalisons des EIT pour évaluer les lois et pratiques des pays de destination.

7.2 Types de Cookies que Nous Utilisons

Nous utilisons les catégories de cookies suivantes :

• Cookies Strictement Nécessaires (RGPD : Intérêt légitime) : Essentiels au bon fonctionnement du site web. Ces cookies permettent des fonctionnalités de base telles que l'authentification, les fonctions de sécurité et l'accès aux zones sécurisées. Sans ces cookies, les services que vous avez demandés ne peuvent pas être fournis. Ces cookies ne nécessitent pas de consentement au titre du RGPD.
• Cookies de Performance/Analyse (RGPD : Consentement requis) : Nous aident à comprendre comment les visiteurs utilisent notre site web en collectant des informations sur les pages visitées, le temps passé, les erreurs rencontrées et d'autres métriques d'utilisation. Nous utilisons Google Analytics et des outils similaires. Ces cookies sont anonymisés dans la mesure du possible et nécessitent votre consentement.
• Cookies Fonctionnels (RGPD : Consentement requis) : Se souviennent de vos préférences et paramètres, tels que la sélection de la langue, la région, la taille de la police et d'autres options de personnalisation. Ces cookies améliorent votre expérience utilisateur mais ne sont pas strictement nécessaires. Ils nécessitent votre consentement.
• Cookies de Marketing/Ciblage (RGPD : Consentement requis) : Utilisés pour diffuser des publicités pertinentes, suivre l'efficacité des campagnes et limiter le nombre de fois où vous voyez une publicité. Ces cookies peuvent être définis par nous ou par des partenaires publicitaires tiers. Ils nécessitent votre consentement explicite et vous pouvez vous désabonner à tout moment.

7.3 Cookies Spécifiques que Nous Utilisons

Le tableau suivant répertorie les cookies spécifiques utilisés sur notre site web :

• _ga (Google Analytics) Distinguer les utilisateurs uniques et calculer les statistiques de visiteurs — 2 ans (Analyse)
• _gid (Google Analytics) Distinguer les utilisateurs uniques sur une période de 24 heures — 24 heures (Analyse)
• cookie_consent Mémoriser vos préférences de consentement aux cookies — 1 an (Nécessaire)
• session_id Maintenir votre session authentifiée — Session (Nécessaire)

7.4 Vos Choix en Matière de Cookies et Gestion du Consentement

Vous avez le droit d'accepter ou de refuser les cookies. Vous pouvez gérer vos préférences en matière de cookies via :

• Notre Bannière de Consentement aux Cookies : Lors de votre première visite sur notre site web, une bannière vous permet d'accepter ou de personnaliser les paramètres des cookies. Vous pouvez modifier ces préférences à tout moment en cliquant sur le lien de paramètres de cookies dans notre pied de page.
• Paramètres du navigateur : La plupart des navigateurs vous permettent de visualiser, supprimer et bloquer les cookies. Consultez la section d'aide de votre navigateur pour obtenir des instructions.
• Désabonnements de tiers : Pour les cookies publicitaires de tiers, visitez la page de désabonnement de la Digital Advertising Alliance (DAA) : www.aboutads.info/choices ou la page de désabonnement de la Network Advertising Initiative (NAI) : www.networkadvertising.org/choices.
• Désabonnement de Google Analytics : Installez le module complémentaire de désabonnement du navigateur Google Analytics : tools.google.com/dlpage/gaoptout

Remarque : Le blocage ou la suppression de certains cookies peut limiter votre capacité à utiliser certaines fonctionnalités de nos Services. Les cookies strictement nécessaires ne peuvent pas être désactivés car ils sont essentiels au fonctionnement du site web.

8.1 Mesures de Sécurité Techniques

• Chiffrement des données en transit au moyen du HTTPS/TLS et de contrôles de sécurité conformes aux normes du secteur.
• Contrôles d'accès et mesures d'authentification, y compris la prise en charge de l'authentification multifacteur (MFA).
• Limitation du débit et mesures automatisées de prévention des abus sur les points d'accès et les formulaires publics.
• Validation côté serveur des données soumises et vérification de l'intégrité des événements de paiement et de webhook.
• Restrictions d'accès basées sur les rôles qui limitent les fonctions administratives au personnel autorisé.
• Stockage privé et à accès contrôlé pour les documents sensibles.
• Journalisation et surveillance des événements clés du système afin d'aider à détecter et à répondre aux incidents de sécurité potentiels.

8.2 Mesures Organisationnelles et Opérationnelles

• Restriction des capacités sensibles par défaut afin de réduire notre surface d'attaque.
• Application du principe du moindre privilège pour les accès administratifs et internes.
• Minimisation des données et limitation des finalités : nous ne collectons que les données nécessaires à la fourniture du service demandé.
• Gestion sécurisée des identifiants et des secrets, conservés séparément du code de l'application.

8.3 Notification de Violation de Données (Articles 33-34 du RGPD, CCPA)

En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous :

• Notifierons l'autorité de contrôle compétente (pour les violations au titre du RGPD) dans les 72 heures suivant la prise de connaissance de la violation, dans la mesure du possible.
• Notifierons les personnes concernées sans retard indu si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
• Fournirons des informations sur la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises ou proposées.
• Documenterons toutes les violations, y compris les faits, effets et mesures correctives prises, dans notre registre interne des violations.
• Pour les résidents de Californie, nous notifierons les personnes concernées conformément à la Section 1798.82 du Code civil de Californie.

9.1 Critères de Conservation

• La nature et la sensibilité des données personnelles
• Les finalités pour lesquelles nous avons collecté et traitons les données
• L'existence d'une relation continue avec vous (compte actif)
• Les exigences légales, réglementaires, fiscales, comptables ou de reporting
• La nécessité des données pour des réclamations légales, la conformité ou l'audit
• Les orientations des autorités de protection des données compétentes
• Vos demandes de suppression de données (sous réserve des obligations légales)

9.2 Durées de Conservation Spécifiques

Nous appliquons les durées de conservation suivantes aux différentes catégories de données :

• Données de compte : Conservées pendant la durée de votre compte actif plus 90 jours après sa clôture. Passé ce délai, les données sont anonymisées ou supprimées.
• Rapports d'évaluation : Conservés pendant 7 ans après la prestation de service pour respecter les exigences en matière de responsabilité professionnelle et légale.
• Dossiers financiers : Conservés pendant 7 ans pour répondre aux exigences fiscales, comptables et d'audit.
• Communications marketing : Conservées jusqu'à votre désinscription ou retrait du consentement, puis supprimées dans un délai de 30 jours.
• Tickets d'assistance : Conservés pendant 3 ans à des fins d'assurance qualité et de formation.
• Données analytiques et de journal : Conservées pendant 26 mois (paramètre par défaut de Google Analytics) ou anonymisées plus tôt.
• Dossiers d'incidents de sécurité : Conservés pendant 7 ans à des fins légales et de conformité.
• Copies de sauvegarde : Conservées jusqu'à 90 jours dans des sauvegardes chiffrées, puis définitivement supprimées.

10.1 Droits Généraux en Matière de Confidentialité (Tous les utilisateurs)

Tous les utilisateurs, quelle que soit leur localisation, ont les droits suivants :

• Droit à l'information : Vous avez le droit à des informations claires et transparentes sur la manière dont nous collectons, utilisons et partageons vos informations personnelles (fournies dans la présente Politique de Confidentialité).
• Droit d'accès : Vous avez le droit de demander l'accès aux informations personnelles que nous détenons vous concernant, y compris des détails sur les données que nous possédons, la manière dont nous les utilisons et avec qui nous les partageons.
• Droit de rectification : Vous avez le droit de demander la correction des informations personnelles inexactes ou incomplètes que nous détenons vous concernant.
• Droit à l'effacement : Vous avez le droit de demander la suppression de vos informations personnelles, sous réserve de certaines exceptions légales (par exemple, obligations légales, réclamations légales en cours).
• Droit de vous désabonner du marketing : Vous avez le droit de vous désabonner à tout moment de la réception de communications marketing de notre part en cliquant sur « Se désabonner » dans les e-mails ou en nous contactant.

10.2 Droits au titre du RGPD (Résidents de l'EEE, du Royaume-Uni, de la Suisse)

Si vous êtes situé dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez de droits supplémentaires au titre du Règlement Général sur la Protection des Données (RGPD) :

• Droit à la portabilité des données (Article 20) : Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (par exemple, CSV, JSON) et de les transmettre à un autre responsable du traitement sans obstacle de notre part, lorsque cela est techniquement réalisable.
• Droit d'opposition (Article 21) : Vous avez le droit de vous opposer au traitement fondé sur des intérêts légitimes (Article 6(1)(f)), au marketing direct (y compris le profilage) et au traitement à des fins de recherche scientifique/historique ou statistiques. Nous cesserons le traitement à moins de démontrer des motifs légitimes impérieux prévalant sur vos intérêts ou d'avoir besoin des données pour des réclamations légales.
• Droit à la limitation du traitement (Article 18) : Vous avez le droit de demander la limitation du traitement dans certaines circonstances : vous contestez l'exactitude des données ; le traitement est illicite mais vous vous opposez à la suppression ; nous n'avons plus besoin des données mais vous en avez besoin pour des réclamations légales ; vous vous êtes opposé au traitement et attendez la vérification des motifs légitimes.
• Droit de retirer le consentement (Article 7(3)) : Lorsque le traitement est fondé sur le consentement, vous avez le droit de retirer votre consentement à tout moment. Le retrait ne porte pas atteinte à la licéité du traitement fondé sur le consentement avant son retrait.
• Droit de ne pas faire l'objet d'une décision automatisée (Article 22) : Vous avez le droit de ne pas faire l'objet de décisions fondées uniquement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques vous concernant ou vous affecte de manière significative.
• Droit d'introduire une réclamation (Article 77) : Vous avez le droit d'introduire une réclamation auprès de votre autorité de contrôle locale si vous estimez que nous avons violé le RGPD. Coordonnées des autorités de contrôle européennes : https://edpb.europa.eu/about-edpb/board/members_en. Information Commissioner's Office (ICO) du Royaume-Uni : https://ico.org.uk/. Préposé fédéral à la protection des données et à la transparence (PFPDT) de Suisse : https://www.edoeb.admin.ch/.

10.3 Droits au titre du CCPA (Résidents de Californie)

Si vous êtes résident de Californie, vous disposez de droits au titre du California Consumer Privacy Act (CCPA) et du California Privacy Rights Act (CPRA) :

• Droit de savoir (Section 1798.100 du CCPA) : Vous avez le droit de demander des informations sur les données personnelles que nous avons collectées vous concernant au cours de l'année civile précédente.
• Droit à la suppression (Section 1798.105 du CCPA) : Vous avez le droit de demander la suppression de vos informations personnelles, sous réserve de certaines exceptions.
• Droit de refuser la vente (Section 1798.120 du CCPA) : Vous avez le droit de refuser la « vente » de vos informations personnelles. Nous NE vendons PAS d'informations personnelles.
• Droit à la non-discrimination (Section 1798.125 du CCPA) : Vous avez le droit de ne pas faire l'objet d'une discrimination pour l'exercice de vos droits au titre du CCPA.
• Droit de rectification (Section 1798.106 du CPRA) : Vous avez le droit de demander la correction des informations personnelles inexactes que nous détenons vous concernant.
• Droit de limiter l'utilisation des informations personnelles sensibles (Section 1798.121 du CPRA) : Si nous utilisons des informations personnelles sensibles à des fins autres que celles spécifiées dans la Section 1798.121(a) du CPRA, vous avez le droit de limiter cette utilisation.
• Loi Shine the Light (Section 1798.83 du Code civil de Californie) : Les résidents de Californie peuvent demander des informations sur les informations personnelles divulguées à des tiers à leurs propres fins de marketing direct au cours de l'année civile précédente. Nous ne partageons pas d'informations personnelles avec des tiers à leurs propres fins de marketing direct sans votre consentement explicite.

Vous pouvez désigner un agent autorisé pour soumettre des demandes CCPA en votre nom. L'agent autorisé doit fournir une autorisation écrite signée par vous et nous pouvons demander la vérification de votre identité avant de traiter la demande.

10.4 Comment Exercer Vos Droits

Pour exercer l'un de vos droits en matière de confidentialité, veuillez utiliser l'une des méthodes suivantes :

• Courriel : legal@corecyber.io avec l'objet « Demande de Droits à la Vie Privée », « Demande CCPA » ou « Demande RGPD »
• Formulaire web : Visitez notre Formulaire de Demande de Confidentialité sur corecyber.io/privacy-request (si disponible)
• Courrier postal : Covenant Security Solutions International, À l'attention de : Privacy Team, Sheridan, Wyoming, États-Unis

Nous répondrons à votre demande dans les délais requis par la loi applicable : RGPD : 1 mois (prolongeable de 2 mois pour les demandes complexes) ; CCPA : 45 jours (prolongeable de 45 jours avec notification). Nous accuserons réception de votre demande dans les 10 jours ouvrables. L'exercice de vos droits est gratuit, sauf si votre demande est manifestement infondée, excessive ou répétitive.

Nom de la société : Covenant Security Solutions International

Nom du service : CoreCyber

Adresse : Sheridan, Wyoming, États-Unis

Demandes générales : legal@corecyber.io

Délégué à la Protection des Données : legal@corecyber.io