Request a demoSign in

Conformité RGPD

English

Dernière mise à jour: 19 décembre 2025

1. Introduction

Le Règlement Général sur la Protection des Données (RGPD) est un règlement européen entré en vigueur le 25 mai 2018, conçu pour renforcer la protection des données personnelles des citoyens de l'Union Européenne.

NEETOO Software LLC, opérant sous le nom commercial 42SAFE, se conforme au RGPD pour tous les utilisateurs de l'UE. Nous croyons que la vie privée est un droit fondamental et appliquons les normes de protection des données les plus élevées à l'échelle mondiale.

2. Informations sur le Responsable du Traitement

2.1 Responsable du traitement

  • Société : NEETOO Software LLC
  • Nom commercial : 42SAFE
  • Adresse : 30 N Gould St, STE R, Sheridan, WY 82801, USA
  • Email : [email protected]

2.2 Contact RGPD (équivalent DPO)

Notre contact RGPD est responsable de :

  • Assurer la conformité RGPD au sein de 42SAFE
  • Conseiller sur les obligations de protection des données
  • Servir de point de contact avec les autorités de protection des données (CNIL, etc.)
  • Traiter vos demandes d'exercice de droits

3. Bases légales du traitement

Conformément à l'Article 6 du RGPD, nous traitons les données personnelles uniquement lorsque nous disposons d'une base légale valide :

3.1 Exécution du contrat (Article 6(1)(b))

Traitement nécessaire à l'exécution de notre contrat de service :

  • Création et gestion de votre compte utilisateur
  • Fourniture de services de cybersécurité (surveillance des fuites, protection DNS)
  • Traitement des paiements et gestion des abonnements
  • Support client et assistance technique

3.2 Obligation légale (Article 6(1)(c))

Traitement nécessaire pour respecter des obligations légales :

  • Conservation des registres fiscaux et comptables
  • Réponse aux demandes légales des autorités
  • Notification des violations de données aux autorités (dans les 72 heures)

3.3 Intérêt légitime (Article 6(1)(f))

Traitement pour nos intérêts légitimes, équilibrés avec vos droits :

  • Sécurité du système et prévention de la fraude
  • Amélioration du service (avec données anonymisées)
  • Défense des réclamations juridiques

3.4 Consentement (Article 6(1)(a))

Traitement basé sur votre consentement explicite et librement donné :

  • Communications marketing et newsletters
  • Cookies non essentiels (analytiques, fonctionnels)
  • Surveillance des fuites pour les données que vous fournissez explicitement

Vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement effectué avant le retrait.

4. Vos droits RGPD

Le RGPD vous accorde les droits suivants. Consultez notre Politique de Confidentialité pour les détails sur leur exercice.

4.1 Droit d'accès (Article 15)

Vous avez le droit d'obtenir :

  • Confirmation que nous traitons vos données personnelles
  • Une copie de vos données personnelles
  • Informations sur les finalités, catégories, destinataires et durées de conservation

Comment l'exercer : Paramètres du compte → Confidentialité → « Télécharger mes données » ou contacter [email protected]

4.2 Droit de rectification (Article 16)

Vous pouvez demander la correction de données inexactes ou incomplètes.

Comment l'exercer : Mettre à jour directement dans les paramètres du compte ou contacter notre équipe RGPD.

4.3 Droit à l'effacement / « Droit à l'oubli » (Article 17)

Vous pouvez demander la suppression de vos données lorsque :

  • Les données ne sont plus nécessaires pour la finalité d'origine
  • Vous retirez votre consentement et aucune autre base légale n'existe
  • Vous vous opposez au traitement et aucun motif légitime impérieux n'existe
  • Les données ont été traitées illégalement
  • La suppression est requise par la loi

Exceptions : Nous pouvons conserver les données requises par obligations légales (ex : registres de facturation).

Comment l'exercer : Paramètres du compte → « Supprimer mon compte » ou email à [email protected]

4.4 Droit à la limitation (Article 18)

Vous pouvez demander la suspension temporaire du traitement lorsque :

  • Vous contestez l'exactitude des données (pendant la vérification)
  • Le traitement est illicite mais vous préférez la limitation à l'effacement
  • Nous n'avons plus besoin des données mais vous en avez besoin pour des réclamations
  • Vous vous êtes opposé au traitement (pendant la vérification)

4.5 Droit à la portabilité (Article 20)

Vous avez le droit de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) et de les transmettre à un autre responsable.

Portée : Données que vous avez fournies où le traitement est basé sur le consentement ou le contrat et effectué par des moyens automatisés.

Comment l'exercer : Paramètres du compte → Confidentialité → « Exporter mes données »

4.6 Droit d'opposition (Article 21)

Vous pouvez vous opposer à tout moment au traitement basé sur l'intérêt légitime pour des raisons tenant à votre situation particulière.

Droit absolu pour le marketing : Vous pouvez vous opposer au marketing direct sans justification. Des liens de désabonnement sont dans chaque email.

4.7 Droit de ne pas faire l'objet d'une décision automatisée (Article 22)

Vous avez le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative.

Ce qui est automatisé chez 42SAFE

  • Alertes de détection de menaces : Informatives uniquement, aucune restriction sur votre compte
  • Limitation de débit : Protection technique, pas de prise de décision personnelle
  • Correspondance des fuites : Détection automatisée, examinée par un humain avant notification

Ce qui nécessite un examen humain

  • Suspension ou résiliation de compte
  • Restrictions d'accès
  • Actions juridiques ou demandes de données
  • Toute décision ayant des effets juridiques ou significatifs

Vos droits

Vous pouvez demander un examen humain de toute décision en contactant [email protected]. Nous répondons sous 30 calendar days.

4.8 Délais de réponse

Nous répondons aux demandes d'exercice de droits sous 30 calendar days. Pour les demandes complexes, nous pouvons prolonger ce délai de deux mois maximum avec notification.

5. Principes de protection des données

Conformément à l'Article 5 du RGPD, nous adhérons aux principes suivants :

5.1 Licéité, loyauté et transparence

  • Nous collectons les données de manière licite et transparente
  • Nous vous informons clairement de toutes les activités de traitement
  • Nous ne collectons jamais de données par des moyens trompeurs

5.2 Limitation des finalités

  • Les données sont collectées pour des finalités déterminées, explicites et légitimes
  • Nous ne traitons pas les données de manière incompatible avec ces finalités
  • Chaque activité de traitement a une finalité clairement définie dans notre Politique de Confidentialité

5.3 Minimisation des données

  • Nous collectons uniquement les données strictement nécessaires à nos finalités
  • Nous ne collectons pas de données « au cas où » elles seraient utiles
  • Des révisions régulières éliminent la collecte de données inutiles
  • Pour les utilisateurs UE : Nous affichons des données de fuite limitées (ville uniquement, année de naissance uniquement, numéros de téléphone masqués)

5.4 Exactitude

  • Nous nous efforçons de maintenir les données exactes et à jour
  • Vous pouvez corriger vos données à tout moment dans les paramètres du compte
  • Les données inexactes qui nous sont signalées sont promptement corrigées ou supprimées

5.5 Limitation de la conservation

  • Les données sont conservées uniquement aussi longtemps que nécessaire pour leurs finalités
  • Conservation maximale : 30 days pour la plupart des données
  • Suppression ou anonymisation automatique à expiration

5.6 Intégrité et confidentialité

  • Mesures de sécurité techniques et organisationnelles appropriées
  • Protection contre le traitement non autorisé ou illicite
  • Protection contre la perte, destruction ou dommage accidentels

5.7 Responsabilité

  • Nous pouvons démontrer notre conformité au RGPD
  • Documentation complète des activités de traitement et mesures de sécurité
  • Registre des activités de traitement (ROPA) maintenu
  • Analyses d'Impact relatives à la Protection des Données (AIPD) pour les traitements à haut risque

6. Sécurité technique et organisationnelle

6.1 Mesures techniques

Chiffrement

  • En transit : TLS 1.3 pour toutes les communications
  • Au repos : AES-256 pour toutes les données sensibles
  • Base de données : Chiffrement au niveau des colonnes pour les données critiques
  • Sauvegardes : Chiffrées et stockées dans des emplacements géographiquement séparés

Contrôle d'accès

  • Principe du moindre privilège
  • Authentification à deux facteurs (2FA) requise pour tout le personnel
  • Révocation immédiate des accès pour les employés partants
  • Journaux d'accès complets et audits réguliers

Infrastructure

  • Hébergement principal dans l'Union Européenne (AWS Francfort) pour B2C (Supabase) et B2B (Neon)
  • Pare-feu, systèmes de détection d'intrusion (IDS/IPS)
  • Surveillance 24h/24 avec alertes en temps réel
  • Évaluations de sécurité et tests de pénétration réguliers

6.2 Mesures organisationnelles

Gestion des violations de données

  • Procédures de réponse aux violations documentées
  • Équipe de réponse aux incidents
  • Notification aux autorités dans les 72 heures si risque pour les droits
  • Notification aux personnes concernées sans délai indu si risque élevé
  • Registre des violations maintenu

7. Transferts internationaux de données

7.1 Stockage principal : Union Européenne

42SAFE stocke toutes les données personnelles principalement dans l'Union Européenne, assurant le plus haut niveau de protection RGPD.

7.2 Transferts limités vers des pays tiers

Certains sous-traitants peuvent transférer des données limitées hors de l'UE :

Firebase (Google) - USA

  • Finalité : Notifications push uniquement
  • Données : Identifiants d'appareil, tokens de notification (pas de données personnelles sensibles)
  • Garanties : Clauses Contractuelles Types (CCT)

Stripe - USA

  • Finalité : Traitement des paiements
  • Données : Détails de paiement (nom, email, montant)
  • Garanties : Clauses Contractuelles Types (CCT)

7.3 Garanties de transfert

Tous les transferts hors UE sont protégés par au moins :

  • Clauses Contractuelles Types (CCT) : Clauses approuvées par la Commission européenne
  • Décisions d'adéquation : Pour les pays reconnus comme offrant une protection adéquate
  • Règles d'entreprise contraignantes (BCR) : Pour les groupes internationaux

7.4 Évaluation d'Impact des Transferts (Schrems II)

Suite à l'arrêt Schrems II (C-311/18), nous avons réalisé des Évaluations d'Impact des Transferts (TIA) pour tous les transferts hors UE. Nos mesures complémentaires incluent :

Mesures techniques

  • Toutes les données chiffrées avec AES-256 (clés détenues exclusivement par 42SAFE)
  • Chiffrement du transport (TLS 1.3) pour toutes les données en transit
  • Aucun accès aux données déchiffrées par les sous-traitants américains lorsque techniquement possible

Mesures contractuelles

  • Clauses Contractuelles Types (version 2021) avec tous les sous-traitants américains
  • Sous-traitants contractuellement interdits de transferts ultérieurs
  • Obligation contractuelle de nous notifier toute demande d'accès gouvernemental
  • Engagement à contester les demandes disproportionnées

Mesures organisationnelles

  • TIA documentées pour : Stripe, Firebase, RevenueCat
  • Révision régulière de l'évolution du cadre juridique américain
  • Plans de contingence pour migrer le traitement des données si nécessaire

Conclusion de l'évaluation des risques

Sur la base de nos TIA, le risque d'accès gouvernemental américain aux données personnelles de l'UE est faible compte tenu de : (1) les catégories de données transférées sont limitées, (2) le chiffrement rend la plupart des données inintelligibles, et (3) notre modèle commercial n'est pas d'intérêt pour les services de renseignement.

8. Protection des données dès la conception (Article 25)

8.1 Privacy by Design

  • Analyse d'Impact sur la Vie Privée (PIA) pour chaque nouvelle fonctionnalité
  • Minimisation des données intégrée dès la conception
  • Choix technologiques favorisant la protection des données (chiffrement par défaut)
  • Pseudonymisation et anonymisation intégrées aux processus

8.2 Privacy by Default

  • Paramètres de confidentialité les plus protecteurs par défaut
  • Collecte de données minimale par défaut (opt-in pour les données non essentielles)
  • Périodes de conservation les plus courtes nécessaires par défaut
  • Partage de données désactivé par défaut

8.3 Exemple : Traitement régional des données

Notre système de surveillance des fuites est conçu avec la privacy by design :

  • Utilisateurs UE : Reçoivent automatiquement des données minimisées (ville uniquement, année de naissance uniquement, téléphone masqué)
  • Utilisateurs hors UE : Peuvent voir des données enrichies pour une meilleure protection
  • Cette différenciation est automatique basée sur la localisation détectée
  • Aucune action utilisateur requise - la confidentialité est intégrée

9. Analyses d'Impact relatives à la Protection des Données (AIPD)

9.1 Quand nous réalisons des AIPD

Conformément à l'Article 35 du RGPD, nous réalisons des AIPD pour les traitements susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes :

  • Surveillance du dark web à grande échelle
  • Traitement de données de fuite potentiellement sensibles
  • Profilage automatisé pour la détection des menaces
  • Traitement de données de mineurs (protection familiale)

9.2 Documentation AIPD

Nous maintenons une AIPD documentant comment nous traitons et stockons les données utilisateurs. Ce document est disponible pour les autorités de protection des données sur demande.

10. Autorité de contrôle et plaintes

10.1 Autorité de contrôle principale

En tant que société américaine servant des clients de l'UE, nous coopérons avec toutes les autorités européennes de protection des données. Pour les utilisateurs français, l'autorité compétente est :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
France

10.2 Droit de réclamation

Si vous estimez que vos droits en matière de protection des données ne sont pas respectés, vous avez le droit de déposer une réclamation auprès de votre autorité locale de protection des données.

10.3 Procédure de réclamation

Avant de contacter une autorité de contrôle, nous vous encourageons à nous contacter directement à [email protected]pour résoudre le problème.

10.4 Coopération avec les autorités

42SAFE s'engage à coopérer pleinement avec les autorités de protection des données lors de toute enquête et à mettre en œuvre les mesures correctives dans les délais requis.

11. Contacter les Autorités de Protection des Données

Les autorités de protection des données de tout pays (CNIL, ICO, AEPD, etc.) peuvent nous contacter directement à :

  • Email : [email protected]
  • Courrier : NEETOO Software LLC, 30 N Gould St, STE R, Sheridan, WY 82801, USA
  • Délai de réponse : 30 calendar days

Nous nous engageons à une coopération transparente avec tous les organismes de réglementation.

12. Contact

Pour toute question sur notre conformité RGPD ou pour exercer vos droits :

Nous répondons à toutes les demandes sous 30 calendar days et nous engageons à vous aider à exercer vos droits.

Questions ou Préoccupations ?

Pour toute question concernant ce document, veuillez nous contacter :

[email protected][email protected][email protected]