Politique de confidentialité

Comment nous collectons, utilisons et protégeons vos données personnelles.

Derniere mise a jour: 2026-04-18

1. Responsable du traitement

Black Cat Security, Individual immatriculée au RCS Paris 123 456 789, dont le siège social est situé au 123 Rue Example, 75001 Paris, France, est le responsable du traitement des données personnelles décrit dans la présente Politique de confidentialité. Black Cat Security est établie dans l'Union européenne.

Pour toute question relative à la protection des données, vous pouvez contacter notre Délégué à la Protection des Données (DPO) à l'adresse privacy@blackcatsecurity.fr.

2. Données collectées

Nous collectons et traitons les catégories de données personnelles suivantes dans le cadre de la fourniture de nos services :

Données de compte : nom, adresse e-mail, nom de l'organisation et rôle au sein de votre organisation, collectées lors de l'inscription et de la gestion du compte.
Données d'utilisation : informations sur la façon dont vous utilisez notre service, y compris l'utilisation des fonctionnalités, les journaux d'interaction et l'activité de session, collectées afin d'améliorer notre plateforme.
Données techniques : adresse IP, type et version du navigateur, informations sur l'appareil, système d'exploitation et URL de référence, collectées automatiquement lorsque vous visitez notre site ou utilisez notre service.
Données de paiement : informations de facturation traitées par notre prestataire de paiement, Paddle, agissant en qualité de Merchant of Record. Nous ne stockons pas les numéros de carte bancaire ni les coordonnées bancaires sur nos serveurs. Paddle assure le traitement des paiements conformément aux exigences PCI DSS.

3. Finalités et bases juridiques

Nous traitons vos données personnelles pour les finalités suivantes, chacune associée à une base juridique spécifique au titre du RGPD :

Finalité	Catégories de données	Base juridique
Gestion du compte	Données de compte	Exécution du contrat (art. 6(1)(b))
Fourniture du service	Données de compte, d'utilisation, techniques	Exécution du contrat (art. 6(1)(b))
Surveillance de la sécurité	Données techniques, d'utilisation	Intérêt légitime (art. 6(1)(f))
Support client	Données de compte, d'utilisation	Exécution du contrat (art. 6(1)(b))
Analyse et amélioration	Données d'utilisation, techniques	Intérêt légitime (art. 6(1)(f))
Communications marketing (B2C)	Données de compte	Consentement (art. 6(1)(a))
Prospection commerciale B2B par e-mail à une adresse professionnelle en lien avec la fonction professionnelle du destinataire	Données de compte	Intérêt légitime (art. 6(1)(f)), recommandations CNIL en matière de prospection B2B
Facturation	Données de compte, de paiement	Exécution du contrat via Paddle (art. 6(1)(b))

Lorsque nous nous appuyons sur l'intérêt légitime, nous avons procédé à un test de mise en balance afin de nous assurer que nos intérêts ne prévalent pas sur vos droits et libertés fondamentaux.

4. Cookies et technologies de suivi

Nous utilisons des cookies et des technologies similaires pour le fonctionnement de notre site et de notre service. Actuellement, nous n'utilisons que des cookies essentiels nécessaires au bon fonctionnement du site et à la gestion de vos préférences de consentement. Pour plus d'informations, veuillez consulter notre Politique de cookies.

5. Partage des données et sous-traitants

Nous partageons vos données personnelles avec un nombre limité de prestataires tiers de confiance qui nous assistent dans l'exploitation de notre plateforme. Chaque sous-traitant est lié par des obligations contractuelles visant à protéger vos données et à ne les traiter que conformément à nos instructions.

Sous-traitant	Finalité	Localisation
Cloudflare, Inc.	CDN, hébergement, edge compute, protection DDoS	USA (DPF) + edge UE
Paddle.com Market Ltd	Merchant of Record — facturation, paiements, TVA	Royaume-Uni (adéquation)
Functional Software, Inc. (Sentry)	Surveillance des erreurs	USA (DPF)
Ory Corp	Identité et authentification (Kratos)	Allemagne (EEE)

La liste complète et à jour, y compris les dates d'ajout, est publiée à l'adresse /fr/sub-processors.

Paddle agit en qualité de Merchant of Record et contrôle de manière indépendante les données de paiement à des fins de facturation et de conformité fiscale. Nous ne vendons pas vos données personnelles à des tiers.

Lorsque les mécanismes de transfert ci-dessus reposent sur des décisions d'adéquation ou sur le Data Privacy Framework UE-États-Unis, les Clauses Contractuelles Types (Module 2 de la décision d'exécution (UE) 2021/914) s'appliquent en mécanisme de repli en cas de cessation de ces mécanismes.

6. Transferts internationaux de données

Lorsque vos données personnelles sont transférées en dehors de l'Espace économique européen (EEE), nous veillons à ce que des garanties adéquates soient mises en place. Celles-ci incluent les transferts vers des pays bénéficiant d'une décision d'adéquation de la Commission européenne, ou le recours aux Clauses Contractuelles Types (CCT) approuvées par la Commission européenne au titre de l'article 46(2)(c) du RGPD.

Vous pouvez demander une copie des garanties applicables en nous contactant à l'adresse privacy@blackcatsecurity.fr.

7. Durées de conservation

Nous conservons vos données personnelles uniquement pendant la durée nécessaire à l'accomplissement des finalités pour lesquelles elles ont été collectées, ou conformément aux obligations légales applicables. Les durées de conservation suivantes s'appliquent :

Données de compte : conservées pendant la durée de la relation contractuelle, puis 3 ans après la fin du contrat pour la gestion d'éventuelles réclamations (prescription civile de droit commun).
Journaux d'utilisation : conservés pendant 6 mois à compter de la date de collecte, conformément aux recommandations de la CNIL sur la durée de conservation des journaux d'accès et de sécurité.
Documents de facturation : conservés pendant 10 ans conformément au droit fiscal et commercial français (article L102 B du Livre des procédures fiscales et article L123-22 du Code de commerce).
Tickets de support : conservés pendant 3 ans après leur résolution.

À l'expiration de la durée de conservation applicable, vos données sont supprimées de manière sécurisée ou anonymisées.

8. Vos droits

En vertu du RGPD et de la législation française applicable en matière de protection des données, vous disposez des droits suivants concernant vos données personnelles :

Droit d'accès : obtenir la confirmation que vos données sont traitées et en demander une copie.
Droit de rectification : demander la correction de données inexactes ou incomplètes.
Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données lorsque le traitement n'est plus nécessaire ou que vous retirez votre consentement.
Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime, y compris à des fins de prospection commerciale.
Droit à la limitation : demander la limitation du traitement de vos données dans certaines circonstances.
Droit de retirer son consentement : lorsque le traitement est fondé sur le consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement effectué avant le retrait (article 7(3) du RGPD).
Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou vous affectant de manière significative de façon similaire (article 22 du RGPD). Voir la section 10 sur notre prise de décision automatisée.

Si vous estimez que vos droits n'ont pas été respectés, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés, www.cnil.fr) ou de l'autorité de contrôle de l'État membre de votre résidence habituelle, de votre lieu de travail ou du lieu où la violation aurait été commise, conformément à l'article 77 du RGPD.

9. Exercice de vos droits

Vous pouvez exercer l'un quelconque des droits décrits ci-dessus en contactant notre Délégué à la Protection des Données à l'adresse privacy@blackcatsecurity.fr, ou en soumettant une demande via notre formulaire en ligne à l'adresse /fr/dsr. Veuillez fournir des informations suffisantes pour permettre votre identification et préciser le(s) droit(s) que vous souhaitez exercer.

Nous répondrons à votre demande dans un délai de 30 jours à compter de sa réception. Dans des circonstances exceptionnelles, ce délai peut être prolongé de deux mois supplémentaires, auquel cas nous vous en informerons dans le délai initial de 30 jours.

10. Prise de décision automatisée

Notre service procède à une évaluation automatisée des risques de sécurité des configurations SaaS au moyen d'une évaluation de règles déterministe (Open Policy Agent / Rego). Il ne s'agit pas d'un système d'intelligence artificielle au sens du règlement (UE) 2024/1689 (« règlement IA »), aucun modèle d'apprentissage automatique n'étant utilisé pour inférer les sorties à partir des entrées. Cette évaluation hiérarchise les recommandations de remédiation et ne produit pas d'effets juridiques ni d'effets significatifs similaires sur les personnes. Si des fonctionnalités fondées sur l'IA sont introduites à l'avenir, cette section sera mise à jour et les obligations de transparence de l'article 50 du règlement IA (applicable à compter du 2 août 2026) seront respectées.

11. Protection des mineurs

Nos services ne s'adressent pas aux personnes de moins de 15 ans (âge du consentement numérique en France au titre de l'article 45 de la loi n° 78-17 du 6 janvier 1978, dérogeant à l'article 8(1) du RGPD). Nous ne collectons pas sciemment de données personnelles auprès de mineurs de moins de 15 ans. Si nous avons connaissance d'une collecte involontaire de données d'un mineur de moins de 15 ans, nous prendrons les mesures nécessaires pour supprimer ces données dans les meilleurs délais. Si vous pensez qu'un mineur de moins de 15 ans nous a fourni des données personnelles, veuillez nous contacter à l'adresse privacy@blackcatsecurity.fr.

12. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de confidentialité afin de refléter l'évolution de nos pratiques, des exigences légales ou des recommandations réglementaires. Les modifications substantielles vous seront notifiées par e-mail au moins 30 jours avant leur entrée en vigueur. Nous vous encourageons à consulter régulièrement cette page pour prendre connaissance des dernières informations relatives à nos pratiques en matière de protection de la vie privée.

Historique des modifications

2026-04-18 — Lien vers le formulaire en ligne /fr/dsr pour les demandes des personnes concernées (MVP mailto en attendant l'endpoint backend /v1/dsr).
2026-04-18 — Liste des sous-traitants étendue (Sentry, Ory) ; liste canonique publiée sur /fr/sub-processors.
2026-04-18 — Précision : la notation automatisée repose sur des règles déterministes (Rego) et ne constitue pas un système d'IA au sens du règlement (UE) 2024/1689.
2026-04-18 — Durée de conservation des journaux d'utilisation ramenée de 12 à 6 mois (recommandations CNIL).
2026-04-18 — Distinction prospection B2C (consentement) vs prospection B2B (intérêt légitime, recommandations CNIL).
2026-04-18 — Reconnaissance du droit de saisir l'autorité de contrôle locale (art. 77 RGPD).
2026-04-18 — Ajout des droits art. 7(3) (retrait du consentement) et art. 22 (décision automatisée) à la liste des droits.
2026-04-18 — Ajout d'une mention explicite de repli vers les CCT sous le tableau des sous-traitants.
2026-04-18 — Seuil d'âge des mineurs corrigé à 15 ans (LIL art. 45).