Politique de Confidentialité

ComplyDev (« nous », « notre ») s'engage à protéger la vie privée de ses utilisateurs. Cette Politique de Confidentialité décrit comment nous collectons, utilisons et protégeons vos données personnelles lorsque vous utilisez notre plateforme d'évaluation de cybersécurité.

ComplyDev

Site web : https://complydev.com — E-mail : privacy@complydev.com

Nous utilisons vos données pour :

• Fourniture du service : Générer votre rapport de conformité personnalisé
• Communication : Communications futures (si vous fournissez votre email)
• Marketing (avec consentement uniquement) : Envoyer des newsletters et mises à jour réglementaires
• Sécurité : Prévenir les abus et cyberattaques

Le traitement des données est fondé sur :

• Exécution du contrat (Art. 6.1.b RGPD) : Pour fournir le service demandé
• Consentement (Art. 6.1.a RGPD) : Pour les communications marketing (optionnel)
• Intérêt légitime (Art. 6.1.f RGPD) : Pour la sécurité et la prévention de la fraude

• Réponses au questionnaire : Automatiquement supprimées 7 jours après achèvement
• Rapport généré : Disponible 7 jours via lien signé, puis supprimé
• Données entreprise : Conservées jusqu'au retrait du consentement ou demande de suppression
• Données techniques (IP, logs) : Conservées 30 jours pour la sécurité

Vos données peuvent être partagées avec :

• Fournisseur IA (DeepSeek) : Pour traiter les réponses (accord DPA en place)
• Stockage (Cloudflare R2) : Pour stocker temporairement les PDF (accord DPA en place)
• Base de données (Supabase) : Pour la gestion des données (accord DPA en place)
• Analytics (Plausible Analytics) : Analyse web sans cookies, respectueuse de la vie privée (hébergée dans l'UE, aucune donnée personnelle collectée)
• Performance Monitoring (Vercel Analytics) : Métriques de performance sans cookies (aucune donnée personnelle collectée)
• Error Monitoring (Sentry) : Suivi des erreurs pour la fiabilité du service (accord DPA en place, peut capturer le contexte technique des erreurs)

Nous ne vendons ni ne partageons vos données avec des tiers à des fins commerciales.

Certains de nos fournisseurs sont situés en dehors de l'UE. En particulier, DeepSeek (notre fournisseur d'IA) est basé en Chine, qui ne dispose pas d'une décision d'adéquation de l'UE. Pour ces transferts, nous nous appuyons sur les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne, complétées par des mesures techniques supplémentaires (chiffrement en transit, minimisation des données, pas de stockage persistant par le fournisseur) conformément à la décision Schrems II. D'autres fournisseurs (Supabase, Sentry) traitent les données au sein de l'UE ou dans des pays bénéficiant de décisions d'adéquation.

Vous avez le droit de :

• Accès (Art. 15) : Obtenir une copie de vos données
• Rectification (Art. 16) : Corriger des données inexactes
• Effacement (Art. 17) : Demander la suppression de vos données
• Limitation (Art. 18) : Restreindre le traitement
• Portabilité (Art. 20) : Recevoir vos données dans un format structuré
• Opposition (Art. 21) : S'opposer au traitement pour des motifs légitimes
• Retrait du consentement (Art. 7.3) : Retirer le consentement marketing à tout moment

Pour exercer vos droits, écrivez-nous à privacy@complydev.com. Nous vous répondrons dans un délai de 30 jours conformément au RGPD.

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

• Chiffrement TLS/SSL pour les transmissions
• Chiffrement au repos pour le stockage
• Contrôles d'accès basés sur les rôles
• Journaux d'audit et surveillance
• Sauvegardes régulières et reprise après sinistre

Nous utilisons uniquement des cookies techniques strictement nécessaires : un cookie de session d'authentification (Supabase), un jeton de protection CSRF et un cookie de préférence de langue (NEXT_LOCALE). Nous n'utilisons aucun cookie de suivi, d'analyse ou de publicité. Nos analyses web sont fournies par Plausible Analytics, qui fonctionne sans cookies et est conforme au RGPD par conception.

Notre service est destiné aux entreprises et ne s'adresse pas aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs.

Nous pouvons mettre à jour cette Politique de Confidentialité périodiquement. L'utilisation continue du service après les modifications constitue l'acceptation de la nouvelle politique.

En cas de violation de données personnelles présentant un risque pour vos droits et libertés, nous notifierons l'Autorité de Protection des Données compétente dans un délai de 72 heures conformément à l'Art. 33 RGPD. Si la violation est susceptible d'entraîner un risque élevé, nous informerons également les utilisateurs concernés sans retard injustifié (Art. 34 RGPD).

Compte tenu de la nature et de l'ampleur de nos activités de traitement des données, ComplyDev n'est pas tenue de désigner un Délégué à la Protection des Données en vertu de l'Art. 37 RGPD. Pour toute demande relative à la vie privée, vous pouvez nous contacter directement à privacy@complydev.com.

Vous avez le droit de déposer une plainte auprès de votre Autorité nationale de Protection des Données. Pour les utilisateurs en Italie, l'autorité compétente est le Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it).

Notre service utilise l'intelligence artificielle (DeepSeek) pour analyser le profil de votre entreprise et identifier les réglementations de cybersécurité applicables. L'IA évalue le secteur, la taille, le pays et la description de votre entreprise pour déterminer quelles réglementations s'appliquent et générer un rapport d'analyse des écarts.

Ce traitement est basé sur une logique automatisée mais ne produit pas de décisions juridiquement contraignantes. Le résultat est de nature informative et consultative. Vous avez le droit de demander un examen humain de toute évaluation générée par l'IA en nous contactant à privacy@complydev.com.

Pour toute question concernant cette Politique de Confidentialité ou le traitement de vos données, écrivez-nous à privacy@complydev.com.