Politique de confidentialité

Dernière mise à jour : 16 mai 2026

La présente politique décrit comment BreachVex (« BreachVex », « nous ») collecte, traite et protège les données personnelles lorsque vous interagissez avec notre site breachvex.com et les services associés. Nous respectons le Règlement général sur la protection des données (RGPD — Règlement UE 2016/679) et la loi française Informatique et Libertés.

1. Responsable de traitement

Le responsable du traitement est BreachVex, opérant depuis Paris, France. Vous pouvez contacter notre responsable de la protection des données à privacy@breachvex.com. Pour toute autre demande : contact@breachvex.com.

2. Données que nous collectons

Nous ne collectons que les données strictement nécessaires :

• Adresse email — lors de l'inscription à la liste d'attente, d'une demande de démonstration ou d'un contact.
• Adresse IP — stockée sous forme de hachage unidirectionnel (SHA-256, salé) pour la limitation de débit et la prévention des abus ; conservée 7 jours puis supprimée.
• User-agent du navigateur — utilisé par nos statistiques anonymisées (aucun suivi inter-sites, aucun cookie publicitaire).
• Métadonnées de soumission — page source, langue, et une chaîne de parrainage facultative que vous choisissez de fournir.
• Engagement email — événements d'ouverture et de clic des emails transactionnels (via notre sous-traitant Resend), utilisés pour mesurer la délivrabilité.

3. Base légale du traitement

Nous traitons vos données sur l'une des bases légales suivantes de l'article 6 du RGPD :

• Consentement (Art. 6.1.a) — lorsque vous vous inscrivez à la liste d'attente ou aux communications marketing. Vous pouvez retirer votre consentement à tout moment via le lien de désinscription dans nos emails ou en écrivant à privacy@breachvex.com.
• Intérêt légitime (Art. 6.1.f) — pour exploiter, sécuriser et améliorer nos services ; détecter et prévenir la fraude, les abus et les incidents de sécurité ; et répondre à vos demandes.
• Obligation légale (Art. 6.1.c) — pour conserver les enregistrements imposés par le droit français et européen (comptabilité notamment).

4. Durée de conservation

• Inscriptions liste d'attente — jusqu'à 24 mois après l'inscription, ou jusqu'à votre désinscription (selon la première occurrence).
• Journaux de rate-limit et sécurité — 7 jours glissants, puis suppression.
• Statistiques anonymisées — 14 mois maximum (recommandation CNIL).
• Documents clients / facturation — 10 ans (Code de commerce, Art. L. 123-22).

5. Vos droits RGPD

En vertu des articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Accès (Art. 15) — obtenir une copie des données vous concernant.
• Rectification (Art. 16) — corriger des données inexactes ou incomplètes.
• Effacement / droit à l'oubli (Art. 17) — demander la suppression lorsque la loi l'autorise.
• Limitation (Art. 18) — restreindre certains traitements dans les cas prévus.
• Portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine.
• Opposition (Art. 21) — vous opposer à un traitement fondé sur l'intérêt légitime ou la prospection.
• Décision automatisée (Art. 22) — nous ne prenons actuellement aucune décision vous concernant fondée exclusivement sur un traitement automatisé.

Pour exercer un droit, écrivez à privacy@breachvex.com. Nous répondons sous un mois (Art. 12.3). Vous pouvez également introduire une réclamation auprès de la CNIL à www.cnil.fr.

6. Destinataires et sous-traitants

Nous ne partageons vos données qu'avec le strict minimum de sous-traitants nécessaires :

• Resend (envoi d'emails transactionnels) — opère sous un accord de sous-traitance (DPA).
• Hébergement PostgreSQL — base managée localisée dans l'UE (données au repos dans l'Espace économique européen).
• Vercel Inc. (hébergement du site). Adresse d'hébergement communiquée sur demande à privacy@breachvex.com.
• PostHog (analytique anonymisée, région UE) — opère sous un accord de sous-traitance (DPA). Contacté uniquement après consentement explicite via la bannière cookies.

7. Transferts internationaux

Par défaut, vos données sont stockées et traitées dans l'Espace économique européen (EEE). Lorsqu'un sous-traitant (par ex. Vercel) est situé hors EEE, les transferts sont encadrés par les Clauses Contractuelles Types de la Commission européenne (Décision 2021/914) et les garanties complémentaires requises par l'arrêt Schrems II.

8. Mineurs

Nos services ne s'adressent pas aux personnes de moins de 16 ans et nous ne collectons pas sciemment leurs données. Si vous estimez qu'un mineur nous a transmis des données, écrivez à privacy@breachvex.com et nous procéderons à leur suppression immédiate.

9. Sécurité

Nous appliquons des mesures techniques et organisationnelles adaptées au risque (Art. 32 RGPD) : chiffrement en transit (TLS 1.3), chiffrement au repos, principe du moindre privilège, journalisation, procédures de réponse aux incidents. Aucun système n'est parfait — en cas de violation affectant vos données, nous notifierons la CNIL et les personnes concernées dans les 72 heures comme l'exigent les Art. 33-34.

10. Cookies et traceurs similaires

Nous distinguons strictement deux catégories de cookies. Nous n'utilisons aucun cookie publicitaire, de profilage ou de pistage inter-sites.

• Strictement nécessaires — indispensables au fonctionnement du site. Comprend le cookie de consentement (bvx_consent_v1, 1 an), la session, le jeton CSRF et la préférence de langue. Exempts de consentement au titre de l'Art. 5(3) de la directive ePrivacy.
• Analytique (PostHog, région UE) — mesure d'usage anonymisée hébergée sur serveurs UE. Activée uniquement après opt-in explicite via la bannière cookies. Événements bruts conservés 90 jours, métriques agrégées 12 mois. Aucune publicité, aucun pistage inter-sites. Sous-traitant : PostHog, accord de sous-traitance (DPA) RGPD disponible.

Vous pouvez retirer ou modifier votre consentement à tout moment via le bouton Gérer les préférences cookies ci-dessous, ou en supprimant le cookie bvx_consent_v1 dans votre navigateur.

11. Modifications de la politique

Cette politique peut évoluer avec le service. En cas de modification substantielle, nous préviendrons les abonnés à la liste d'attente et les clients actifs par email avant son entrée en vigueur. La version en vigueur est datée ci-dessous.

12. Contact

Responsable de la protection des données : privacy@breachvex.com · Contact général : contact@breachvex.com.