Politique de confidentialité

Le responsable de traitement est WATIZI, société par actions simplifiée (SAS) au capital social de 1 000 €, immatriculée au RCS de Bordeaux sous le numéro SIREN 102 877 412 (SIRET du siège : 102 877 412 00019), dont le siège social est situé 29 B Chemin de la Tuilière, 33610 Cestas, France. Numéro de TVA intracommunautaire : FR73102877412. SecurSSH est une marque exploitée par WATIZI. Pour toute question relative à la protection des données, contactez notre délégué à la protection des données à dpo@securssh.com.

• Données de compte - adresse e-mail, vérifieur de mot de passe maître haché (PBKDF2 100 000 itérations), appartenance d'équipe.
• Contenu du coffre - identifiants, fiches d'hôtes, snippets, intégralement chiffrés côté client. Le serveur ne stocke que du texte chiffré et ne peut pas accéder au contenu en clair des coffres.
• Journal d'audit - métadonnées de connexion : horodatage, acteur, identifiant d'hôte et type d'action. La rétention est de 24 mois sur les plans Team et illimitée sur les contrats Enterprise.
• Facturation - gérée par Stripe. Nous ne stockons jamais les numéros complets de carte bancaire (PAN) ; seuls les identifiants de facturation, les métadonnées de facture et la référence client sont conservés de notre côté.
• Analytique d'usage - Google Tag Manager (conteneur GTM-P7PRZ37K) et Google Analytics 4. Les événements sont anonymisés par défaut (troncature IP, aucune fonctionnalité publicitaire activée).

• Exécution du contrat (Article 6(1)(b)) - gestion du compte, synchronisation des coffres, facturation.
• Intérêt légitime (Article 6(1)(f)) - journal d'audit de sécurité, prévention de la fraude, détection des abus.
• Consentement (Article 6(1)(a)) - cookies analytiques et autres cookies non essentiels.
• Obligation légale (Article 6(1)(c)) - registres fiscaux, comptabilité, audits réglementaires ou de conformité.

• Compte actif - les données sont conservées tant que le compte existe.
• Après suppression - délai de grâce de 30 jours couvrant la rotation des sauvegardes, après quoi les systèmes de production et de sauvegarde sont définitivement purgés.
• Journal d'audit - rétention par plan : 24 mois (Team), illimitée (Enterprise) ou selon le contrat.
• Données de facturation - 10 ans, conformément aux obligations comptables et fiscales européennes.

• Droit d'accès (Article 15) - export complet des données disponible sur demande.
• Droit de rectification (Article 16) - directement disponible depuis le panneau de paramètres du compte.
• Droit à l'effacement (Article 17) - intégré au produit sous forme de suppression de compte en un clic. C'est une fonctionnalité livrée, pas une procédure manuelle.
• Droit à la portabilité (Article 20) - export JSON chiffré du coffre et des données de compte.
• Droit d'opposition / de limitation du traitement (Article 21).
• Droit d'introduire une réclamation auprès d'une autorité de contrôle - par exemple la CNIL (France), le Datatilsynet (Danemark), le BfDI (Allemagne), l'AP (Pays-Bas), ou l'autorité de contrôle de votre État membre de résidence.

Pour exercer l'un de ces droits, contactez privacy@securssh.com.

Les données personnelles sont stockées et traitées exclusivement au sein de l'Union européenne. Les charges de production s'exécutent depuis des régions de centres de données européennes (Francfort, Amsterdam) sur une infrastructure dont le siège est en UE.

SecurSSH ne transfère pas de données personnelles vers les États-Unis pour stockage. À la suite de l'arrêt SCHREMS II, cela écarte l'incertitude juridique liée aux transferts hors EEE.

Les sous-traitants sont listés à la section 8 ci-dessous. Tout changement futur de sous-traitant susceptible d'affecter la localisation des données est annoncé au moins 30 jours à l'avance.

• Strictement nécessaires - cookie de session, jeton CSRF, préférence de langue. Ils sont requis pour le fonctionnement du Service et ne nécessitent pas de consentement.
• Analytiques - Google Tag Manager et Google Analytics 4. Chargés uniquement après consentement.
• Aucun cookie marketing tiers n'est déployé sur le site web ou le produit SecurSSH.

• Stripe Payments Europe Ltd. (Irlande) - traitement des paiements.
• Google Ireland Ltd. (Irlande - représentant UE de Google) - analytique via Google Tag Manager et Google Analytics 4.
• Fournisseur d'hébergement européen — détails communiqués sous NDA - hébergement de production et sauvegardes.
• Fournisseur d'email transactionnel européen — détails communiqués sous NDA - distribution d'e-mails transactionnels.

Un accord de traitement des données (DPA) est disponible sur demande pour les Clients sur les plans Team et Enterprise. Le DPA inclut les Clauses Contractuelles Types (CCT) lorsqu'applicables, la liste à jour des sous-traitants, les durées de conservation, et les mesures de sécurité alignées sur l'article 28 du RGPD.

Pour demander le DPA, écrivez à dpa@securssh.com.

• Chiffrement de bout en bout AES-GCM du contenu des coffres, exécuté côté client.
• PBKDF2 avec 100 000 itérations pour la dérivation de clé du mot de passe maître.
• Chiffrement en transit via TLS 1.3 sur tous les points d'accès SecurSSH.
• Journal d'audit infalsifiable ; toute modification non autorisée rompt la chaîne et est détectable.
• Revues de sécurité internes régulières et contrôles d'accès au moindre privilège pour les opérateurs SecurSSH.
• Roadmap : audit SOC 2 Type II prévu pour le S2 2026 (actuellement non certifié - non revendiqué comme acquis).

Le Service est destiné à un usage professionnel et n'est pas dirigé vers des utilisateurs de moins de 16 ans. SecurSSH ne collecte pas sciemment de données personnelles d'enfants de moins de 16 ans. Si vous pensez qu'un enfant a fourni des données personnelles, contactez-nous afin que nous puissions supprimer les enregistrements concernés.

Les modifications substantielles de cette Politique de confidentialité sont notifiées au moins 30 jours avant leur entrée en vigueur, par e-mail aux Clients actifs et via une bannière intégrée au produit. Les modifications mineures (typos, clarifications) sont publiées avec une date de révision actualisée.

Questions générales relatives à la protection des données : privacy@securssh.com.

Délégué à la protection des données : dpo@securssh.com.