Politique de confidentialité
Vers la version allemande | Aller à la version anglaise
Politique de confidentialité
Situation au 8 mai 2026
La présente politique de confidentialité est disponible en allemand et en anglais. En cas de divergence d'interprétation, la version allemande fait foi.
§ 1 Responsable
Le responsable au sens de l'article 4, paragraphe 7, du règlement général sur la protection des données (RGPD) et de l'article 5 de la loi sur les services numériques (DDG) est :
Patrick Schlesinger
Parkstraße 19, 80339 Munich, Allemagne
E-mail :reportedip
§ 2 Délégué à la protection des données
Conformément à l'article 37 du RGPD et à l'article 38 de la BDSG, la désignation d'un délégué à la protection des données n'est pas obligatoire. Veuillez adresser vos demandes relatives à la protection des données directement à [email protected].
§ 3 Informations générales sur le traitement des données
(1) Nous traitons les données à caractère personnel uniquement dans la mesure où cela est nécessaire pour assurer le bon fonctionnement de la plateforme ainsi que la mise à disposition de nos contenus et services. Le traitement n'a généralement lieu qu'avec le consentement de l'utilisateur (art. 6, al. 1, let. a du RGPD), aux fins de l'exécution d'un contrat (let. b), pour respecter des obligations légales (let. c) ou sur la base d'intérêts légitimes (let. f).
(2) Les données à caractère personnel ne sont conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou tant que des obligations légales de conservation s'appliquent.
§ 4 Collecte et traitement des données lors de la consultation du site web
Lors de l'appel de reportedip.de Notre hébergeur Hetzner ainsi que le service CDN en amont Cloudflare collectent automatiquement des informations concernant
a) Adresse IP de l'appareil connecté,
b) Date et heure de l'accès,
c) URL demandée et statut HTTP,
d) Volume de données transférées,
e) URL de référence (si transmise par le navigateur),
f) Chaîne User-Agent (si transmise par le navigateur).
La base juridique est l'article 6, paragraphe 1, point f), du RGPD ; l'intérêt légitime réside dans le fonctionnement sécurisé du site web, la prévention des accès abusifs (protection contre les attaques DDoS) et le diagnostic des erreurs. Les données sont supprimées ou anonymisées 14 jours après l'accès.
§ 5 Inscription et gestion du compte
(1) Lors de l'inscription, nous recueillons les informations obligatoires suivantes : adresse e-mail, mot de passe choisi (haché), nom d'affichage. Le prénom et le nom de famille ainsi qu'une adresse de facturation sont recueillis à titre facultatif, dans la mesure où l'utilisateur souscrit un abonnement payant.
(2) L'inscription s'effectue selon la procédure de double confirmation : après avoir envoyé le formulaire, vous recevrez un e-mail de confirmation. Ce n'est qu'après avoir cliqué sur le lien de confirmation que votre compte sera activé.
(3) La base juridique est l'article 6, paragraphe 1, point b), du RGPD (négociation et exécution d'un contrat).
(4) Les données d'inscription sont conservées jusqu'à la suppression du compte. À la demande de l'utilisateur, le compte est intégralement supprimé ; ne sont pas concernées par cette suppression les données que nous sommes tenus de conserver en vertu d'obligations légales (notamment l'article 147 du Code général des impôts allemand (AO) et l'article 257 du Code de commerce allemand (HGB) — obligation de conservation des factures pendant 10 ans à des fins fiscales).
§ 6 Paiement via Stripe
(1) Les paiements relatifs aux abonnements et aux achats groupés sont traités par Stripe Payments Europe Ltd., sise 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande. Stripe est un établissement de paiement agréé dans l'Espace économique européen.
(2) Dans le cadre du processus de paiement Stripe, les données suivantes sont transmises à Stripe : nom, adresse e-mail, adresse de facturation, numéro d'identification TVA (le cas échéant, pour les transactions B2B), données relatives au moyen de paiement (carte de crédit, mandat SEPA). Stripe est le responsable du traitement de ces données.
(3) Nous recevons de Stripe des données de confirmation pseudonymisées (identifiant client, identifiant d'abonnement, informations de facturation et fiscales). Nous ne conservons ni ne traitons les données complètes relatives aux cartes bancaires ou aux comptes bancaires.
(4) Un contrat de sous-traitance a été conclu avec Stripe conformément à l'article 28 du RGPD. Politique de confidentialité de Stripe : https://stripe.com/de/privacy.
(5) La base juridique est l'article 6, paragraphe 1, point b), du RGPD (exécution du contrat).
§ 7 Utilisation de l'API REST et des rapports IP
(1) Lors de l'utilisation de l'API REST, nous enregistrons la clé API utilisée, l'horodatage de l'appel ainsi que le point de terminaison sollicité afin de respecter les quotas quotidiens par niveau d'accès et de détecter les abus (art. 6, al. 1, let. b et f du RGPD). Les journaux API sont conservés pendant 90 jours.
(2) Lors d'un signalement d'adresse IP, l'adresse IP signalée, la catégorie de menace sélectionnée, l'horodatage et (facultativement) un commentaire sont enregistrés. Le traitement des adresses IP signalées constitue un traitement de données à caractère personnel de tiers au sens de l'arrêt Breyer de la CJUE (C-582/14).
(3) La base juridique du traitement des adresses IP signalées est l'article 6, paragraphe 1, point f), du RGPD. Les intérêts légitimes visés sont la mise en place d'un système collectif de détection des menaces, la prévention des attaques, l'enquête sur les incidents de sécurité et la mise à disposition d'une liste noire dynamique pour la communauté. Nous ne procédons pas à l'identification du titulaire de l'adresse IP signalée ; une réidentification ne serait possible qu'au prix d'un effort disproportionné consistant à saisir les fournisseurs de services de télécommunications compétents, ce que nous ne faisons pas.
(4) Les données de réputation relatives aux adresses IP signalées sont stockées de manière permanente sous forme pseudonymisée dans la base de données de sécurité ; les signalements plus anciens sont anonymisés au bout de 12 mois (réduction de la longueur du hachage, suppression de la référence concrète au signalant).
§ 8 Niveau « honeypot » et rapports automatisés
Les opérateurs de honeypots transmettent automatiquement des rapports IP. Ces rapports sont soumis aux mêmes bases juridiques et délais de conservation que les rapports manuels visés à l'article 7. Les rapports de honeypots se voient attribuer un poids plus important dans le calcul du score de confiance, car ils proviennent de systèmes spécialement configurés qui ne reçoivent aucun trafic légitime.
§ 9 Hive-Plugin (Réseau communautaire)
(1) Lorsque les administrateurs de sites utilisent le plugin open source reportedIP en mode « Community Network » sur leurs propres sites WordPress, le plugin transmet les données suivantes à notre API REST :
a) l'adresse IP d'un pirate,
b) Catégorie de menace,
c) Horodatage,
d) facultatif : commentaire / description de l'incident,
e) Clé API de l'exploitant du site (dans l'en-tête HTTP) X-Key).
(2) En mode « Local Shield », aucune donnée n'est transmise à reportedip.de.
(3) En cas d'utilisation de la fonction de relais de courriels et de SMS (à partir de la version Professional), les données suivantes sont également transmises :
a) Relais de messagerie : adresse e-mail du destinataire, objet, corps du message, URL du site, adresse de réponse facultative,
b) SMS-Relay : numéro de téléphone du destinataire (au format E.164 ; l'envoi s'effectue en principe dans le monde entier, le fournisseur se réserve toutefois le droit d'imposer des restrictions pour certains pays (voir les conditions d'utilisation, § 9)), code du modèle (par ex. 2fa_login), variables de modèle (code de six à huit caractères, durée de validité, langue), URL du site.
(4) Lors de l'utilisation de la fonction de relais, nous agissons en tant que sous-traitant au sens de l'article 28 du RGPD ; l'exploitant du site reste le responsable du traitement. Un contrat de sous-traitance est disponible au téléchargement au format PDF sur le portail client.
§ 10 Sous-traitants
Nous faisons appel aux sous-traitants suivants :
| Fournisseur | Siège | Objectif | Catégories de données |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Irlande | Paiements, factures, impôts, Portail client | Nom, adresse e-mail, adresse postale, numéro d'identification fiscale, informations de paiement |
| Avernis (api.avernis.com) | Allemagne | Envoi de SMS (pour le compte de l'exploitant du site via Relay) | Numéro de téléphone, Contenu du modèle |
| Mailjet (Sinch SAS) | France | Envoi postal (sélection) | Destinataire, Objet, Corps du message |
| seven.io | Allemagne | Envoi postal (sélection) | Destinataire, Objet, Corps du message |
| sevDesk GmbH | Allemagne | Comptabilité, synchronisation des factures | Données relatives aux factures et aux pièces justificatives |
| Hetzner Online GmbH | Allemagne | Hébergement | Fichiers journaux du serveur (adresse IP, heure, URL) |
| Cloudflare, Inc. | États-Unis / Allemagne (EU-Edge) | CDN, protection contre les attaques DDoS | Adresse IP, agent utilisateur, en-tête HTTP |
| GitHub, Inc. (Microsoft) | États-Unis | Déploiement des mises à jour des plugins | Demandes de mise à jour anonymes |
| MaxMind, Inc. | États-Unis (base de données GeoLite2 locale) | Géolocalisation IP — aucun transfert de données par requête, les données ne quittent pas l'UE | – |
| PBC anthropique (facultatif, uniquement si l'outil d'IA d'assistance est activé) | États-Unis | Assistance par chatbot (si activée ; par défaut : désactivée) | Chat textuel |
Un contrat de sous-traitance a été conclu avec chaque sous-traitant, conformément à l'article 28 du RGPD. Les contrats de sous-traitance correspondants peuvent être fournis sur demande.
§ 11 Transferts vers des pays tiers
(1) La plupart de nos sous-traitants sont établis dans l'Espace économique européen (EEE). Dans le cas de Cloudflare, GitHub, MaxMind et Anthropic, les données sont transférées vers les États-Unis.
(2) Pour ces transferts, nous nous appuyons sur
a) le cadre de protection des données UE-États-Unis (DPF), pour autant que le fournisseur concerné soit certifié,
b) à titre subsidiaire, les clauses contractuelles types de la Commission européenne (décision 2021/914), complétées par des mesures techniques et organisationnelles supplémentaires,
c) Cloudflare achemine les requêtes provenant d'Europe via des nœuds périphériques de l'UE ; un traitement aux États-Unis n'a lieu que dans des cas exceptionnels.
(3) Aucun transfert de données vers un pays tiers via MaxMind n'est effectué lors d'une recherche d'adresse IP : nous utilisons la base de données GeoLite2 exclusivement en local, sur nos serveurs situés dans l'Union européenne.
§ 12 Cookies et gestionnaire de consentement
(1) Nous utilisons des cookies techniquement nécessaires (cookie de session pour la connexion, protection CSRF). Conformément à l'article 25, paragraphe 2, de la loi allemande sur les services de télécommunication (TDDDG), aucun consentement n'est requis pour ces cookies ; la base juridique est l'article 6, paragraphe 1, point f), du RGPD.
(2) Les cookies facultatifs (statistiques, marketing) ne sont installés qu'après le consentement explicite de l'utilisateur (art. 6, al. 1, let. a du RGPD en liaison avec l'art. 25, al. 1 de la TDDDG). La gestion des consentements s'effectue via le gestionnaire de consentement intégré au plugin reportedIP. Le consentement peut être révoqué à tout moment avec effet pour l'avenir, soit via le gestionnaire de consentement, soit dans le tableau de bord sous /dashboard/#privacy.
(3) Cloudflare installe le cookie __cf_bm (Gestion des bots) pendant 30 minutes au maximum afin de contrer les attaques automatisées (nécessaire d'un point de vue technique).
§ 13 Délais de conservation
| Catégorie de données | Conservation |
|---|---|
| Fichiers journaux du serveur (Hetzner / Cloudflare) | 14 jours |
| Journaux API | 90 jours |
| Journal des événements Stripe (données de paiement via webhook) | 90 jours |
| Journal d'audit (actions des extensions) | 365 jours |
| Journaux de relais de courrier électronique et de SMS | 30 jours |
| File d'attente de relais de courrier électronique et de SMS | 90 jours |
| Données du compte | Suppression du compte |
| Factures (loi sur la TVA / code fiscal) | 10 ans |
| Données de réputation des adresses IP signalées | pseudonymisation permanente (12 mois de référence au journaliste, puis anonymisation) |
| Jeton de dispositif de confiance (authentification à deux facteurs) | 30 jours à compter de la dernière utilisation |
§ 14 Droits des personnes concernées
(1) Vous disposez à notre égard des droits suivants concernant les données à caractère personnel vous concernant :
a) Droit d'accès (art. 15 du RGPD),
b) Droit de rectification (art. 16 du RGPD),
c) Droit à l'effacement (art. 17 du RGPD),
d) Droit à la limitation du traitement (art. 18 du RGPD),
e) Droit à la portabilité des données (art. 20 du RGPD),
f) Droit d'opposition au traitement (art. 21 du RGPD),
g) Droit de retirer un consentement donné (art. 7, al. 3 du RGPD).
(2) Vous pouvez envoyer vos demandes d'accès et de suppression via le tableau de bord (/dashboard/, Reiter « Compte ») via le portail en libre-service ou par e-mail sans formules particulières à [email protected] Nous répondons aux demandes dans les plus brefs délais, au plus tard dans un délai d'un mois à compter de leur réception.
(3) Droit de recours. Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle de la protection des données concernant le traitement de vos données à caractère personnel par nos soins. L'autorité compétente pour nous est :
Office bavarois de contrôle de la protection des données (BayLDA)
Promenade 18, 91522 Ansbach, Allemagne
Téléphone : +49 981 180093-0
E-mail : [email protected]
Site web : https://www.lda.bayern.de
§ 15 Sécurité du traitement
Nous mettons en œuvre les mesures techniques et organisationnelles (MTO) prévues à l'article 32 du RGPD afin de garantir un niveau de protection adapté au risque. Il s'agit notamment :
a) Chiffrement de la transmission (TLS 1.2+ / HTTPS), chiffrement des champs de données sensibles lors du stockage,
b) Contrôle d'accès via la gestion des rôles et des droits, stockage des mots de passe basé sur un hachage (bcrypt),
c) Authentification à deux facteurs pour les comptes administrateurs,
d) Sauvegardes avec réplication hors site chiffrée,
e) Journalisation des événements liés à la sécurité, analyse régulière,
f) Séparation des environnements de production, de préproduction et de développement,
g) Audits des sous-traitants conformément à l'art. 28, al. 3, let. h du RGPD.
Nous mettons une liste détaillée des TOM à la disposition des abonnés sur simple demande.
§ 16 Modifications de la présente politique de confidentialité
La présente politique de confidentialité sera mise à jour en cas de modification des activités de traitement ou des dispositions légales. Nous informerons les abonnés par e-mail de toute modification substantielle. La version en vigueur est disponible sur cette page.
Informations et contact
Responsable : Patrick Schlesinger, Parkstraße 19, 80339 Munich, Allemagne
E-mail :reportedip
Autorité de contrôle : Office bavarois de contrôle de la protection des données (BayLDA), Promenade 18, 91522 Ansbach
Cette version est en vigueur depuis le : 8 mai 2026
Politique de confidentialité
Entrée en vigueur : 8 mai 2026
La présente politique de confidentialité est disponible en allemand et en anglais. En cas de divergence d'interprétation, la version allemande fait foi.
§ 1 Responsable du traitement
Le responsable du traitement au sens de l'article 4, paragraphe 7, du règlement général sur la protection des données (RGPD) et de l'article 5 de la loi allemande sur les services numériques (DDG) est :
Patrick Schlesinger
Parkstraße 19, 80339 Munich, Allemagne
E-mail :reportedip
§ 2 Délégué à la protection des données
La désignation d'un délégué à la protection des données n'est pas obligatoire en vertu de l'article 37 du RGPD ou de l'article 38 de la BDSG. Veuillez adresser vos questions relatives à la protection des données directement à [email protected].
§ 3 Informations générales sur le traitement des données
(1) Nous traitons les données à caractère personnel uniquement dans la mesure où cela est nécessaire pour fournir une plateforme fonctionnelle ainsi que nos contenus et services. Le traitement s'effectue généralement sur la base du consentement de l'utilisateur (art. 6, par. 1, point a) du RGPD), pour l'exécution d'un contrat (point b), pour respecter des obligations légales (point c) ou sur la base d'intérêts légitimes (point f).
(2) Les données à caractère personnel ne sont conservées que pendant la durée nécessaire à la réalisation des finalités concernées ou tant que des obligations légales de conservation s'appliquent.
§ 4 Collecte de données lors de la consultation du site web
Lorsque vous accédez à reportedip.de, notre hébergeur Hetzner et le service CDN en amont Cloudflare collectent automatiquement :
a) l'adresse IP de l'appareil demandeur,
b) la date et l'heure de l'accès,
c) l'URL demandée et le statut HTTP,
d) le volume de données transférées,
e) l'URL de référence (si elle est transmise par le navigateur),
f) la chaîne « user-agent » (si elle est transmise par le navigateur).
La base juridique est l'article 6, paragraphe 1, point f), du RGPD ; l'intérêt légitime réside dans le bon fonctionnement du site web, la protection contre les accès abusifs (protection contre les attaques DDoS) et le diagnostic des erreurs. Les données sont supprimées ou anonymisées 14 jours après l'accès.
§ 5 Inscription et gestion du compte
(1) Lors de l'inscription, nous recueillons les informations obligatoires suivantes : adresse e-mail, mot de passe choisi (sous forme hachée), nom d'affichage. À titre facultatif, le prénom et le nom ainsi que l'adresse de facturation sont recueillis si l'utilisateur souscrit à une formule payante.
(2) L'inscription s'effectue selon la procédure du « double opt-in » : après avoir envoyé le formulaire, vous recevez un e-mail de confirmation ; le compte n'est activé qu'après avoir cliqué sur le lien de confirmation.
(3) La base juridique est l'article 6, paragraphe 1, point b), du RGPD (mesures précontractuelles et exécution du contrat).
(4) Les données d'inscription sont conservées jusqu'à la suppression du compte. Sur demande, le compte est intégralement supprimé ; les données que nous sommes tenus de conserver en vertu d'obligations légales (notamment l'article 147 du Code fiscal allemand (AO) et l'article 257 du Code de commerce allemand (HGB) — conservation des factures pendant 10 ans) ne sont pas concernées par cette suppression.
§ 6 Paiement via Stripe
(1) Les paiements relatifs aux abonnements et aux achats groupés sont traités par Stripe Payments Europe Ltd., sise 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irlande. Stripe est un établissement de paiement agréé dans l'Espace économique européen.
(2) Dans le cadre du processus de paiement Stripe, les données suivantes sont transmises à Stripe : nom, adresse e-mail, adresse de facturation, numéro de TVA le cas échéant (B2B), données relatives au mode de paiement (carte de crédit, mandat SEPA). Stripe est responsable du traitement de ces données à titre indépendant.
(3) Nous recevons de Stripe des données de confirmation pseudonymisées (identifiant client, identifiant d'abonnement, informations de facturation et fiscales). Nous ne conservons ni ne traitons les données complètes relatives aux cartes bancaires ou aux comptes bancaires.
(4) Un accord de sous-traitance au sens de l'article 28 du RGPD a été conclu avec Stripe. Politique de confidentialité de Stripe : https://stripe.com/privacy.
(5) La base juridique est l'article 6, paragraphe 1, point b), du RGPD (exécution d'un contrat).
§ 7 Utilisation de l'API REST et des rapports IP
(1) Lors de l'utilisation de l'API REST, nous enregistrons la clé API utilisée, l'horodatage de l'appel et le point de terminaison demandé afin d'appliquer les quotas quotidiens liés aux niveaux d'accès et de détecter les abus (art. 6, par. 1, let. b) et f) du RGPD). Les journaux de l'API sont conservés pendant 90 jours.
(2) Dans un rapport d'adresse IP, nous enregistrons l'adresse IP signalée, la catégorie de menace sélectionnée, l'horodatage et (facultativement) un commentaire. Le traitement des adresses IP signalées constitue un traitement de données à caractère personnel de tiers au sens de l'arrêt Breyer de la CJUE (C-582/14).
(3) La base juridique du traitement des adresses IP signalées est l’article 6, paragraphe 1, point f), du RGPD. Les intérêts légitimes en la matière sont la mise en place d’un système collectif de partage de renseignements sur les menaces, la défense contre les attaques, l’enquête sur les incidents de sécurité et la mise à disposition d’une liste noire dynamique pour la communauté. Nous n’identifions pas le titulaire de l’adresse IP signalée ; une réidentification ne serait possible qu’au prix d’un effort disproportionné consistant à contacter les opérateurs de télécommunications concernés, ce que nous ne faisons pas.
(4) Les données relatives à la réputation des adresses IP signalées sont conservées de manière permanente dans la base de données de sécurité sous une forme pseudonymisée ; les signalements plus anciens sont anonymisés au bout de 12 mois (tronquage du hachage, suppression de la référence concrète à l'auteur du signalement).
§ 8 Niveaux de honeypot et rapports automatisés
Les opérateurs de honeypots transmettent automatiquement des rapports d'adresses IP. Ces rapports sont soumis aux mêmes fondements juridiques et délais de conservation que les rapports manuels visés au § 7. Les rapports issus des honeypots se voient attribuer un poids accru dans le calcul du score de confiance, car ils proviennent de systèmes spécialement conçus qui ne reçoivent pas de trafic légitime.
§ 9 Plugin Hive (Réseau communautaire)
(1) Lorsque les administrateurs de sites déploient le plugin open source reportedIP en mode « Community Network » sur leurs propres sites WordPress, le plugin transmet les données suivantes à notre API REST :
a) l'adresse IP d'un pirate,
b) catégorie de menace,
c) horodatage,
d) facultatif : commentaire / description de l'incident,
e) Clé API de l'exploitant du site (dans l'en-tête HTTP) X-Key).
(2) En mode « Local Shield », aucune donnée n'est transmise à reportedip.de.
(3) Lorsque vous utilisez la fonction de relais de courriels et de SMS (à partir de la formule Professionnelle), les éléments suivants sont également transmis :
a) Relais de messagerie : adresse e-mail du destinataire, objet, corps du message, URL du site, éventuellement adresse de réponse,
b) Relais SMS : numéro de téléphone du destinataire (au format E.164 ; l'envoi s'effectue généralement dans le monde entier, le Fournisseur se réserve le droit d'exclure certains pays (voir Conditions d'utilisation § 9)), code du modèle (par ex. 2fa_login), variables du modèle (code de six à huit chiffres, validité, langue), URL du site.
(4) Lorsque nous utilisons la fonction de relais, nous agissons en tant que sous-traitant au sens de l'article 28 du RGPD ; le responsable du traitement reste l'exploitant du site. Un accord de sous-traitance est disponible au téléchargement au format PDF sur le portail client.
§ 10 Sous-traitants
Nous faisons appel aux sous-traitants suivants :
| Fournisseur | Lieu | Objectif | Catégories de données |
|---|---|---|---|
| Stripe Payments Europe Ltd. | Irlande | paiements, factures, fiscalité, portail client | nom, adresse e-mail, adresse postale, numéro de TVA, informations de paiement |
| Avernis (api.avernis.com) | Allemagne | Envoi de SMS (pour le compte de l'exploitant du site via un relais) | numéro de téléphone, contenu du modèle |
| Mailjet (Sinch SAS) | France | envoi par e-mail (en option) | destinataire, objet, corps du message |
| seven.io | Allemagne | envoi par e-mail (en option) | destinataire, objet, corps du message |
| sevDesk GmbH | Allemagne | comptabilité, synchronisation des factures | données des factures et des documents |
| Hetzner Online GmbH | Allemagne | hébergement | journaux du serveur (adresse IP, heure, URL) |
| Cloudflare, Inc. | États-Unis / Allemagne (marge UE) | CDN, protection contre les attaques DDoS | Adresse IP, agent utilisateur, en-têtes HTTP |
| GitHub, Inc. (Microsoft) | États-Unis | Mise à jour des plugins | demandes de mise à jour anonymes |
| MaxMind, Inc. | États-Unis (base de données GeoLite2 sous licence locale) | Géolocalisation IP — aucun transfert de données par requête, les données ne quittent pas l'UE | – |
| PBC anthropique (facultatif, uniquement avec l'outil d'IA d'assistance activé) | États-Unis | Prise en charge du chatbot (si activée ; par défaut : désactivée) | messages de chat |
Un accord de sous-traitance au sens de l'article 28 du RGPD a été conclu avec chaque sous-traitant. Les accords de sous-traitance correspondants peuvent être communiqués sur simple demande.
§ 11 Transfert vers des pays tiers
(1) La plupart de nos sous-traitants sont situés dans l'Espace économique européen (EEE). Les transferts de données vers les États-Unis sont effectués avec Cloudflare, GitHub, MaxMind et Anthropic.
(2) Pour ces transferts, nous nous appuyons sur
a) le cadre de protection des données UE-États-Unis (DPF) dans le cadre duquel le fournisseur concerné est certifié,
b) à titre complémentaire, les clauses contractuelles types de la Commission européenne (décision 2021/914), complétées par des mesures techniques et organisationnelles supplémentaires,
c) Cloudflare achemine les requêtes provenant d'Europe via des nœuds périphériques situés dans l'UE ; le traitement aux États-Unis n'intervient que dans des cas exceptionnels.
(3) Aucun transfert de données vers des pays tiers n'est effectué par MaxMind lors de la recherche d'adresse IP : nous utilisons la base de données GeoLite2 exclusivement en local, sur nos serveurs situés dans l'Union européenne.
§ 12 Gestionnaire des cookies et du consentement
(1) Nous utilisons des cookies techniquement nécessaires (cookie de session pour la connexion, protection CSRF). Pour ces cookies, aucun consentement n'est requis conformément à l'article 25, paragraphe 2, de la TDDDG ; la base juridique est l'article 6, paragraphe 1, point f), du RGPD.
(2) Les cookies facultatifs (statistiques, marketing) ne sont installés qu’après le consentement explicite de l’utilisateur (art. 6, al. 1, let. a) du RGPD, en liaison avec l’art. 25, al. 1, de la TDDDG). La gestion du consentement s’effectue via le gestionnaire de consentement intégré au plugin reportedIP. Le consentement peut être révoqué à tout moment avec effet pour l’avenir, soit via le gestionnaire de consentement, soit dans le tableau de bord à l’adresse /dashboard/#privacy.
(3) Cloudflare installe le cookie __cf_bm (gestion des bots) pendant 30 minutes au maximum afin de se prémunir contre les attaques automatisées (mesure techniquement nécessaire).
§ 13 Délais de conservation
| Catégorie de données | Fidélisation |
|---|---|
| Fichiers journaux du serveur (Hetzner / Cloudflare) | 14 jours |
| Journaux API | 90 jours |
| Journal des événements Stripe (données de charge utile des webhooks) | 90 jours |
| Journal d'audit (actions du plugin) | 365 jours |
| Journaux de relais de courrier électronique et de SMS | 30 jours |
| File d'attente de relais pour les e-mails et les SMS | 90 jours |
| Données du compte | jusqu'à la suppression du compte |
| Factures (loi sur la TVA / code fiscal) | 10 ans |
| Données de réputation concernant les adresses IP signalées | pseudonymisées de manière permanente (référence du déclarant conservée pendant 12 mois, puis anonymisées) |
| Jeton de dispositif de confiance (authentification à deux facteurs) | 30 jours après la dernière utilisation |
§ 14 Droits des personnes concernées
(1) Vous disposez des droits suivants à notre égard en ce qui concerne les données à caractère personnel vous concernant :
a) droit d'accès (art. 15 du RGPD),
b) droit de rectification (art. 16 du RGPD),
c) droit à l'effacement (art. 17 du RGPD),
d) droit à la limitation du traitement (art. 18 du RGPD),
e) droit à la portabilité des données (art. 20 du RGPD),
f) droit d'opposition au traitement (art. 21 du RGPD),
g) droit de retirer un consentement donné (art. 7, paragraphe 3, du RGPD).
(2) Les demandes d'accès et de suppression peuvent être effectuées en libre-service via le tableau de bord (/dashboard/(onglet « Compte ») ou par e-mail à l'adresse [email protected]. Nous répondons aux demandes sans retard injustifié, au plus tard dans un délai d'un mois à compter de leur réception.
(3) Droit d'introduire une réclamation. Vous avez le droit d'introduire une réclamation auprès d'une autorité de contrôle de la protection des données concernant le traitement de vos données à caractère personnel par nos soins. L'autorité compétente pour nous est :
Office bavarois de contrôle de la protection des données (BayLDA)
Promenade 18, 91522 Ansbach, Allemagne
Téléphone : +49 981 180093-0
E-mail : [email protected]
Site web : https://www.lda.bayern.de
§ 15 Sécurité du traitement
Nous prenons les mesures techniques et organisationnelles (MTO) appropriées au sens de l'article 32 du RGPD afin de garantir un niveau de protection adapté au risque. Il s'agit notamment :
a) chiffrement des transmissions (TLS 1.2+ / HTTPS), chiffrement des champs de données sensibles au repos,
b) contrôle d'accès via la gestion des rôles et des autorisations, stockage des mots de passe avec hachage (bcrypt),
c) authentification à deux facteurs pour les comptes administrateurs,
d) sauvegardes avec réplication hors site chiffrée,
e) journalisation des événements liés à la sécurité, examen régulier,
f) séparation des environnements de production, de test et de développement,
g) audits des sous-traitants conformément à l'art. 28, par. 3, point h) du RGPD.
Une liste détaillée des TOM est mise à la disposition des abonnés sur simple demande.
§ 16 Modifications de la présente politique de confidentialité
La présente politique de confidentialité est mise à jour en cas de modification des activités de traitement ou des exigences légales. Les modifications importantes sont communiquées aux abonnés par e-mail. La version actuellement en vigueur est disponible sur cette page.
Mentions légales et coordonnées
Responsable du traitement : Patrick Schlesinger, Parkstraße 19, 80339 Munich, Allemagne
E-mail :reportedip
Autorité de contrôle : Office bavarois de contrôle de la protection des données (BayLDA), Promenade 18, 91522 Ansbach, Allemagne
Cette version s'applique à compter du : 8 mai 2026