Politique de confidentialité

1. Introduction

CYDEN attache une importance particulière à la protection des données personnelles.

La présente Politique de confidentialité explique comment CYDEN collecte, utilise, conserve, protège et partage les données personnelles dans le cadre de son site, de son application et de son service SaaS d’aide à la décision en cybersécurité.

2. Responsable de traitement

Pour les traitements réalisés pour son propre compte, le responsable de traitement est :

CYDEN
Siège social : 51 rue des pétunias 40600 Biscarrosse
E-mail : contact@cyden.io

3. Rôles de CYDEN

Selon les traitements, CYDEN peut agir :

• en qualité de responsable de traitement, notamment pour la gestion du site, des comptes, de la relation commerciale, du support, de la facturation, de la sécurité du Service, de l’amélioration du Service et de la recherche OSINT passive nécessaire à la création du profil d’exposition cyber ;
• en qualité de sous-traitant, lorsque CYDEN traite des données personnelles pour le compte d’un Client professionnel et sur ses instructions documentées.

Les traitements réalisés en qualité de sous-traitant sont encadrés par l’annexe RGPD accessible à l’adresse /legal/dpa ou par un accord spécifique conclu avec le Client.

4. Données collectées

CYDEN peut traiter les catégories de données suivantes :

4.1 Données d’identification

• nom ;
• prénom ;
• adresse e-mail professionnelle ;
• fonction ;
• organisation ;
• identifiants de compte ;
• informations d’authentification.

4.2 Données relatives à l’organisation

• entreprise ou organisation ;
• SIREN/SIRET ;
• domaine professionnel ;
• service ou département ;
• rôle dans l’organisation ;
• périmètre cyber ou numérique déclaré ;
• domaines, actifs, outils ou informations communiqués par le Client ou l’Utilisateur.

4.3 Données de connexion et d’usage

• adresse IP ;
• journaux de connexion ;
• horodatages ;
• actions réalisées dans le Service ;
• paramètres techniques ;
• navigateur ;
• terminal ;
• identifiants de session ;
• événements de sécurité.

4.4 Données de facturation

• coordonnées de facturation ;
• informations de commande ;
• historique d’abonnement ;
• statut des paiements ;
• références de transaction.

4.5 Données issues de recherches OSINT passives

Dans le cadre de la création du Profil d’exposition cyber, CYDEN peut traiter des informations accessibles publiquement en ligne ou issues de sources ouvertes.

Ces informations peuvent inclure, selon les sources disponibles et la finalité poursuivie :

• l’existence d’une adresse e-mail professionnelle dans des sources ouvertes ;
• des informations publiques associées à un identifiant professionnel ;
• des éléments d’exposition numérique ;
• des résultats provenant de services légitimes d’information sur compromissions ;
• des signaux publics relatifs à la surface d’exposition cyber ;
• des métadonnées ou informations techniques publiquement accessibles ;
• des informations permettant de produire des recommandations de cybersécurité.

CYDEN ne cherche pas à collecter de données sensibles. Si de telles données sont incidentellement identifiées, CYDEN met en œuvre des mesures raisonnables pour les ignorer, les filtrer ou les supprimer, sauf obligation légale ou nécessité stricte de sécurité.

5. Finalités des traitements

CYDEN traite les données personnelles pour les finalités suivantes :

5.1 Gestion du site et du Service

• fournir l’accès au site et au Service ;
• créer et gérer les comptes utilisateurs ;
• authentifier les utilisateurs ;
• administrer les accès et permissions ;
• assurer le fonctionnement technique du Service.

Base légale : exécution du contrat ou mesures précontractuelles ; intérêt légitime de CYDEN à fournir et sécuriser son Service.

5.2 Fourniture du SaaS d’aide à la décision en cybersécurité

• analyser les informations transmises ;
• produire des scores, rapports, tableaux de bord et recommandations ;
• aider le Client à prioriser les risques cyber ;
• suivre les mesures de remédiation.

Base légale : exécution du contrat avec le Client ou l’Utilisateur ; intérêt légitime à fournir un service de cybersécurité ; le cas échéant, traitement réalisé en qualité de sous-traitant sur instruction du Client.

5.3 Recherche OSINT passive et construction du Profil d’exposition cyber

• utiliser l’adresse e-mail professionnelle comme point de départ de la recherche ;
• utiliser le SIREN/SIRET pour contextualiser l’organisation ;
• collecter et recouper des informations publiquement accessibles ou issues de sources ouvertes ;
• identifier des signaux d’exposition numérique ;
• construire un Profil d’exposition cyber ;
• générer des recommandations de cybersécurité personnalisées.

Base légale : acceptation et autorisation exprimées par l’Utilisateur lors de l’inscription ; exécution du contrat ou de mesures précontractuelles lorsque le Profil d’exposition cyber est nécessaire à la fourniture du Service ; intérêt légitime à fournir un service de cybersécurité défensive, sous réserve des droits et libertés des personnes concernées ; traitement sur instruction du Client lorsque CYDEN agit en sous-traitant.

La case unique d’inscription est obligatoire pour créer le Profil d’exposition cyber. Elle est non précochée et son texte renvoie vers les CGU et la présente Politique de confidentialité.

5.4 Sécurité du Service

• prévenir, détecter et traiter les incidents ;
• journaliser les accès ;
• lutter contre la fraude et les abus ;
• protéger les comptes, systèmes et données ;
• enquêter sur des comportements suspects.

Base légale : intérêt légitime de CYDEN à assurer la sécurité du Service ; obligation légale lorsque applicable.

5.5 Relation commerciale et support

• répondre aux demandes ;
• gérer les démonstrations ;
• fournir l’assistance ;
• gérer les contrats, abonnements et renouvellements ;
• envoyer des communications liées au Service.

Base légale : exécution du contrat ; intérêt légitime ; consentement lorsque requis.

5.6 Facturation et comptabilité

• émettre les factures ;
• gérer les paiements ;
• respecter les obligations comptables, fiscales et légales.

Base légale : obligation légale ; exécution du contrat.

5.7 Amélioration du Service

• analyser l’usage agrégé du Service ;
• améliorer les fonctionnalités ;
• corriger les anomalies ;
• développer de nouvelles fonctionnalités ;
• améliorer la qualité des recommandations.

Base légale : intérêt légitime de CYDEN à améliorer son Service, sous réserve des droits et libertés des utilisateurs.

6. Case unique d’inscription

Lors de l’inscription, l’Utilisateur doit cocher une case unique, non précochée, dont le texte est :

“J’ai lu et j’accepte les Conditions Générales d’Utilisation de CYDEN, incluant les conditions de recherche OSINT passive et de traitement de mes données personnelles. Je reconnais avoir pris connaissance de la Politique de confidentialité. J’autorise CYDEN à utiliser mon adresse e-mail professionnelle, mon SIREN/SIRET, les informations renseignées lors de mon inscription et les informations me concernant ou concernant mon organisation accessibles publiquement en ligne ou issues de sources ouvertes, afin de lancer une recherche OSINT passive, créer mon profil d’exposition cyber et générer des recommandations de cybersécurité.”

Tant que cette case n’est pas cochée, le bouton d’inscription reste inactif.

CYDEN conserve une preuve de cette acceptation comprenant notamment la date, l’heure, l’adresse e-mail, le SIREN/SIRET, la version des CGU, la version de la Politique de confidentialité et la version du texte de la case.

7. Profilage et aide à la décision

Le Service peut produire des profils, scores, indicateurs ou recommandations d’exposition cyber.

Ces éléments sont destinés à aider l’Utilisateur ou le Client à comprendre et prioriser des risques cyber.

CYDEN ne prend pas de décision automatisée produisant des effets juridiques à l’égard de l’Utilisateur. Les résultats du Service ne constituent pas une sanction, une décision d’embauche, de licenciement, d’accès à un droit, d’octroi d’un service essentiel ou toute autre décision significative comparable.

Lorsque le Client utilise les résultats de CYDEN pour prendre une décision concernant une personne physique, le Client demeure responsable de sa propre décision et doit respecter ses obligations légales.

8. Sources des données

Les données peuvent provenir :

• de l’Utilisateur ;
• du Client ;
• de l’utilisation du site ou du Service ;
• de sources accessibles publiquement ;
• de sources ouvertes ;
• de prestataires techniques nécessaires au Service ;
• de services légitimes d’information sur compromissions ou exposition cyber ;
• d’informations générées par CYDEN à partir de l’analyse du Service.

9. Destinataires

Les données peuvent être accessibles, selon leurs missions, aux personnes suivantes :

• équipes habilitées de CYDEN ;
• prestataires d’hébergement ;
• prestataires de sécurité ;
• prestataires de paiement ;
• prestataires de support et maintenance ;
• outils techniques nécessaires au fonctionnement du Service ;
• conseils professionnels de CYDEN ;
• autorités administratives ou judiciaires lorsque la loi l’exige.

CYDEN ne vend pas les données personnelles des utilisateurs.

10. Transferts hors Union européenne

CYDEN privilégie des prestataires situés dans l’Union européenne ou offrant des garanties appropriées.

Lorsque des données sont transférées hors de l’Union européenne, CYDEN met en œuvre des garanties appropriées, telles que des clauses contractuelles types ou tout mécanisme reconnu par le droit applicable.

11. Durées de conservation

CYDEN conserve les données pendant des durées proportionnées aux finalités poursuivies.

À titre indicatif :

• données de compte : pendant la durée du compte, puis jusqu’à trois ans après la fin de la relation contractuelle, sauf obligation de conservation plus longue ;
• données contractuelles et facturation : pendant la durée légale applicable aux obligations comptables et fiscales ;
• logs de sécurité : durée raisonnable nécessaire à la sécurité, généralement entre six et vingt-quatre mois selon la criticité ;
• données OSINT liées au Profil d’exposition cyber : pendant la durée d’utilisation de la fonctionnalité, puis suppression ou anonymisation dans un délai raisonnable après retrait, suppression du compte ou fin du contrat, sauf obligation légale, preuve nécessaire, sécurité ou intérêt légitime impérieux ;
• preuve de l’acceptation de la case unique : pendant la durée nécessaire à la démonstration de la conformité, à la gestion d’un litige ou au respect d’une obligation légale ;
• demandes d’exercice de droits : durée nécessaire au traitement de la demande, puis conservation limitée selon les obligations applicables.

12. Sécurité

CYDEN met en œuvre des mesures techniques et organisationnelles visant à protéger les données personnelles, notamment :

• contrôle des accès ;
• authentification ;
• journalisation ;
• cloisonnement des environnements ;
• chiffrement lorsque pertinent ;
• sauvegardes ;
• surveillance de sécurité ;
• limitation des accès aux personnes habilitées ;
• procédures de gestion d’incident.

13. Droits des personnes

Les personnes concernées disposent, dans les conditions prévues par la réglementation, des droits suivants :

• droit d’accès ;
• droit de rectification ;
• droit d’effacement ;
• droit à la limitation du traitement ;
• droit d’opposition ;
• droit à la portabilité ;
• droit de retirer leur autorisation ou consentement lorsque le traitement repose sur cette base ;
• droit de définir des directives relatives au sort de leurs données après leur décès.

Pour exercer ces droits, il convient d’écrire à : contact@cyden.io.

CYDEN pourra demander des informations complémentaires si nécessaire pour confirmer l’identité du demandeur.

14. Retrait de l’autorisation OSINT

L’Utilisateur peut demander le retrait de son autorisation relative à l’OSINT passive en écrivant à contact@cyden.io ou via son Compte lorsque cette fonctionnalité est disponible.

Le retrait peut empêcher la création, le maintien ou la mise à jour du Profil d’exposition cyber, car cette fonctionnalité est essentielle au Service CYDEN.

Le retrait n’affecte pas la licéité des traitements réalisés avant le retrait.

15. Réclamation auprès de la CNIL

Si la personne concernée estime que ses droits ne sont pas respectés, elle peut introduire une réclamation auprès de l’autorité de contrôle compétente, notamment la CNIL en France.

16. Cookies

L’utilisation de cookies et autres traceurs est décrite dans la Politique cookies accessible à l’adresse /legal/cookies.

17. Modification de la Politique

CYDEN peut modifier la présente Politique de confidentialité afin de tenir compte des évolutions du Service, de la réglementation ou de ses pratiques.

Les modifications substantielles seront portées à la connaissance des utilisateurs par un moyen approprié.

18. Contact

Pour toute question relative à la présente Politique ou aux données personnelles : contact@cyden.io.