Politique de confidentialité
L’utilisation et le transfert par Bastion vers toute autre application des informations reçues des API Google seront conformes à la Politique relative aux données des utilisateurs de Google API Services , y compris les exigences « Limited Use ».
Le site web www.bastion.tech (le « Site ») et l’application app.bastion.tech (l’« Application ») sont exploités par Bastion, société par actions simplifiée au capital de 12 000,00 €, dont le siège social est situé au 65 rue de la Croix, 92000 Nanterre, immatriculée au RCS de Nanterre sous le numéro 921 179 925.
La présente Politique de confidentialité explique comment nous collectons et traitons les données personnelles lorsque vous utilisez nos services (les « Services »). Nous pouvons mettre à jour cette Politique afin de refléter l’évolution des obligations légales ou de nos pratiques. La version en vigueur est celle publiée sur le Site et l’Application à la date de votre utilisation.
Définitions
- Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée »).
- Traitement : toute opération appliquée à des Données personnelles (collecte, enregistrement, conservation, adaptation, utilisation, communication, limitation, effacement, etc.).
- Responsable du traitement : l’entité qui détermine les finalités et les moyens du traitement.
- Sous-traitant : l’entité qui traite des Données personnelles pour le compte du Responsable du traitement.
Traitements dont Bastion est Responsable du traitement
Article I — Données traitées, finalités, bases légales et durées de conservation
Finalité | Catégories de données | Base légale | Durée de conservation |
---|---|---|---|
Gestion des demandes de contact | Adresse e-mail | Intérêt légitime de Bastion à répondre aux demandes | Jusqu’à 3 ans après le dernier échange |
Gestion de la newsletter | Adresse e-mail, nom | Consentement | Jusqu’au retrait du consentement ou 3 ans après le dernier contact |
Accès à l’espace personnel | Adresse e-mail, mot de passe, adresse IP, nom | Consentement donné lors de l’inscription (acceptation des CGU et de la présente Politique) | Comptes inactifs supprimés après 3 ans |
Facturation, relation client, support | Adresse e-mail, téléphone, nom complet, adresse postale du représentant | Exécution du contrat et obligations légales | Jusqu’à 5 ans après la fin de la relation contractuelle (sauf obligation légale plus longue) |
Cookies et traceurs | Adresse IP, identifiants en ligne | Intérêt légitime pour les cookies strictement nécessaires ; consentement pour les autres | Selon la durée de vie de chaque cookie |
Article II — Destinataires des données
Les Données personnelles peuvent être accessibles aux équipes de Bastion ainsi qu’à des prestataires de confiance agissant sur nos instructions, uniquement lorsque cela est nécessaire aux finalités décrites ci-dessus. Ces tiers sont soumis à des engagements de confidentialité et de sécurité appropriés.
Article III — Délégué à la protection des données (DPO)
Vous pouvez contacter notre DPO à l’adresse : dataprivacy@bastion.tech.
Article IV — Vos droits
- Accès, rectification et effacement : vous pouvez demander l’accès, la correction ou la suppression de vos Données, sous réserve de limitations légales.
- Portabilité : lorsque cela est applicable, vous pouvez demander à recevoir vos Données dans un format structuré, couramment utilisé et lisible par machine.
- Limitation et opposition : vous pouvez demander la limitation du traitement ou vous y opposer dans les conditions prévues par le RGPD.
- Retrait du consentement : lorsque le traitement repose sur votre consentement (ex. newsletters, cookies optionnels), vous pouvez retirer ce consentement à tout moment, sans effet rétroactif sur les traitements déjà effectués.
- Exercice des droits : adressez vos demandes à dataprivacy@bastion.tech en fournissant les informations nécessaires pour vous identifier. Nous y répondrons conformément à la réglementation applicable.
Vous avez également le droit d’introduire une réclamation auprès de votre autorité de contrôle locale, telle que la Commission Nationale de l’Informatique et des Libertés (CNIL) – www.cnil.fr.
Article V — Décisions automatisées
Bastion ne réalise pas de décisions automatisées ni de profilage produisant des effets juridiques ou significatifs au sens de l’article 22 du RGPD.
Article VI — Données des mineurs
Nos Services ne sont pas destinés aux enfants de moins de 16 ans et nous ne collectons pas sciemment leurs Données personnelles.
Traitements dont Bastion est Sous-traitant
Dans le cadre de ses services d’analyse de vulnérabilités, Bastion agit en qualité de Sous-traitant et traite les Données personnelles sur instructions de ses clients (Responsables du traitement).
Article I — Description des traitements
Traitement | Personnes concernées | Données traitées | Finalité |
---|---|---|---|
Analyse de vulnérabilités externes | Employés, collaborateurs, clients | Email, mot de passe, adresse IP, nom | Identifier et signaler les vulnérabilités des actifs technologiques du client |
Analyse automatique des vulnérabilités persistantes | Employés, collaborateurs, clients | Email, mot de passe, adresse IP, nom | Fournir un suivi sur les vulnérabilités récurrentes dans le cadre de la gestion du compte client |
Article II — Durée
Les traitements sont réalisés pendant la durée des Services et aussi longtemps que la loi ou l’accord avec le Client l’exige.
Article III — Obligations de Bastion en tant que Sous-traitant
- Traiter les Données personnelles uniquement sur instructions documentées du Client, sauf obligation légale contraire.
- Assurer la confidentialité et la sécurité appropriées des Données.
- Veiller à ce que le personnel autorisé soit soumis à une obligation de confidentialité et reçoive une formation adaptée.
- Mettre en place des mesures techniques et organisationnelles appropriées, en tenant compte de l’état de l’art, des coûts et de la nature du traitement.
- Assister le Client, dans la mesure du raisonnable, pour répondre aux obligations RGPD (droits des personnes, AIPD, notification de violations).
Article IV — Sous-traitance ultérieure
Bastion peut faire appel à des sous-traitants de confiance (hébergement, paiement, signature électronique). Les sous-traitants actuels incluent : Amazon Web Services (hébergement), Google Cloud Platform (hébergement), Stripe (paiements) et Yousign (signature électronique). Ils sont soumis à des obligations au moins aussi protectrices que celles décrites dans la présente Politique. Bastion demeure responsable de leur conformité dans le cadre des Services fournis.
Article V — Information des personnes concernées
Le Client est responsable d’informer les personnes concernées et de recueillir, le cas échéant, leur consentement conformément au droit applicable.
Article VI — Exercice des droits
Les demandes doivent être adressées au Client, en sa qualité de Responsable du traitement. Bastion l’assistera dans la mesure du raisonnable. Toute demande reçue directement par Bastion sera transmise sans délai injustifié au Client.
Article VII — Violations de données
En cas de violation de Données personnelles, Bastion informera le Client sans délai injustifié et communiquera les informations disponibles afin de l’aider à remplir ses obligations légales. Le Client reste responsable des notifications aux autorités et/ou aux personnes concernées lorsque cela est requis.
Article VIII — Assistance
Bastion fournit au Client une assistance raisonnable pour réaliser des analyses d’impact relatives à la protection des données (AIPD) et pour toute consultation préalable auprès des autorités de contrôle.
Article IX — Mesures de sécurité
- Engagements de confidentialité des employés et prestataires.
- Sensibilisation et formation à la protection des données et à la sécurité.
- Contrôles d’accès et authentification renforcée.
- Sécurité physique des locaux et équipements.
- Gestion sécurisée des postes de travail (mise à disposition, configuration, effacement sécurisé).
- Accès restreint aux Données personnelles et interdiction de divulgation à des tiers non autorisés.
Article X — Fin du traitement
À la fin des Services, Bastion supprimera ou restituera les Données personnelles, sauf obligation légale de conservation ou accord contraire avec le Client. Lorsque la suppression n’est pas possible, Bastion assurera la protection continue des Données.
Article XI — Délégué à la protection des données
Contact : dataprivacy@bastion.tech.
Article XII — Registres des traitements
Bastion tient des registres des activités de traitement réalisées pour le compte des Clients, conformément au RGPD.
Article XIII — Documentation et audits
Bastion mettra à disposition les informations raisonnablement nécessaires pour démontrer sa conformité et permettre la réalisation d’audits ou d’inspections par le Client, sous réserve de conditions protégeant la sécurité et la confidentialité.
Article XIV — Obligations du Client
- Fournir des instructions documentées pour le traitement des Données personnelles.
- S’assurer de disposer d’une base légale valable pour traiter et transmettre les Données à Bastion.
- Superviser les activités de traitement, y compris au moyen d’audits appropriés.