TAPION est un projet personnel d'expérimentation en cybersécurité. Il n'est pas commercialisé et n'est pas destiné à un usage en production. Le site est maintenu en ligne à titre de démonstrateur technique pendant que je réfléchis à la suite.
Passer au contenu principal
TAPION
// legal · confidentialite

Politique de confidentialite

Nous prenons la protection de vos donnees personnelles tres au serieux. Cette politique explique ce que nous collectons, pourquoi, et comment vous exercez vos droits.

Derniere mise a jour : 24 avril 2026 · Version 2.0

1. Responsable du traitement

Le responsable du traitement des donnees collectees via le service TAPION (SaaS cloud) est :

  • Raison sociale : TAPION SAS (en cours d'immatriculation)
  • Adresse : France
  • Email DPO : privacy@tapion.app

Pour les deploiements on-premise, le client est responsable du traitement de ses propres donnees. TAPION SAS agit alors en tant que sous-traitant au sens de l'article 28 du RGPD.

2. Donnees collectees

2.1 Donnees de compte

Lors de l'inscription ou de la creation d'une organisation :

  • Adresse e-mail (identifiant de connexion)
  • Nom d'affichage (optionnel)
  • Hash bcrypt du mot de passe (jamais le mot de passe en clair)
  • Date et heure de creation du compte
  • Plan d'abonnement (Community, Pro, Enterprise)

2.2 Donnees d'usage

Lors de l'utilisation du service :

  • Journaux d'activite des agents (horodatage, action, resultat)
  • Alertes generees et leur statut (traite, ignore, escalade)
  • Regles Sigma creees et modifiees
  • Statistiques d'utilisation agregees (nombre d'evenements, scores)

2.3 Donnees techniques

  • Adresses IP des connexions a l'API (journaux d'acces, conserves 30 jours)
  • User-agent du navigateur
  • Tokens d'authentification (JWT, expires, jamais stockes en clair)

2.4 Donnees que nous ne collectons pas

Nous ne collectons jamais : contenu des flux reseau analyses par vos agents, secrets de vos systemes surveilles, donnees bancaires (paiements via Stripe, soumis a leur propre politique), ni aucune donnee biometrique.

3. Bases legales du traitement

  • Execution du contrat (art. 6.1.b RGPD) : gestion du compte, fourniture du service, support.
  • Interet legitime (art. 6.1.f RGPD) : securite du service, detection des abus, amelioration du produit (donnees agregees uniquement).
  • Obligation legale (art. 6.1.c RGPD) : conservation de certains journaux pour conformite NIS2.
  • Consentement (art. 6.1.a RGPD) : communications marketing, newsletters (opt-in explicite).

4. Durees de conservation

  • Donnees de compte actif : duree de vie du compte + 30 jours apres suppression
  • Journaux d'activite agents : 90 jours (plan Pro/Enterprise) ou 30 jours (Community)
  • Journaux d'acces IP : 30 jours glissants
  • Sauvegardes chiffrees : 7 jours
  • Donnees de facturation : 10 ans (obligation comptable)

5. Hebergement et transferts de donnees

Le service SaaS TAPION est heberge exclusivement chez IONOS SE, Ellernstrasse 4, 30175 Hannover, Allemagne, fournisseur certifie ISO 27001 et adequat au regard du RGPD.

Aucune donnee n'est transferee hors de l'Union Europeenne, sauf dans les cas suivants, encadres par des garanties appropriees (clauses contractuelles types CE) :

  • Stripe Inc. (USA) pour le traitement des paiements
  • Sendgrid (USA) pour les emails transactionnels

Pour les deploiements on-premise et air-gapped (plan Enterprise), aucune donnee ne quitte votre infrastructure.

6. Sous-traitants

  • IONOS SE (Allemagne, UE) : hebergement et infrastructure
  • Stripe Inc. (USA) : paiement en ligne, soumis a leur propre politique RGPD
  • SendGrid / Twilio (USA) : envoi d'emails transactionnels

Tous nos sous-traitants sont lies par un accord de traitement des donnees (DPA) conforme a l'art. 28 RGPD.

7. Vos droits

Conformement au RGPD (articles 15 a 22), vous disposez des droits suivants :

  • Droit d'acces : obtenir une copie de vos donnees personnelles
  • Droit de rectification : corriger des donnees inexactes
  • Droit a l'effacement : supprimer votre compte et vos donnees
  • Droit a la portabilite : recevoir vos donnees dans un format lisible par machine (JSON)
  • Droit d'opposition : s'opposer au traitement fonde sur l'interet legitime
  • Droit a la limitation : geler un traitement en cas de litige
  • Droit de retrait du consentement : a tout moment pour les traitements bases sur le consentement

Pour exercer vos droits, ecrivez a privacy@tapion.app. Nous repondons sous 30 jours calendaires. En cas de reclamation non resolue, vous pouvez saisir la CNIL (France) ou votre autorite de protection des donnees nationale.

8. Securite des donnees

Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour proteger vos donnees :

  • Chiffrement des donnees au repos : AES-256
  • Chiffrement des donnees en transit : TLS 1.3 obligatoire
  • Mots de passe : hash bcrypt (facteur 12), jamais stockes en clair
  • Acces aux donnees : strictement limite aux agents et au personnel autorise
  • Audit de securite par cabinet independant prevu avant la fin de la phase beta

Pour plus de details, consultez notre page securite.

9. Cookies et traceurs

Le site web tapion.app n'utilise aucun cookie de tracking ou publicitaire.

Les seuls cookies utilises sont :

  • Cookie de session (strictement necessaire) : maintient votre connexion a l'application, expire a la fermeture de session ou apres 8h.
  • Token CSRF (strictement necessaire) : protection contre les attaques de type cross-site request forgery.

Aucun consentement cookie n'est requis car nous n'utilisons pas de cookies non essentiels.

10. Modifications de cette politique

Nous pouvons mettre a jour cette politique pour refleter des changements du service ou de la reglementation. En cas de modification substantielle, nous notifierons les utilisateurs par email avec un preavis de 30 jours. La version en vigueur est toujours disponible a cette adresse.

L'historique des versions est disponible sur notre changelog.

11. Contact

Pour toute question relative a cette politique ou au traitement de vos donnees personnelles :

  • Email : privacy@tapion.app
  • Objet recommande : "[RGPD] Votre demande"
  • Delai de reponse : 30 jours maximum