Politique de confidentialité

Dernière mise à jour : 1er janvier 2026 · Version 2.3 · Contacter le DPO

Responsable du traitement

Le responsable du traitement des données personnelles collectées via le site breachradar.fr est :

Dénomination sociale : BreachRadar SAS
Siège social : 14 rue de la Paix, 75002 Paris, France
Numéro SIREN : 921 847 563
Délégué à la Protection des Données (DPO) : dpo@breachradar.fr
Autorité de contrôle compétente : Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Données traitées et finalités

2.1 Vérification de mots de passe

Lors de l'utilisation du service de vérification de mots de passe, aucune donnée permettant d'identifier votre mot de passe n'est transmise à nos serveurs. La technologie k-anonymité garantit que seuls 5 caractères d'un hash SHA-1 de 40 caractères sont envoyés. Ces 5 caractères ne constituent pas une donnée personnelle au sens du RGPD et ne permettent aucune identification ou reconstitution du mot de passe original.

2.2 Logs techniques

Nos serveurs collectent automatiquement les données suivantes à chaque requête HTTP, pour des finalités de sécurité et de maintenance :

Adresse IP (pseudonymisée par troncature du dernier octet)
Horodatage de la requête
Endpoint appelé (ex: /v1/password/check)
Code de réponse HTTP
User-Agent du navigateur

Base légale : Intérêt légitime (article 6.1.f RGPD) — sécurité du service et prévention des abus.
Durée de conservation : 30 jours glissants, puis suppression automatique.

2.3 Compte API (utilisateurs enregistrés)

Si vous créez un compte pour accéder à l'API BreachRadar, nous traitons les données suivantes :

Adresse email professionnelle (identifiant de connexion)
Nom et prénom
Nom de l'organisation (optionnel)
Clés API générées (hash stocké, jamais en clair)
Logs d'utilisation de l'API (compteur de requêtes, sans contenu)
Informations de facturation (traitées par notre prestataire Stripe, certifié PCI DSS Level 1)

Base légale : Exécution d'un contrat (article 6.1.b RGPD).
Durée de conservation : Durée de la relation contractuelle + 3 ans (prescription commerciale).

2.4 Formulaires de contact et signalement

Les données saisies dans les formulaires de contact ou de signalement de fuite (nom, email, message) sont utilisées exclusivement pour traiter votre demande et vous répondre.

Base légale : Consentement (article 6.1.a RGPD).
Durée de conservation : 3 ans à compter du dernier contact.

Cookies et technologies similaires

BreachRadar adopte une politique de cookies strictement limitée au fonctionnement technique du service.

3.1 Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site et ne peuvent pas être désactivés :

br_session — Jeton de session pour l'espace API (durée : session navigateur)
br_csrf — Protection contre les attaques CSRF (durée : session navigateur)

3.2 Absence de cookies analytiques ou publicitaires

BreachRadar n'utilise aucun cookie de mesure d'audience (Google Analytics, Matomo, Hotjar, etc.) ni aucun cookie publicitaire ou de ciblage. Notre monitoring d'infrastructure est réalisé par des outils auto-hébergés ne déposant aucun cookie sur votre appareil.

3.3 Cookies tiers

Les polices de caractères sont chargées via Google Fonts. Cette requête externe implique une transmission de votre adresse IP à Google LLC. Si vous souhaitez éviter cette transmission, vous pouvez utiliser une extension de navigateur bloquant les requêtes tierces. Nous envisageons l'hébergement local des polices dans une future version du site.

Sous-traitants et transferts hors UE

BreachRadar fait appel aux sous-traitants suivants, tous encadrés par un contrat conforme à l'article 28 du RGPD :

OVHcloud (hébergement) — Gravelines, France (FR-GRA) et Strasbourg, France (FR-SBG). Certifié ISO 27001, HDS. Aucun transfert hors UE.
Stripe, Inc. (paiement) — Transfert vers les États-Unis encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne et le cadre EU-US Data Privacy Framework.
Cloudflare, Inc. (protection DDoS et CDN) — Traitement des requêtes en transit. Données minimisées. CCT applicables. Les données ne sont pas stockées sur des serveurs hors UE.

Aucune donnée personnelle n'est vendue, louée ou partagée à des fins commerciales avec des tiers.

Mesures de sécurité

BreachRadar met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

Chiffrement de toutes les communications en transit via TLS 1.3 (avec HSTS préchargé)
Chiffrement des données au repos (AES-256) pour les bases de données et les sauvegardes
Hachage bcrypt (coût 12) pour les mots de passe des comptes utilisateurs
Authentification à deux facteurs (2FA) obligatoire pour tous les accès administrateurs
Audits de sécurité annuels par un prestataire externe certifié PASSI
Programme de divulgation responsable (voir page de signalement)
Accès aux données limité au personnel strictement habilité (principe du moindre privilège)
Journalisation et surveillance des accès aux systèmes de production

Vos droits (RGPD art. 15 à 21)

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

Article 15 — Droit d'accès

Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en obtenir une copie, ainsi que des informations sur les finalités, catégories et destinataires de ces données.

Article 16 — Droit de rectification

Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.

Article 17 — Droit à l'effacement («droit à l'oubli»)

Vous pouvez demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation qui s'imposent à BreachRadar.

Article 18 — Droit à la limitation du traitement

Vous pouvez demander la suspension temporaire du traitement de vos données dans les cas prévus par le RGPD (contestation de l'exactitude, traitement illicite, exercice d'un droit en justice).

Article 20 — Droit à la portabilité

Pour les traitements basés sur votre consentement ou l'exécution d'un contrat, vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV).

Article 21 — Droit d'opposition

Vous pouvez vous opposer, pour des raisons tenant à votre situation particulière, au traitement de vos données fondé sur notre intérêt légitime. Vous pouvez également vous opposer à tout moment à l'utilisation de vos données à des fins de prospection commerciale.

Droit de retirer votre consentement

Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment, sans que cela n'affecte la licéité du traitement antérieur.

Pour exercer vos droits, adressez votre demande par email à dpo@breachradar.fr ou par courrier à BreachRadar SAS, 14 rue de la Paix, 75002 Paris, en joignant une copie de votre pièce d'identité. Nous vous répondons dans un délai d'un mois (art. 12 RGPD), prolongeable de deux mois supplémentaires en cas de demande complexe.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou de toute autre autorité de contrôle compétente de l'Union européenne.

Modifications de la politique de confidentialité

BreachRadar se réserve le droit de modifier la présente politique à tout moment, notamment pour se conformer aux évolutions législatives et réglementaires. En cas de modification substantielle, les utilisateurs disposant d'un compte API seront notifiés par email au moins 15 jours avant l'entrée en vigueur des changements. La date de dernière mise à jour figure en en-tête de ce document. La poursuite de l'utilisation du service après cette date vaut acceptation des modifications.