Politique de confidentialité
Dernière mise à jour : 17 juin 2026
1. Responsable du traitement
Le responsable du traitement de vos données est l'éditeur du site Taktix, dont les coordonnées complètes figurent dans nos mentions légales.
2. Données collectées
2.1 Données de compte
Lors de votre inscription : adresse email, mot de passe (haché et jamais accessible en clair via Supabase Auth), date de création du compte, plan d'abonnement.
2.2 Emails surveillés
Les adresses email que vous ajoutez à votre espace de surveillance (jusqu'à 1 en plan Découverte, 5 en Premium). Ces adresses sont stockées de manière chiffrée dans notre base de données.
2.3 Résultats de scan
Les résultats des vérifications de fuites (nom de la base compromise, date de la fuite, catégories de données exposées, score de risque calculé). Ces données proviennent des services HaveIBeenPwned et XON — nous ne stockons que les résultats agrégés, pas vos identifiants.
2.4 Demandes RGPD
Le suivi des demandes de suppression que vous envoyez aux entreprises via nos modèles (destinataire, date d'envoi, statut).
2.5 Appareils de confiance
En cas d'activation de l'authentification multi-facteurs (MFA), un identifiant anonyme d'appareil de confiance peut être enregistré pour une durée de 90 jours.
2.6 Données de paiement
Nous ne collectons et ne stockons aucune donnée bancaire. Les paiements sont intégralement gérés par Stripe, qui est certifié PCI-DSS. Nous recevons uniquement un identifiant client Stripe et le statut de votre abonnement.
2.7 Scan anonyme depuis la page d'accueil
L'email saisi dans le formulaire de scan gratuit n'est jamais stocké. La vérification est effectuée en temps réel et le résultat vous est affiché sans persistance côté serveur.
2.8 Extension navigateur AEGIS CORE
L'extension traite les URLs des sites que vous visitez localement dans votre navigateur. Aucune URL n'est transmise à nos serveurs. En cas de correspondance avec une base de fuites connue, une alerte s'affiche localement. Si vous êtes connecté, l'extension peut interroger notre API avec votre token de session pour récupérer vos résultats personnalisés.
3. Finalités et bases légales
| Finalité | Base légale (RGPD) |
|---|---|
| Fourniture du service (compte, surveillance, alertes) | Exécution du contrat — Art. 6.1.b |
| Envoi d'alertes automatiques sur les nouvelles fuites | Intérêt légitime — Art. 6.1.f |
| Traitement des paiements et gestion des abonnements | Exécution du contrat + obligation légale — Art. 6.1.b, 6.1.c |
| Envoi d'emails transactionnels (confirmation, reset) | Exécution du contrat — Art. 6.1.b |
| Amélioration du service et sécurité | Intérêt légitime — Art. 6.1.f |
| Conformité aux obligations comptables et fiscales | Obligation légale — Art. 6.1.c |
4. Destinataires et sous-traitants
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase | Base de données & authentification | UE (région AWS eu-central-1) |
| Vercel | Hébergement de l'application | USA (SCCs applicables) |
| Stripe | Traitement des paiements | USA / UE (SCCs, PCI-DSS) |
| Resend | Envoi d'emails transactionnels | USA (SCCs applicables) |
| HaveIBeenPwned | Vérification de fuites (k-anonymat) | Royaume-Uni (hors UE, minimal) |
| XON | Vérification de fuites complémentaire | Variable |
SCCs = Clauses Contractuelles Types approuvées par la Commission Européenne pour les transferts hors UE. La vérification HIBP utilise le principe de k-anonymat : seuls les 5 premiers caractères du hachage SHA-1 de l'email sont transmis — votre email complet ne quitte jamais nos serveurs.
5. Durées de conservation
| Donnée | Durée |
|---|---|
| Données de compte | Jusqu'à suppression du compte + 30 jours |
| Emails surveillés & résultats de scan | Jusqu'à suppression du compte ou retrait de l'email |
| Demandes RGPD | 3 ans (prescription légale) |
| Données de facturation (référence Stripe) | 10 ans (obligation comptable française) |
| Appareils de confiance (MFA) | 90 jours glissants |
| Scan anonyme (page d'accueil) | Non stocké |
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles. Pour les exercer, consultez notre page dédiée :
Exercer mes droits RGPD →8. Sécurité
Taktix met en œuvre des mesures techniques adaptées : chiffrement des communications (TLS), mots de passe hachés avec bcrypt via Supabase Auth, rate limiting sur les routes API sensibles, MFA disponible, headers de sécurité HTTP (CSP, HSTS, X-Frame-Options, etc.), accès aux données restreint par Row Level Security (RLS) Supabase.
9. Modifications
Nous pouvons modifier cette politique à tout moment. En cas de modification substantielle, vous serez informé par email au moins 30 jours avant l'entrée en vigueur. La version en vigueur est toujours accessible à cette adresse.
10. Contact
Pour toute question relative à vos données personnelles : support@taktix.fr
Pour exercer vos droits : taktix.fr/rgpd