1. Responsable du traitement
Le responsable du traitement de vos données personnelles est :
GhostNexus SAS
Siège social : [ADRESSE COMPLÈTE — à renseigner avant mise en ligne]
SIRET : [NUMÉRO SIRET — à renseigner]
Email : admin@ghostnexus.io
Le délégué à la protection des données (DPO) ou le point de contact RGPD peut être contacté à la même adresse email avec la mention « DPO / RGPD » en objet.
2. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires à la fourniture du Service (principe de minimisation, Art. 5(1)(c) RGPD) :
| Catégorie | Données | Source |
|---|---|---|
| Compte | Adresse email, mot de passe haché (bcrypt), clé API | Directement de vous |
| Utilisation | Soumissions de jobs, logs d'exécution, solde de crédits, historique de transactions | Généré lors de l'utilisation |
| Technique | Adresse IP, type de navigateur, horodatage des requêtes | Automatiquement |
| Scripts | Code Python soumis à l'exécution (traitement temporaire, audit de sécurité) | Directement de vous |
| Paiement | Identifiant de transaction Stripe, montant, statut (aucune donnée bancaire) | Stripe (sous-traitant) |
Nous ne collectons pas de données sensibles au sens de l'Art. 9 RGPD (origine raciale, opinions politiques, données de santé, etc.).
3. Base légale des traitements (Art. 6 RGPD)
| Traitement | Base légale | Article RGPD |
|---|---|---|
| Création et gestion du compte | Exécution du contrat | 6(1)(b) |
| Exécution des jobs GPU | Exécution du contrat | 6(1)(b) |
| Facturation et paiements | Exécution du contrat + obligation légale | 6(1)(b) + 6(1)(c) |
| Sécurité et détection de fraude | Intérêt légitime | 6(1)(f) |
| Logs d'accès et audit | Obligation légale + intérêt légitime | 6(1)(c) + 6(1)(f) |
| Emails transactionnels | Exécution du contrat | 6(1)(b) |
| Emails marketing (opt-in) | Consentement | 6(1)(a) |
| Conservation comptable | Obligation légale (Code de commerce) | 6(1)(c) |
4. Traitement des paiements — Stripe
Aucune donnée bancaire n'est stockée ou traitée sur nos serveurs. Toutes les transactions de paiement sont gérées exclusivement par Stripe, Inc., prestataire de paiement certifié PCI-DSS niveau 1.
- Les numéros de carte, dates d'expiration et CVV ne transitent jamais par l'infrastructure GhostNexus
- Nous recevons uniquement l'identifiant de transaction, le montant et le statut pour créditer votre compte
- Stripe agit en tant que sous-traitant au sens de l'Art. 28 RGPD — un DPA (Data Processing Agreement) est en vigueur
- Politique de confidentialité Stripe : stripe.com/fr/privacy
5. Durées de conservation
| Données | Durée de conservation |
|---|---|
| Données de compte actif | Pendant toute la durée du compte + 3 ans après clôture |
| Données de facturation et transactions | 10 ans (obligation comptable, Art. L123-22 Code de commerce) |
| Logs d'accès (IP, horodatages) | 12 mois (recommandation CNIL) |
| Scripts soumis (code Python) | 30 jours après exécution, puis suppression automatique |
| Cookies de session | Session (supprimés à la fermeture du navigateur) |
| Données post-demande de suppression | Suppression sous 30 jours, sauf obligation légale contraire |
6. Destinataires et sous-traitants
Vos données ne sont pas vendues à des tiers. Elles peuvent être partagées avec les catégories suivantes dans le cadre strict de la fourniture du Service :
- Fournisseurs de GPU (Providers) : reçoivent uniquement l'identifiant du job, le script à exécuter et les paramètres techniques — aucune donnée d'identité
- Stripe : traitement des paiements (DPA Art. 28)
- Hébergeur VPS : infrastructure technique (serveur physique/cloud, UE ou couvert par clauses contractuelles types)
- Autorités compétentes : sur réquisition judiciaire ou obligation légale
7. Transferts internationaux de données
Lorsque vos données sont transférées en dehors de l'Espace Économique Européen (EEE), nous garantissons un niveau de protection adéquat par l'un des mécanismes suivants :
- Décision d'adéquation de la Commission européenne (ex. : Royaume-Uni, Canada, Suisse)
- Clauses Contractuelles Types (CCT/SCC) approuvées par la Commission européenne (décision 2021/914) pour les transferts vers les États-Unis et autres pays tiers
- EU-U.S. Data Privacy Framework pour les entreprises américaines certifiées
Vous pouvez obtenir une copie des garanties mises en place en contactant admin@ghostnexus.io.
8. Vos droits (Art. 12–22 RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : Obtenir une copie de toutes les données que nous détenons sur vous.
- Droit de rectification (Art. 16) : Corriger des données inexactes ou incomplètes.
- Droit à l'effacement (Art. 17) : Demander la suppression de vos données (« droit à l'oubli »), sauf obligation légale de conservation.
- Droit à la portabilité (Art. 20) : Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV).
- Droit d'opposition (Art. 21) : Vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de marketing direct.
- Droit à la limitation (Art. 18) : Demander la limitation du traitement dans certains cas.
- Retrait du consentement : Retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.
Pour exercer vos droits, envoyez un email à admin@ghostnexus.io avec la mention « Droits RGPD » en objet. Nous répondrons dans un délai d'un mois (délai pouvant être prolongé de deux mois en cas de demande complexe — Art. 12(3) RGPD). Une pièce d'identité peut être demandée pour vérifier votre identité.
9. Autorité de contrôle — CNIL
Conformément à l'Art. 77 RGPD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En France, l'autorité compétente est :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Site web : www.cnil.fr
Téléphone : +33 (0)1 53 73 22 22
Si vous résidez dans un autre État membre de l'UE, vous pouvez également contacter l'autorité de protection des données de votre pays de résidence.
10. Cookies et traceurs
GhostNexus utilise un nombre limité de cookies strictement nécessaires au fonctionnement du Service :
| Cookie | Finalité | Durée |
|---|---|---|
| session_token | Authentification — maintien de la session utilisateur | Session |
| csrf_token | Sécurité — protection contre les attaques CSRF | Session |
| __stripe_mid | Prévention de la fraude (Stripe, tiers) | 1 an |
Nous n'utilisons pas de cookies publicitaires, de traceurs de réseaux sociaux ni de solutions d'analytics tierces (Google Analytics, etc.). Pour plus d'informations, consultez notre Politique cookies.
11. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées conformément à l'Art. 32 RGPD :
- Chiffrement des communications en transit (TLS 1.3)
- Hachage des mots de passe (bcrypt, coût adaptatif)
- Isolation réseau interne (pas d'accès direct à la base de données depuis internet)
- Sandboxing Docker des scripts soumis (réseau désactivé, lecture seule, capabilities supprimées)
- Sauvegardes chiffrées de la base de données toutes les 6 heures
- Journalisation des accès et détection d'anomalies
En cas de violation de données à caractère personnel (Art. 33 RGPD), nous notifierons la CNIL dans les 72 heures et les personnes concernées si la violation est susceptible d'engendrer un risque élevé.
12. Mineurs
Le Service est exclusivement destiné aux personnes âgées d'au moins 16 ans (Art. 8 RGPD). Nous ne collectons pas sciemment de données personnelles relatives à des mineurs. Si vous pensez qu'un mineur a créé un compte, contactez-nous immédiatement pour demander la suppression.
13. Droits spécifiques par pays
Californie (CCPA / CPRA)
Les résidents californiens bénéficient du droit de savoir quelles données sont collectées, du droit de suppression, du droit d'opt-out de la vente (nous ne vendons pas vos données), du droit à la non-discrimination et du droit à la correction. Envoyez votre demande à admin@ghostnexus.io en mentionnant « CCPA Request ».
Brésil (LGPD — Lei 13.709/2018)
Les résidents brésiliens disposent de droits similaires au RGPD : accès, correction, anonymisation, portabilité, suppression et opposition. L'autorité compétente est l'ANPD (Autoridade Nacional de Proteção de Dados — gov.br/anpd).
Canada (PIPEDA / Loi 25)
Les résidents canadiens peuvent exercer leurs droits d'accès et de correction sous la PIPEDA. L'autorité compétente est le Commissariat à la protection de la vie privée du Canada (OPC).
Royaume-Uni (UK GDPR)
Les droits équivalents au RGPD s'appliquent via le UK GDPR et le Data Protection Act 2018. L'autorité compétente est l'ICO (Information Commissioner's Office).
14. Modifications de la politique
Nous pouvons mettre à jour cette politique à tout moment. En cas de modification substantielle, nous vous informerons par email ou notification dans l'application au moins 30 jours avant l'entrée en vigueur. La poursuite de l'utilisation du Service après ce délai vaut acceptation des nouvelles conditions.
15. Contact
Pour toute question relative à cette politique ou pour exercer vos droits :
Email : admin@ghostnexus.io (objet : « RGPD / Droits »)
Adresse postale : GhostNexus SAS, [ADRESSE — à renseigner]
Délai de réponse : 1 mois maximum (Art. 12(3) RGPD)