Confidentialité

Politique de confidentialité

Herozion s'engage à protéger vos données personnelles avec la même rigueur que celle que nous appliquons à la sécurité applicative. Cette politique s'applique au site herozion.io et à l'outil CLI Herozion.

Dernière mise à jour : 17 mai 2026 · Version : v1.1.40

Résumé en une ligne

Votre code source n'est jamais envoyé à nos serveurs. Les seules données que nous collectons sont celles que vous nous fournissez explicitement (e-mail pour l'inscription, données de meetup).

Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service, conformément au principe de minimisation des données (RGPD, art. 5.1.c).

Donnée	Source	Finalité	Base légale
Adresse e-mail	Inscription compte / meetup	Authentification OTP, notifications	Contrat
Prénom & nom	Inscription meetup (optionnel)	Personnalisation des e-mails	Consentement
Adresse IP (tronquée)	Visite du site web	Statistiques d'audience anonymisées, sécurité	Intérêt légitime
Pays & ville approximatifs	Géolocalisation côté serveur	Statistiques géographiques anonymisées	Intérêt légitime
Navigateur & OS	User-Agent HTTP	Compatibilité, statistiques d'audience	Intérêt légitime
Question / commentaire meetup	Formulaire d'inscription	Organisation de l'événement	Consentement

Anonymisation des adresses IP

Les adresses IP ne sont jamais stockées en clair. Elles sont tronquées dès leur réception, avant toute persistance.

Ce que nous ne collectons pas

Votre code source ou tout fichier de votre projet
Vos résultats d'analyse (rapports générés localement)
Vos mots de passe (Herozion n'en utilise pas — auth OTP uniquement)
Vos données de paiement (traitées directement par Stripe)
Des données de localisation précises (uniquement ville/pays approximatifs)

Utilisation des données

Les données collectées sont utilisées exclusivement pour les finalités déclarées ci-dessous. Aucune utilisation secondaire, publicitaire ou de profilage n'est effectuée.

Communications transactionnelles

Envoi du code OTP d'authentification, confirmation d'inscription meetup, e-mail de bienvenue. Jamais de marketing non sollicité.

Statistiques anonymisées

Les logs de visite (IP tronquée, pays, navigateur) sont agrégés pour comprendre l'audience. Les données individuelles ne sont pas consultées.

Sécurité opérationnelle

Les données de connexion (IP tronquée, navigateur) permettent de détecter les anomalies et les attaques, conformément à l'intérêt légitime de sécurité.

Organisation des événements

Les inscriptions meetup (nom, e-mail, question) sont utilisées uniquement pour organiser l'événement concerné, puis supprimées après 90 jours.

Chiffrement des données

Toutes les données personnelles stockées par Herozion sont chiffrées au repos avec un algorithme de chiffrement authentifié (standard utilisé par les institutions financières et les gouvernements). Le chiffrement est appliqué avant toute écriture sur disque ou stockage objet.

Chiffrement authentifié — Garantit à la fois la confidentialité et l'intégrité des données. Toute altération du contenu chiffré est détectée.
IV aléatoire par opération — Chaque chiffrement utilise un vecteur d'initialisation généré de façon cryptographiquement sûre. Deux chiffrements identiques donnent des résultats différents.
Clés hors du code — Les clés de chiffrement ne sont jamais dans le code source. Elles sont injectées via des variables d'environnement au déploiement.
HTTPS partout — TLS 1.2+ sur toutes les communications. HSTS activé avec durée d'un an, préchargement inclus.
Cookies sécurisés — Les jetons de session sont stockés dans des cookies httpOnly (inaccessibles au JavaScript), Secure (HTTPS uniquement) et SameSite=Strict.

Rétention & Suppression automatique

Conformément au principe de limitation de la conservation (RGPD, art. 5.1.e), les données sont supprimées dès qu'elles ne sont plus nécessaires à leur finalité.

Type de donnée	Durée de rétention	Suppression
Inscriptions meetup	90 jours après l'événement	Suppression automatique programmée
Logs de visite (IP tronquée)	30 jours glissants	Rotation automatique, entrées anciennes écrasées
Code OTP (authentification)	Quelques minutes	Invalidé immédiatement après utilisation ou expiration
Session utilisateur (JWT)	Courte durée (quelques jours)	Expiration automatique du cookie, révocable via déconnexion
E-mails transactionnels	Non stockés par Herozion	Transitent par le serveur SMTP, non persistés

Droit à l'effacement immédiat

Sur simple demande à [email protected], toutes vos données personnelles identifiables sont supprimées dans un délai de 30 jours, conformément à l'article 17 du RGPD.

Partage avec des tiers

Herozion ne vend pas et ne loue pas vos données personnelles. Le partage avec des tiers est limité aux sous-traitants techniques strictement nécessaires.

Tiers	Rôle	Données partagées	Localisation
DigitalOcean	Hébergement serveur & stockage chiffré	Données chiffrées au repos uniquement	Union Européenne
Stripe	Paiement en ligne	Données de paiement (traitées par Stripe, jamais par Herozion)	USA (Stripe Inc.)
Prestataire de messagerie	Envoi d'e-mails transactionnels	Adresse e-mail du destinataire, contenu de l'e-mail	Union Européenne
Service de géolocalisation	Géolocalisation approximative (côté serveur)	Adresse IP uniquement — réponse : pays + ville	USA
Google Fonts	Police de caractères Inter	Requête HTTP sans données personnelles (CSS + polices)	USA

Transferts hors UE (USA)

Certains sous-traitants sont basés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et/ou le cadre EU-US Data Privacy Framework.

Vos droits RGPD

En tant que résident de l'Espace Économique Européen (EEE) ou de toute juridiction dotée d'une loi de protection des données équivalente, vous disposez des droits suivants :

Droit d'accès (art. 15) — Obtenir la liste de toutes les données personnelles que nous détenons sur vous.
Droit de rectification (art. 16) — Corriger des données inexactes ou incomplètes.
Droit à l'effacement (art. 17) — Demander la suppression de toutes vos données (« droit à l'oubli »).
Droit à la portabilité (art. 20) — Recevoir vos données dans un format structuré et lisible par machine (JSON).
Droit d'opposition (art. 21) — S'opposer au traitement fondé sur l'intérêt légitime (statistiques, sécurité).
Droit à la limitation (art. 18) — Demander la limitation du traitement pendant une contestation ou une vérification.
Droit de retrait du consentement — Retirer à tout moment un consentement préalablement donné.

Pour exercer vos droits, contactez : [email protected]. Nous répondons dans un délai maximum de 30 jours. En cas de litige, vous pouvez vous adresser à l'autorité de contrôle de votre pays (ex. : CNIL en France).

Cookies & Stockage local

Herozion utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de profilage ou de tracking tiers n'est utilisé.

Cookie / Clé	Type	Contenu	Durée
Jeton de session utilisateur	httpOnly · Secure · SameSite=Strict	JWT de session (opaque côté client)	Courte durée
Jeton de session admin	httpOnly · Secure · SameSite=Strict	Hash de session (jamais le token brut)	Session navigateur
Préférence de langue (localStorage)	localStorage	Préférence de langue (fr/en/es/pt)	Permanent (local)

Pas de banner cookies nécessaire

Conformément aux directives ePrivacy et aux recommandations de la CNIL, les cookies strictement nécessaires ne requièrent pas de consentement préalable explicite. Aucun autre cookie n'est déposé.

Contact & DPO

Pour toute question relative à cette politique ou pour exercer vos droits :

Herozion — Responsable de la protection des données

E-mail : [email protected]

Délai de réponse : 30 jours maximum (RGPD art. 12.3)

Sécurité : [email protected]

Support général : [email protected]