Herozion Herozion
  • Sécurité
  • Gestion du code
  • Documentation
← Retour au site
Sécurité Gestion du code Documentation ← Retour au site
Politique Introduction CLI & analyse locale Données collectées Utilisation
Protection Chiffrement Rétention & Suppression Partage
Vos droits Droits RGPD Cookies Contact DPO
Confidentialité

Politique de confidentialité

Herozion s'engage à protéger vos données personnelles avec la même rigueur que celle que nous appliquons à la sécurité applicative. Cette politique s'applique au site herozion.io et à l'outil CLI Herozion.

Dernière mise à jour : 6 juin 2026 · Version : v1.2.27

Résumé en une ligne

L'analyse s'exécute sur votre machine. Télémétrie anonyme (identifiant d'installation + métadonnées post-scan, opt-out HEROZION_TELEMETRY=0), OSV.dev et dashboard cloud (push opt-in), détails dans la section CLI.

CLI, analyse locale et réseau

Lors du premier scan local, Herozion génère un identifiant anonyme stable par installation (hash non réversible, jamais votre nom, email ou données personnelles) afin de mesurer le nombre d'installations actives et améliorer le produit. Cet identifiant, ainsi que les métadonnées post-scan habituelles (score, compteurs, durée, version CLI, OS), peuvent être désactivés via HEROZION_TELEMETRY=0. Aucun code source ni chemin de fichier n'est jamais transmis. Les vérifications CVE passent par OSV.dev (sauf --offline) ; le dashboard cloud reste opt-in via herozion push.

Ce qui reste sur votre machine

  • Lecture des fichiers via votre système de fichiers, aucun upload du dépôt complet.
  • Rapports JSON stockés localement dans ~/.herozion/.
  • Toute correction ou modification de fichier exige votre confirmation explicite.

Connexions réseau possibles (CLI)

  • Télémétrie anonyme, identifiant d'installation (hash) + métadonnées post-scan (score, compteurs, durée, version CLI, OS). Opt-out : HEROZION_TELEMETRY=0.
  • OSV.dev, noms et versions de packages pour les CVE de dépendances (pas votre code). Désactivé avec herozion scan --offline.
  • API Herozion, si connecté (herozion login) : OTP par e-mail, session /auth/me, validation de licence.
  • Push opt-in, herozion push uniquement sur votre commande (voir ci-dessous).
Commande herozion push

Envoie au dashboard les résultats structurés du scan : score, catégories, chemins de fichiers et extraits de lignes autour des findings, jamais l'intégralité de vos sources ni votre dépôt complet.

Données collectées

Nous collectons uniquement les données strictement nécessaires au fonctionnement du service, conformément au principe de minimisation des données (RGPD, art. 5.1.c).

DonnéeSourceFinalitéBase légale
Adresse e-mail Inscription compte / meetup Authentification OTP, notifications Contrat
Prénom & nom Inscription meetup (optionnel) Personnalisation des e-mails Consentement
Adresse IP (tronquée) Visite du site web Statistiques d'audience anonymisées, sécurité Intérêt légitime
Pays & ville approximatifs Géolocalisation côté serveur Statistiques géographiques anonymisées Intérêt légitime
Navigateur & OS User-Agent HTTP Compatibilité, statistiques d'audience Intérêt légitime
Question / commentaire meetup Formulaire d'inscription Organisation de l'événement Consentement
Identifiant anonyme d'installation (hash non réversible) Premier scan local sans compte Mesurer l'adoption de l'outil, améliorer le produit Intérêt légitime
Métadonnées télémétrie CLI Post-scan CLI (opt-out) Statistiques anonymes d'usage produit Intérêt légitime
Findings push (extraits) herozion push (opt-in) Dashboard cloud, historique de scans Contrat
Anonymisation des adresses IP

Les adresses IP ne sont jamais stockées en clair. Elles sont tronquées dès leur réception, avant toute persistance.

Ce que nous ne collectons pas

  • Votre dépôt complet ou l'archive de votre projet
  • Vos rapports locaux (sauf si vous exécutez herozion push)
  • Vos mots de passe (Herozion n'en utilise pas, auth OTP uniquement)
  • Vos données de paiement (traitées directement par Stripe)
  • Des données de localisation précises (uniquement ville/pays approximatifs)

Utilisation des données

Les données collectées sont utilisées exclusivement pour les finalités déclarées ci-dessous. Aucune utilisation secondaire, publicitaire ou de profilage n'est effectuée.

Communications transactionnelles
Envoi du code OTP d'authentification, confirmation d'inscription meetup, e-mail de bienvenue. Jamais de marketing non sollicité.
Statistiques anonymisées
Les logs de visite (IP tronquée, pays, navigateur) sont agrégés pour comprendre l'audience. Les données individuelles ne sont pas consultées.
Sécurité opérationnelle
Les données de connexion (IP tronquée, navigateur) permettent de détecter les anomalies et les attaques, conformément à l'intérêt légitime de sécurité.
Organisation des événements
Les inscriptions meetup (nom, e-mail, question) sont utilisées uniquement pour organiser l'événement concerné, puis supprimées après 90 jours.

Chiffrement des données

Vos données sont protégées par un chiffrement de niveau bancaire, le même type de protection que celui utilisé par les institutions financières.

  • Données chiffrées au repos, impossible de les lire sans autorisation.
  • Connexions sécurisées HTTPS, tout ce qui transite entre vous et Herozion est protégé.
  • Clés de chiffrement gérées de façon sécurisée, jamais exposées dans le code.

Rétention & Suppression automatique

Conformément au principe de limitation de la conservation (RGPD, art. 5.1.e), les données sont supprimées dès qu'elles ne sont plus nécessaires à leur finalité.

Type de donnéeDurée de rétentionSuppression
Inscriptions meetup 90 jours après l'événement Suppression automatique programmée
Logs de visite (IP tronquée) 30 jours glissants Rotation automatique, entrées anciennes écrasées
Code OTP (authentification) Quelques minutes Invalidé immédiatement après utilisation ou expiration
Session utilisateur (JWT) Courte durée (quelques jours) Expiration automatique du cookie, révocable via déconnexion
E-mails transactionnels Non stockés par Herozion Transitent par le serveur SMTP, non persistés
Télémétrie CLI anonyme 12 mois glissants (agrégats) Métadonnées anonymisées, jamais de code source
Rapports push (dashboard) Durée du compte actif Supprimables sur demande ou à la clôture du compte
Droit à l'effacement immédiat

Sur simple demande à [email protected], toutes vos données personnelles identifiables sont supprimées dans un délai de 30 jours, conformément à l'article 17 du RGPD.

Partage avec des tiers

Herozion ne vend pas et ne loue pas vos données personnelles. Le partage avec des tiers est limité aux sous-traitants techniques strictement nécessaires.

TiersRôleDonnées partagéesLocalisation
DigitalOcean Hébergement serveur & stockage chiffré Données chiffrées au repos uniquement Union Européenne
Stripe Paiement en ligne Données de paiement (traitées par Stripe, jamais par Herozion) USA (Stripe Inc.)
Prestataire de messagerie Envoi d'e-mails transactionnels Adresse e-mail du destinataire, contenu de l'e-mail Union Européenne
Service de géolocalisation Géolocalisation approximative (côté serveur) Adresse IP uniquement, réponse : pays + ville USA
Google Fonts Police de caractères Inter Requête HTTP sans données personnelles (CSS + polices) USA
OSV.dev Base CVE open source (dépendances) Noms et versions de packages, jamais votre code source USA (Google)
Transferts hors UE (USA)

Certains sous-traitants sont basés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et/ou le cadre EU-US Data Privacy Framework.

Vos droits RGPD

En tant que résident de l'Espace Économique Européen (EEE) ou de toute juridiction dotée d'une loi de protection des données équivalente, vous disposez des droits suivants :

  • Droit d'accès (art. 15), Obtenir la liste de toutes les données personnelles que nous détenons sur vous.
  • Droit de rectification (art. 16), Corriger des données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17), Demander la suppression de toutes vos données (« droit à l'oubli »).
  • Droit à la portabilité (art. 20), Recevoir vos données dans un format structuré et lisible par machine (JSON).
  • Droit d'opposition (art. 21), S'opposer au traitement fondé sur l'intérêt légitime (statistiques, sécurité).
  • Droit à la limitation (art. 18), Demander la limitation du traitement pendant une contestation ou une vérification.
  • Droit de retrait du consentement, Retirer à tout moment un consentement préalablement donné.

Pour exercer vos droits, contactez : [email protected]. Nous répondons dans un délai maximum de 30 jours. En cas de litige, vous pouvez vous adresser à l'autorité de contrôle de votre pays (ex. : CNIL en France).

Cookies & Stockage local

Herozion utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de profilage ou de tracking tiers n'est utilisé.

  • Session de connexion, pour vous garder connecté au dashboard.
  • Préférence de langue, mémorisée localement sur votre appareil.
  • Aucun cookie publicitaire, de suivi ou de profilage.
Pas de banner cookies nécessaire

Conformément aux directives ePrivacy et aux recommandations de la CNIL, les cookies strictement nécessaires ne requièrent pas de consentement préalable explicite. Aucun autre cookie n'est déposé.

Contact & DPO

Pour toute question relative à cette politique ou pour exercer vos droits :

Herozion, Responsable de la protection des données

E-mail : [email protected]

Délai de réponse : 30 jours maximum (RGPD art. 12.3)

Pour un signalement de sécurité : [email protected].

Herozion Herozion © 2026 Herozion Team. Tous droits réservés.
Sécurité Confidentialité Gestion du code Documentation Conditions d'utilisation [email protected]
SiteLock v1.2.27 Licence Propriétaire