Politique de confidentialité
Herozion s'engage à protéger vos données personnelles avec la même rigueur que celle que nous appliquons à la sécurité applicative. Cette politique s'applique au site herozion.io et à l'outil CLI Herozion.
Dernière mise à jour : 6 juin 2026 · Version : v1.2.27
L'analyse s'exécute sur votre machine. Télémétrie anonyme (identifiant d'installation + métadonnées post-scan, opt-out HEROZION_TELEMETRY=0), OSV.dev et dashboard cloud (push opt-in), détails dans la section CLI.
CLI, analyse locale et réseau
Lors du premier scan local, Herozion génère un identifiant anonyme stable par installation (hash non réversible, jamais votre nom, email ou données personnelles) afin de mesurer le nombre d'installations actives et améliorer le produit. Cet identifiant, ainsi que les métadonnées post-scan habituelles (score, compteurs, durée, version CLI, OS), peuvent être désactivés via HEROZION_TELEMETRY=0. Aucun code source ni chemin de fichier n'est jamais transmis. Les vérifications CVE passent par OSV.dev (sauf --offline) ; le dashboard cloud reste opt-in via herozion push.
Ce qui reste sur votre machine
- Lecture des fichiers via votre système de fichiers, aucun upload du dépôt complet.
- Rapports JSON stockés localement dans
~/.herozion/. - Toute correction ou modification de fichier exige votre confirmation explicite.
Connexions réseau possibles (CLI)
- Télémétrie anonyme, identifiant d'installation (hash) + métadonnées post-scan (score, compteurs, durée, version CLI, OS). Opt-out :
HEROZION_TELEMETRY=0. - OSV.dev, noms et versions de packages pour les CVE de dépendances (pas votre code). Désactivé avec
herozion scan --offline. - API Herozion, si connecté (
herozion login) : OTP par e-mail, session/auth/me, validation de licence. - Push opt-in,
herozion pushuniquement sur votre commande (voir ci-dessous).
herozion push
Envoie au dashboard les résultats structurés du scan : score, catégories, chemins de fichiers et extraits de lignes autour des findings, jamais l'intégralité de vos sources ni votre dépôt complet.
Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service, conformément au principe de minimisation des données (RGPD, art. 5.1.c).
| Donnée | Source | Finalité | Base légale |
|---|---|---|---|
| Adresse e-mail | Inscription compte / meetup | Authentification OTP, notifications | Contrat |
| Prénom & nom | Inscription meetup (optionnel) | Personnalisation des e-mails | Consentement |
| Adresse IP (tronquée) | Visite du site web | Statistiques d'audience anonymisées, sécurité | Intérêt légitime |
| Pays & ville approximatifs | Géolocalisation côté serveur | Statistiques géographiques anonymisées | Intérêt légitime |
| Navigateur & OS | User-Agent HTTP | Compatibilité, statistiques d'audience | Intérêt légitime |
| Question / commentaire meetup | Formulaire d'inscription | Organisation de l'événement | Consentement |
| Identifiant anonyme d'installation (hash non réversible) | Premier scan local sans compte | Mesurer l'adoption de l'outil, améliorer le produit | Intérêt légitime |
| Métadonnées télémétrie CLI | Post-scan CLI (opt-out) | Statistiques anonymes d'usage produit | Intérêt légitime |
| Findings push (extraits) | herozion push (opt-in) |
Dashboard cloud, historique de scans | Contrat |
Les adresses IP ne sont jamais stockées en clair. Elles sont tronquées dès leur réception, avant toute persistance.
Ce que nous ne collectons pas
- Votre dépôt complet ou l'archive de votre projet
- Vos rapports locaux (sauf si vous exécutez
herozion push) - Vos mots de passe (Herozion n'en utilise pas, auth OTP uniquement)
- Vos données de paiement (traitées directement par Stripe)
- Des données de localisation précises (uniquement ville/pays approximatifs)
Utilisation des données
Les données collectées sont utilisées exclusivement pour les finalités déclarées ci-dessous. Aucune utilisation secondaire, publicitaire ou de profilage n'est effectuée.
Chiffrement des données
Vos données sont protégées par un chiffrement de niveau bancaire, le même type de protection que celui utilisé par les institutions financières.
- Données chiffrées au repos, impossible de les lire sans autorisation.
- Connexions sécurisées HTTPS, tout ce qui transite entre vous et Herozion est protégé.
- Clés de chiffrement gérées de façon sécurisée, jamais exposées dans le code.
Rétention & Suppression automatique
Conformément au principe de limitation de la conservation (RGPD, art. 5.1.e), les données sont supprimées dès qu'elles ne sont plus nécessaires à leur finalité.
| Type de donnée | Durée de rétention | Suppression |
|---|---|---|
| Inscriptions meetup | 90 jours après l'événement | Suppression automatique programmée |
| Logs de visite (IP tronquée) | 30 jours glissants | Rotation automatique, entrées anciennes écrasées |
| Code OTP (authentification) | Quelques minutes | Invalidé immédiatement après utilisation ou expiration |
| Session utilisateur (JWT) | Courte durée (quelques jours) | Expiration automatique du cookie, révocable via déconnexion |
| E-mails transactionnels | Non stockés par Herozion | Transitent par le serveur SMTP, non persistés |
| Télémétrie CLI anonyme | 12 mois glissants (agrégats) | Métadonnées anonymisées, jamais de code source |
| Rapports push (dashboard) | Durée du compte actif | Supprimables sur demande ou à la clôture du compte |
Sur simple demande à [email protected], toutes vos données personnelles identifiables sont supprimées dans un délai de 30 jours, conformément à l'article 17 du RGPD.
Partage avec des tiers
Herozion ne vend pas et ne loue pas vos données personnelles. Le partage avec des tiers est limité aux sous-traitants techniques strictement nécessaires.
| Tiers | Rôle | Données partagées | Localisation |
|---|---|---|---|
| DigitalOcean | Hébergement serveur & stockage chiffré | Données chiffrées au repos uniquement | Union Européenne |
| Stripe | Paiement en ligne | Données de paiement (traitées par Stripe, jamais par Herozion) | USA (Stripe Inc.) |
| Prestataire de messagerie | Envoi d'e-mails transactionnels | Adresse e-mail du destinataire, contenu de l'e-mail | Union Européenne |
| Service de géolocalisation | Géolocalisation approximative (côté serveur) | Adresse IP uniquement, réponse : pays + ville | USA |
| Google Fonts | Police de caractères Inter | Requête HTTP sans données personnelles (CSS + polices) | USA |
| OSV.dev | Base CVE open source (dépendances) | Noms et versions de packages, jamais votre code source | USA (Google) |
Certains sous-traitants sont basés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types (CCT) de la Commission européenne et/ou le cadre EU-US Data Privacy Framework.
Vos droits RGPD
En tant que résident de l'Espace Économique Européen (EEE) ou de toute juridiction dotée d'une loi de protection des données équivalente, vous disposez des droits suivants :
- Droit d'accès (art. 15), Obtenir la liste de toutes les données personnelles que nous détenons sur vous.
- Droit de rectification (art. 16), Corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17), Demander la suppression de toutes vos données (« droit à l'oubli »).
- Droit à la portabilité (art. 20), Recevoir vos données dans un format structuré et lisible par machine (JSON).
- Droit d'opposition (art. 21), S'opposer au traitement fondé sur l'intérêt légitime (statistiques, sécurité).
- Droit à la limitation (art. 18), Demander la limitation du traitement pendant une contestation ou une vérification.
- Droit de retrait du consentement, Retirer à tout moment un consentement préalablement donné.
Pour exercer vos droits, contactez : [email protected]. Nous répondons dans un délai maximum de 30 jours. En cas de litige, vous pouvez vous adresser à l'autorité de contrôle de votre pays (ex. : CNIL en France).
Cookies & Stockage local
Herozion utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de profilage ou de tracking tiers n'est utilisé.
- Session de connexion, pour vous garder connecté au dashboard.
- Préférence de langue, mémorisée localement sur votre appareil.
- Aucun cookie publicitaire, de suivi ou de profilage.
Conformément aux directives ePrivacy et aux recommandations de la CNIL, les cookies strictement nécessaires ne requièrent pas de consentement préalable explicite. Aucun autre cookie n'est déposé.
Contact & DPO
Pour toute question relative à cette politique ou pour exercer vos droits :
Herozion, Responsable de la protection des données
E-mail : [email protected]
Délai de réponse : 30 jours maximum (RGPD art. 12.3)
Pour un signalement de sécurité : [email protected].