Politique de confidentialité - Humanix-Cybersecurity

Responsable du traitement

Le responsable du traitement est Humanix-Cybersecurity SASU, 16 Rue Joseph Loiret, 30100 Alès, France (SIREN 103 901 799).

La présente politique s'applique uniquement aux services Cloud opérés par Humanix-Cybersecurity (paliers Starter, Pro, Enterprise). Les organisations qui déploient elles-mêmes Humanix Community Edition en self-host (à partir du code source publié sous licence GNU AGPL v3) deviennent seules responsables de traitement au sens du RGPD pour leur instance. Humanix-Cybersecurity n'a, dans ce cas, ni qualité de sous-traitant, ni accès aux données traitées, ni obligation de notification CNIL. Les modèles publiés dans le dépôt (docs/PRIVACY_TEMPLATE.md, registre, DPA) sont fournis à titre indicatif et ne constituent pas une délégation de responsabilité.

Contact RGPD : rgpd@humanix-cybersecurity.fr
Représentant : Florian Durano, Président

ℹ️

À ce jour, Humanix-Cybersecurity n'a pas désigné de Délégué à la Protection des Données (DPO), n'étant pas légalement tenue de le faire au regard de l'article 37 du RGPD. Le Président est le point de contact opérationnel pour toute question relative aux données.

Quand collectons-nous vos données ?

Nous collectons des données dans 4 cas :

Visite du site humanix-cybersecurity.fr (cookies techniques uniquement)
Demande de contact via formulaire ou email
Utilisation de la plateforme Humanix Académie en tant qu'apprenant ou administrateur d'une organisation cliente
Prestation de service : formation, audit, accompagnement RSSI

Quelles données et pour quelle finalité ?

3.1Visite du site

Donnée	Finalité	Base légale	Durée
Adresse IP, user agent (logs serveur)	Sécurité, détection d'abus, audit	Intérêt légitime	12 mois
Cookie de session (next-auth.session-token)	Maintien de votre session après connexion	Intérêt légitime / nécessaire au service	30 jours maximum, ou expiration de la session
Cookie CSRF (next-auth.csrf-token)	Protection contre les attaques par falsification de requête	Intérêt légitime / nécessaire au service	Durée de la session
Préférence de thème (humanix-theme, localStorage)	Mémorisation de votre choix d'affichage	Intérêt légitime	Persistant tant que non supprimé

3.2Plateforme Humanix Académie

ℹ️

En tant qu'éditeur, nous agissons comme sous-traitant au sens de l'article 28 du RGPD pour le compte de votre employeur (ou de l'organisation qui vous a inscrit). Le responsable du traitement de vos données d'apprentissage est votre employeur ; nous traitons les données sur ses instructions documentées via un contrat de sous-traitance (DPA).

Donnée	Finalité	Durée
Email professionnel, prénom, nom, service	Authentification, attribution des progressions	Durée du contrat client + 1 an
Progressions, scores, badges, mascotte choisie	Suivi pédagogique, gamification	Durée du contrat client + 1 an
Logs de connexion, événements pédagogiques	Traçabilité, sécurité, statistiques agrégées	12 mois
Résultats de tests phishing simulés	Mesure de maturité, formation ciblée	Durée du contrat client

3.3Prospection et relation commerciale

Donnée	Finalité	Base légale	Durée
Nom, email pro, téléphone, fonction, entreprise	Réponse à demande, prospection B2B	Intérêt légitime	3 ans après dernier contact
Contenu d'échanges email	Suivi commercial	Mesures précontractuelles	3 ans

3.4Prestations (formation, audit, conseil)

Donnée	Finalité	Durée
Données de facturation, identité du contact	Contrat, facturation, comptabilité	10 ans (obligation légale fiscale)
Listes émargement formation	Obligation Qualiopi / financeur OPCO	3 ans après formation
Rapports d'audit, livrables techniques	Exécution de la prestation	3 ans après livraison, puis suppression sécurisée ou retour au client

⚠️

Données techniques sensibles produites lors d'un audit / pentest (vulnérabilités, identifiants découverts, configurations) : transmises au Client exclusivement, par canal chiffré (TLS 1.3), jamais diffusées à des tiers. Au-delà de 3 ans, elles sont supprimées de manière irréversible ou restituées au Client sur demande, sauf obligation légale (litige, requête judiciaire).

Tests de phishing simulé sur les collaborateurs du Client : ces tests ne sont menés qu'avec autorisation écrite explicite du responsable RH ou de la sécurité du Client, et ne contiennent aucune manipulation dolosive personnelle. Les résultats individuels ne sont communiqués qu'à des fins pédagogiques agrégées ou ciblées de formation, jamais à des fins de sanction.

Qui peut accéder à vos données ?

En interne : le Président de Humanix-Cybersecurity uniquement (entreprise solo)
Sous-traitants techniques :
- Scaleway SAS (France 🇫🇷) - hébergement, sauvegardes, infrastructure cloud
- Scaleway TEM (France 🇫🇷, Paris) - emails transactionnels (lien magique de connexion, alertes, newsletter Cyber-Anecdote du Lundi)
- Payplug SA (France 🇫🇷, Paris) - prestataire de paiement pour les abonnements. Traite les données de carte bancaire en mode tokenisation conforme PCI-DSS niveau 1. Humanix ne reçoit jamais ton numéro de carte ni ton CVV : nous stockons uniquement un identifiant chiffré (token Payplug) qui permet de représenter le moyen de paiement sans pouvoir l'utiliser hors de notre flow.
- Olinda SAS exploitant le service Qonto (France 🇫🇷) - compte de paiement professionnel pour la réception des virements
- Dougs SAS (France 🇫🇷) - expertise comptable, facturation
- Hiscox France (France 🇫🇷) - assureur Responsabilité Civile Professionnelle. N'a accès à aucune donnée client en fonctionnement nominal ; un partage limité ne survient qu'en cas d'incident matériel indemnisé, et exclusivement avec les éléments probants strictement nécessaires à l'instruction du sinistre.
Tiers institutionnels : administration fiscale, URSSAF, en cas d'obligation légale

✅

Aucun transfert hors UE n'est effectué pour les données traitées dans le cadre de la plateforme Humanix Académie. Si un transfert devait avoir lieu, il serait encadré par les clauses contractuelles types de la Commission européenne.

4 bis

Connecteurs sortants activés par le client

La plateforme propose des connecteurs et des formats d'export permettant à votre employeur (responsable du traitement) d'envoyer vos données de progression vers ses propres outils internes : outil GRC CISO Assistant, SIEM Microsoft Sentinel ou Splunk, format OSCAL (NIST), endpoint SCIM v2 pour synchronisation d'annuaire, webhooks signés HMAC-SHA256.

Ces connecteurs ne sont jamais activés sans action explicite de votre employeur (génération d'une clé API ou configuration d'un webhook depuis la console admin).
Aucune donnée personnelle brute (PII) n'est transmise par ces flux : seuls des liens d'accès aux artefacts (qui restent sous notre contrôle d'accès) et des métriques agrégées par tenant.
Une fois les données arrivées dans les outils du responsable de traitement, elles relèvent de sa propre responsabilité et de sa propre politique de confidentialité.
Toutes les exportations sont journalisées (event evidence.exported) et accessibles dans l'audit trail tenant.

Durée de conservation

Voir détail dans les tableaux ci-dessus. À l'issue des durées indiquées, les données sont supprimées ou anonymisées de manière irréversible.

Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Accès : obtenir une copie de vos données
Rectification : corriger des données inexactes
Effacement (droit à l'oubli) : supprimer vos données dans les limites prévues par la loi
Limitation du traitement : geler le traitement
Portabilité : récupérer vos données dans un format structuré
Opposition : refuser le traitement (notamment prospection)
Retrait du consentement à tout moment, sans effet rétroactif
Définir des directives post-mortem sur le sort de vos données

Pour exercer vos droits, écrivez à rgpd@humanix-cybersecurity.fr ou par courrier au siège social. Nous répondons dans un délai maximal de 1 mois.

ℹ️

Si vous êtes utilisateur de la plateforme dans le cadre professionnel, ces demandes doivent en principe transiter par votre employeur (responsable du traitement). Nous nous assurerons en tout état de cause de leur prise en compte.

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07. cnil.fr

Sécurité

Humanix-Cybersecurity met en œuvre des mesures techniques et organisationnelles adaptées pour protéger vos données : chiffrement en transit (TLS), chiffrement au repos (Scaleway), authentification forte des accès administrateur, principe du moindre privilège, journalisation des accès, sauvegardes chiffrées. Le détail est disponible sur notre page Sécurité & Conformité.

Modifications

Cette politique peut être modifiée pour refléter des évolutions légales ou techniques. Nous indiquerons toujours la date de la dernière mise à jour en haut de cette page. Les modifications substantielles seront notifiées par email aux clients actifs.