🧪 Environnement de démonstrationEspace de test temporaire — ne saisissez pas de données réelles confidentielles. Vos données seront supprimées après une période d'inactivité.Exporter mes donnéesDéployer ACRA dans mon SI
← Retour

Politique de confidentialité

Dernière mise à jour : mai 2025 — Conforme au RGPD (Règlement (UE) 2016/679)

1. Responsable du traitement

ACRA (Augmented Cyber Risk Analysis) est un outil interne de gestion des risques cyber. Le responsable du traitement est l'organisation qui déploie et opère cette instance de l'application. Pour toute question relative à la protection des données, contactez votre Délégué à la Protection des Données (DPO) ou l'administrateur de l'application.

2. Données collectées

Dans le cadre de l'utilisation d'ACRA, les données suivantes peuvent être collectées :

  • Données d'identification : nom, adresse e-mail, rôle dans l'organisation.
  • Données d'authentification : hash du mot de passe (jamais le mot de passe en clair), date de dernière modification.
  • Données d'analyse de risques : informations relatives aux analyses EBIOS RM créées par l'utilisateur (organisations, scénarios, risques, mesures).
  • Données de journalisation : actions techniques (connexion, modifications) à des fins de traçabilité et de sécurité.

3. Finalités et bases légales

FinalitéBase légale (RGPD)
Authentification et gestion des comptes utilisateursExécution du contrat (Art. 6.1.b)
Réalisation et stockage des analyses de risquesIntérêt légitime (Art. 6.1.f) — sécurité des systèmes
Gestion des rôles et des droits d'accès (RBAC)Obligation légale et intérêt légitime (Art. 6.1.c/f)
Journalisation pour la sécurité et la traçabilitéIntérêt légitime (Art. 6.1.f)

4. Destinataires des données

Les données sont accessibles aux utilisateurs authentifiés selon leurs droits (RBAC). Elles ne sont pas transmises à des tiers sans consentement explicite, sauf obligation légale. Les données d'analyses peuvent être partagées entre membres d'une même équipe selon les permissions configurées par le propriétaire de l'analyse.

5. Durée de conservation

  • Comptes utilisateurs : conservés tant que le compte est actif. Supprimables par l'administrateur.
  • Analyses de risques : conservées jusqu'à suppression explicite par le propriétaire ou l'administrateur.
  • Journaux de connexion : durée déterminée par la politique de journalisation de l'organisation (recommandé : 12 mois).

6. Droits des personnes concernées

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) — obtenir une copie de vos données personnelles.
  • Droit de rectification (Art. 16) — corriger des données inexactes.
  • Droit à l'effacement (Art. 17) — demander la suppression de votre compte et données.
  • Droit à la portabilité (Art. 20) — exporter vos analyses via la fonction d'export JSON/CSV.
  • Droit d'opposition (Art. 21) — vous opposer à certains traitements fondés sur l'intérêt légitime.
  • Droit de limitation (Art. 18) — demander la limitation du traitement.

Pour exercer ces droits, contactez votre DPO ou l'administrateur de l'instance ACRA. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.

7. Sécurité des données

ACRA met en œuvre les mesures de sécurité suivantes : chiffrement des mots de passe (bcrypt), authentification par jeton JWT, contrôle d'accès basé sur les rôles (RBAC), en-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options), validation stricte des entrées (Zod), et limitation du nombre de tentatives de connexion.

8. Cookies

ACRA utilise uniquement des cookies strictement nécessaires au fonctionnement : un cookie de session pour l'authentification (JWT NextAuth) et un cookie de préférence de langue (acra-locale). Aucun cookie de tracking ou publicitaire n'est utilisé.