Politique de Confidentialité

La présente Politique de Confidentialité décrit la manière dont Pinguro collecte, utilise, conserve et protège les données à caractère personnel de ses utilisateurs, conformément au Règlement (UE) 2016/679 dit RGPD et à la loi Informatique et Libertés.

1. Responsable de traitement

Le responsable du traitement des données personnelles est Pinguro. Pour toute question relative à la protection de vos données, vous pouvez nous contacter à l'adresse suivante : [email protected].

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

• Données de compte : adresse email, empreinte (hash) du mot de passe, langue, date de création du compte.
• Données de facturation : identifiant client Stripe (stripe_customer_id) et identifiant d'abonnement (stripe_subscription_id). Aucune donnée bancaire n'est stockée par Pinguro ; elle est traitée exclusivement par Stripe.
• Données de configuration : monitors configurés (noms, URLs, intervalles), canaux d'alerte (emails de notification, webhooks Slack / Discord), pages de statut publiées.
• Données d'usage : résultats des vérifications (latence, code de statut), historique des incidents, logs techniques.

3. Finalités et bases légales

Vos données sont traitées aux finalités suivantes :

• Fourniture du Service (exécution du contrat) : création et gestion du compte, exécution des vérifications, envoi des alertes, affichage des pages de statut.
• Facturation (exécution du contrat / obligation légale) : gestion des abonnements et émission des factures via Stripe.
• Sécurité (intérêt légitime) : détection et prévention des fraudes, abus et attaques, conservation de logs techniques.
• Communication de service (exécution du contrat) : envoi d'emails de vérification, de notification d'incident et de messages transactionnels.
• Amélioration du Service (intérêt légitime) : analyse agrégée de l'usage pour optimiser les performances et corriger les anomalies.

4. Durée de conservation

• Données de compte : conservées tant que le compte est actif, puis effacées dans un délai de 30 jours après suppression du compte.
• Données de facturation : conservées pendant 10 ans à compter de la dernière transaction, conformément aux obligations comptables.
• Résultats de vérification et historique d'incidents : conservés au maximum 13 mois glissants, puis agrégés ou effacés.
• Logs techniques de sécurité : conservés 12 mois maximum.

5. Destinataires et sous-traitants

Vos données ne sont jamais revendues. Elles peuvent être transmises aux sous-traitants suivants, agissant sur instruction d'Pinguro et liés par un Data Processing Agreement (DPA) :

• Hetzner Online GmbH (Allemagne) — hébergement de l'infrastructure serveur et de la base de données. Datacenter situé à Nuremberg (Allemagne, UE).
• Backblaze, Inc. (région EU : Amsterdam, Pays-Bas) — stockage chiffré des sauvegardes nocturnes de la base de données.
• Resend, Inc. (région EU : Irlande) — acheminement des emails transactionnels (vérification de compte, réinitialisation de mot de passe, alertes monitoring).
• Cloudflare, Inc. (réseau global, traitement EU privilégié) — DNS, reverse proxy HTTPS, protection anti-DDoS, mesure d'audience anonyme (Web Analytics) et protection anti-spam (Turnstile). Aucun cookie n'est posé.
• Functional Software Inc. (Sentry) (région EU : Frankfurt) — collecte d'erreurs techniques applicatives à des fins de débogage. Les rapports d'erreur peuvent contenir des fragments d'URL ou des messages d'erreur, sans données personnelles directes.
• Stripe Payments Europe Ltd. (Irlande) — traitement des paiements et gestion des abonnements (lorsque les plans payants sont activés).

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

• Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.
• Droit de rectification : corriger des données inexactes ou incomplètes depuis votre compte ou sur demande.
• Droit à l'effacement : supprimer l'intégralité de votre compte et de vos données depuis les paramètres de votre tableau de bord, ou sur demande écrite.
• Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé.
• Droit d'opposition : vous opposer, pour motifs légitimes, à un traitement fondé sur l'intérêt légitime.
• Droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (en France, la CNIL — www.cnil.fr).

Pour exercer ces droits, écrivez-nous à [email protected]. Une réponse vous sera apportée dans un délai maximum d'un mois.

7. Cookies et stockage local

Pinguro n'utilise aucun cookie de suivi publicitaire, aucun cookie de tracking comportemental, ni aucun outil d'analyse tiers nécessitant le consentement.

Les seuls éléments stockés côté navigateur sont :

• JWT d'authentification (localStorage) — jeton de session strictement nécessaire au fonctionnement du tableau de bord. Effacé à la déconnexion.
• Cloudflare Web Analytics — mesure d'audience anonyme (pages vues, pays approximatif, type de navigateur). Aucun cookie posé, aucune adresse IP stockée, aucun fingerprinting. Conforme RGPD sans consentement préalable au sens de l'article 82 LCEN.
• Cloudflare Turnstile (uniquement sur le formulaire de contact) — challenge anti-spam invisible. Aucun cookie persistant n'est posé.
• Sentry (côté navigateur) — collecte d'erreurs JavaScript techniques. Aucun cookie posé.

Les polices de caractères utilisées (Geist et Geist Mono) sont auto-hébergées sur les serveurs Pinguro et ne déclenchent aucune requête vers des tiers (notamment Google Fonts).

8. Sécurité

Nous appliquons des mesures techniques et organisationnelles adaptées pour protéger vos données : chiffrement des communications (HTTPS), hachage des mots de passe avec bcrypt, limitation des tentatives d'authentification, isolation des environnements, revues de code et mises à jour régulières.

9. Hébergement et transferts hors Union européenne

L'ensemble de l'infrastructure technique de Pinguro est hébergé en Allemagne (Hetzner Online GmbH, datacenter de Nuremberg). Les données sont stockées au sein de l'Union européenne :

• Base de données principale : Allemagne (Hetzner).
• Sauvegardes nocturnes : Pays-Bas (Backblaze, région EU Amsterdam).
• Emails transactionnels : Irlande (Resend, région EU).
• Erreurs applicatives : Allemagne (Sentry, région EU Frankfurt).

Certains sous-traitants sont des sociétés de droit américain (Cloudflare, Backblaze, Stripe). Bien que les données traitées pour le compte d'Pinguro soient situées en Union européenne, ces sociétés peuvent être soumises à des demandes d'autorités américaines (CLOUD Act). Pour limiter ce risque :

• Aucune donnée personnelle n'est transmise à Cloudflare au-delà de ce qui transite naturellement via le DNS et le proxy HTTPS (adresses IP, requêtes HTTP). Cloudflare Web Analytics est conçu sans cookies ni stockage d'IP.
• Les sauvegardes Backblaze sont chiffrées et stockées dans la région EU Central (Amsterdam).
• Stripe (lorsqu'activé) traite les données de paiement selon ses propres engagements RGPD et clauses contractuelles types (CCT) adoptées par la Commission européenne.

Tous les sous-traitants concernés ont signé un Data Processing Agreement (DPA) conforme à l'article 28 du RGPD.

10. Modifications

La présente Politique de Confidentialité peut être mise à jour pour refléter une évolution du Service ou de la réglementation. Les modifications substantielles seront notifiées par email ou via le tableau de bord. La version en vigueur est accessible à tout moment à l'adresse /legal/privacy/.

11. Contact

Pour toute question ou demande relative à la protection des données : [email protected].