Politique de Confidentialité
Privacy Policy
Last updated: 20 June 2026 • Version: 1.1
1. Responsable du traitement / Data Controller
Secure Layer SASU — RCS Tours 940 166 408
6 rue d'Entraigues, 37000 Tours, France
Contact RGPD / Data protection : dpo@securelayer.dev
Général / General : support@securelayer.dev
Nous traitons vos données conformément au RGPD (UE) 2016/679 et à la loi Informatique et Libertés. / We process your data under the GDPR and the French Data Protection Act.
2. Données collectées / Data we collect
| Donnée / Data | Où / Where | Finalité / Purpose | Base légale / Basis | Conservation / Retention |
|---|---|---|---|---|
| Identité de compte : e-mail, identifiant Cognito, plan / tier | AWS Cognito + DynamoDB (eu-west-3) | Authentification, gestion du compte / Auth, account | Contrat / Contract | Durée du compte / Life of account |
| Connexion Google (si utilisée) : identifiant, e-mail | Google (US) | Authentification fédérée / Federated sign-in | Contrat / Contract | Durée du compte / Life of account |
| Contenu : projets, diagrammes d'infrastructure | DynamoDB + S3 (eu-west-3) | Fourniture du service / Core product | Contrat / Contract | Jusqu'à suppression / Until you delete |
| Réponses de sécurité et justifications de risque (texte libre) | DynamoDB (eu-west-3) | Analyse de sécurité / Security analysis | Contrat / Contract | Jusqu'à suppression / Until you delete |
| Génération de code (entrées/sorties) | Amazon Bedrock (AWS, eu-west-3) | Génération IaC / IaC generation | Contrat / Contract | Transitoire / Transient |
| Données de facturation : moyen de paiement, adresse, n° TVA | Stripe (UE + US) | Paiement / Payment | Contrat + obligation légale / Contract + legal | 10 ans (loi fiscale) / 10 yrs (tax law) |
| Télémétrie : erreurs, performance, identifiant de session, tier | Amazon CloudWatch RUM (eu-west-3) | Mesure d'audience, fiabilité / Analytics, reliability | Consentement / Consent | 30 jours / 30 days |
Les champs en texte libre (justifications de risque) peuvent contenir des informations personnelles si vous en saisissez — n'y indiquez pas de données sensibles. / Free-text fields may contain personal data if you enter it — do not include sensitive data there.
3. Sous-traitants / Subprocessors
| Sous-traitant / Subprocessor | Rôle / Role | Région / Region | Transfert hors UE / Transfer |
|---|---|---|---|
| Amazon Web Services (hébergement, auth, stockage, IA, télémétrie) | Hébergeur & infrastructure / Hosting & infra | eu-west-3 (Paris) | Non / No (intra-UE) |
| Stripe | Paiement / Payments | UE + US | Oui — clauses contractuelles types / Yes — SCCs |
| Connexion OAuth / OAuth sign-in | US | Oui — clauses contractuelles types / Yes — SCCs |
Vos données sont principalement traitées dans l'Union européenne (AWS eu-west-3). Les transferts vers Stripe et Google sont encadrés par des clauses contractuelles types (CCT). / Your data is primarily processed in the EU (AWS eu-west-3); transfers to Stripe and Google are covered by Standard Contractual Clauses.
Nous ne vendons pas vos données personnelles. / We do not sell your personal data.
4. Vos droits / Your rights
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition, ainsi que du droit de retirer votre consentement. / Under the GDPR you have rights of access, rectification, erasure, restriction, portability and objection, plus the right to withdraw consent.
Comment exercer vos droits / How to exercise them
Écrivez à dpo@securelayer.dev avec une preuve d'identité. Nous répondons dans un délai d'un mois (RGPD art. 12). Les demandes d'effacement et d'export sont traitées manuellement par notre équipe. / Email dpo@securelayer.dev with proof of identity; we respond within one month (GDPR Art. 12). Erasure and export requests are handled manually by our team.
Vous pouvez introduire une réclamation auprès de la CNIL.
5. Décisions automatisées / Automated processing
Nous classons automatiquement l'importance de certaines règles de sécurité et associons votre tier à la télémétrie. Ces traitements ne constituent pas une décision entièrement automatisée produisant des effets juridiques à votre égard (RGPD art. 22). / We automatically classify the importance of some security rules and attach your tier to telemetry; this is not solely-automated decision-making with legal effect (GDPR Art. 22).
6. Sécurité / Security
Les données sont chiffrées en transit (TLS) et hébergées sur AWS avec chiffrement au repos assuré par l'hébergeur, au sein de l'Union européenne. L'accès est restreint et contrôlé. / Data is encrypted in transit (TLS) and hosted on AWS with provider-side encryption at rest, within the European Union. Access is restricted and controlled.
En cas de violation de données présentant un risque élevé, nous notifions la CNIL sous 72 heures et informons les personnes concernées (RGPD art. 33-34). / In the event of a high-risk data breach we notify the CNIL within 72 hours and inform affected users (GDPR Art. 33-34).
7. Cookies
Voir notre Politique de cookies pour le détail et la gestion du consentement. / See our Cookie Policy for details and consent management.
8. Mineurs / Minors
Le service n'est pas destiné aux personnes de moins de 15 ans et nous ne collectons pas sciemment leurs données. / The service is not intended for anyone under 15, and we do not knowingly collect their data.
9. Durées de conservation / Retention schedule
Les durées ci-dessous complètent la colonne « Conservation » de la section 2 et documentent les stockages techniques à expiration automatique — utiles pour comprendre ce qui subsiste après une demande d'effacement. / The periods below complement the "Retention" column in section 2 and document the auto-expiring technical stores — useful to understand what remains after an erasure request.
| Stockage / Store | Contenu / Contents | Durée / Retention |
|---|---|---|
| DynamoDB + S3 (eu-west-3) | Compte, projets, diagrammes, réponses de sécurité / Account, projects, diagrams, security answers | Durée du compte, jusqu'à suppression / Life of account, until deletion |
| Stripe | Factures, abonnements (obligation comptable) / Invoices, subscriptions (accounting obligation) | 10 ans / 10 years |
| Sauvegardes DynamoDB (PITR) — projets, idempotence, crédits, jobs de génération, cache (prod uniquement) / DynamoDB PITR — projects, idempotency, credits, generation jobs, cache (prod only) | Récupération après incident / Point-in-time recovery | 35 jours / 35 days |
| Journaux applicatifs / Application logs (CloudWatch Logs) | Journaux des fonctions Lambda / Lambda function logs | prod : jusqu'à 6 mois (certains 1 an) ; beta : 1 semaine / prod: up to 6 months (some 1 year); beta: 1 week |
| Files d'attente d'échecs (SQS — 6 DLQ, une par domaine) / Dead-letter queues (SQS — 6, one per domain) | Évènements de livraison échoués / Failed delivery events | 14 jours / 14 days |
| Archive d'évènements / Event archive (EventBridge) | Évènements applicatifs / Application events | 7 jours / 7 days |
| Télémétrie RUM / RUM telemetry (CloudWatch RUM) | Erreurs, performance, session / Errors, performance, session | 30 jours / 30 days |
| Fichiers temporaires & code généré (S3) / Temporary & generated files (S3) | Staging / sorties de génération / Staging / generation outputs | 1 jour (staging) ; 90 jours (génération) / 1 day (staging); 90 days (generation) |
Après une demande d'effacement, certaines données subsistent dans des sauvegardes ou journaux à expiration automatique pendant les durées ci-dessus ; les enregistrements comptables (factures Stripe) sont conservés au titre d'une obligation légale (RGPD art. 17(3)(b), art. L123-22 du Code de commerce). Ce calendrier est fourni à titre informatif et n'a pas encore été validé par un conseil juridique. / After an erasure request, some data persists in auto-expiring backups or logs for the periods above; accounting records (Stripe invoices) are retained under a legal obligation (GDPR Art. 17(3)(b), Code de commerce L123-22). This schedule is informational and has not yet been validated by legal counsel.
10. Modifications / Changes
Nous pouvons mettre à jour cette politique ; les changements importants vous seront notifiés et la date de mise à jour sera actualisée. / We may update this policy; material changes will be notified and the "last updated" date refreshed.