Zyre Logo
Zyre

Politique de Confidentialité

MISE À JOUR : 12 Juin 2026

Chez Zyre, la confidentialité et la sécurité de vos données sont notre priorité absolue. Cette politique décrit comment nous collectons, utilisons et protégeons vos informations personnelles, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Qui est responsable du traitement ?

Zyre intervient à deux titres distincts :

  • Responsable de traitementpour les données de ses propres clients et utilisateurs (compte, facturation, support). C'est l'objet de la présente politique.
  • Sous-traitant pour les données techniques des visiteurs des sites web protégés par nos clients (adresses IP, user-agents analysés par notre pare-feu applicatif). Pour ces traitements, notre client demeure responsable de traitement et la relation est encadrée par notre Accord de Traitement des Données (DPA).

2. Données collectées

  • Données d'identification : nom, prénom, adresse email, téléphone (facultatif), nom de l'organisation, avatar.
  • Données de connexion Google (si vous utilisez « Continuer avec Google ») : identifiant Google, email, nom, photo de profil.
  • Données de facturation : historique de paiements, plan souscrit. Les données bancaires sont collectées et traitées exclusivement par Stripe, et nous n'y avons jamais accès.
  • Données techniques : logs de connexion et d'actions (journal d'audit), adresse IP, user-agent, à des fins de sécurité et de traçabilité.
  • Données de configuration : les domaines que vous ajoutez à la plateforme et leurs métadonnées techniques (technologie détectée, certificats SSL, disponibilité).
  • Préférences : langue, thème, préférences de notification, consentement marketing.

3. Finalités et bases légales

  • Fourniture du Service (compte, détection de menaces, rapports) : exécution du contrat (CGU/CGV).
  • Facturation et comptabilité : exécution du contrat et obligation légale.
  • Sécurité de la plateforme (journal d'audit, limitation de débit, blocage d'IP malveillantes) : intérêt légitime (considérant 49 du RGPD).
  • Newsletter et communications marketing : votre consentement, retirable à tout moment depuis votre profil ou le lien de désinscription présent dans chaque email.
  • Support client : exécution du contrat.

Chaque consentement (acceptation des conditions, choix marketing) est horodaté et conservé comme preuve, y compris après suppression du compte sous forme pseudonymisée (empreinte cryptographique de l'email).

4. Destinataires et sous-traitants

Vos données sont accessibles aux seules équipes internes de Zyre habilitées. Nous ne vendons jamais vos données personnelles. Nous faisons appel aux sous-traitants suivants :

  • Hébergeur (voir mentions légales) : hébergement de l'application et de la base de données (Union Européenne).
  • Stripe (États-Unis) : traitement des paiements. Transfert encadré par le Data Privacy Framework UE-États-Unis et des clauses contractuelles types.
  • Brevo (France) : envoi des emails transactionnels et de la newsletter. Données hébergées dans l'UE.
  • Google (États-Unis) : uniquement si vous choisissez la connexion Google (OAuth). Transfert encadré par le Data Privacy Framework.
  • OpenAI (États-Unis) : alimente notre veille de vulnérabilités. Aucune donnée personnelle n'est transmise, seuls des titres d'actualités de cybersécurité publiques et les noms des technologies de vos sites sont envoyés.

5. Transferts hors Union Européenne

Les transferts vers Stripe, Google et OpenAI (États-Unis) sont encadrés par le Data Privacy Framework UE-États-Unis et/ou les clauses contractuelles types de la Commission européenne. Vous pouvez obtenir une copie de ces garanties en écrivant à dpo@zyre.fr.

6. Durées de conservation

  • Données de compte : tant que le compte est actif. Les comptes inactifs depuis 12 mois sont supprimés automatiquement (un email d'avertissement est envoyé au 11ᵉ mois).
  • Logs de menaces (incluant les IP des visiteurs des sites protégés) : 7 à 365 jours selon le plan souscrit (Starter : 7 jours, Pro : 30 jours, Agence : 90 jours, Enterprise : 365 jours).
  • Journal d'audit et événements de sécurité : 12 mois.
  • IP bloquées automatiquement : 6 mois par défaut, durée configurable par le client (de 7 jours à 1 an). Les règles de blocage créées manuellement par le client sont conservées tant qu'il les maintient.
  • Données de facturation : 10 ans (obligation comptable au titre du Code de commerce L123-22), sous forme anonymisée après suppression du compte.
  • Preuves de consentement : conservées sous forme pseudonymisée après suppression du compte, à des fins de défense en cas de litige.

7. Vos droits

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition concernant vos données personnelles. Vous pouvez exercer la plupart de ces droits directement et immédiatement depuis votre compte :

  • Accès et portabilité : bouton « Exporter mes données » dans votre profil (export JSON complet).
  • Rectification : modification de vos informations depuis votre profil.
  • Effacement : bouton « Supprimer mon compte » dans votre profil. La suppression est immédiate et définitive, y compris chez nos sous-traitants emailing. Si un abonnement est en cours, sa résiliation préalable est requise : la suppression est alors possible dès la fin de la période de facturation déjà réglée.
  • Retrait du consentement marketing : case à décocher dans votre profil, ou lien de désinscription dans chaque email.

Pour toute autre demande, contactez-nous à : dpo@zyre.fr. Nous répondons dans un délai maximal d'un mois. Vous avez également le droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Conformément à l'article 85 de la loi Informatique et Libertés, vous pouvez définir des directives relatives au sort de vos données après votre décès, en nous écrivant à la même adresse.

8. Cookies et stockage local

Zyre n'utilise aucun cookie publicitaire, de mesure d'audience ou de pistage, et aucun traceur tiers. Seuls sont utilisés des éléments strictement nécessaires au fonctionnement du Service, exemptés de consentement conformément aux lignes directrices de la CNIL :

  • auth_token (cookie) : maintien de votre session authentifiée.
  • zyre_csrf (cookie) : protection contre les attaques CSRF.
  • Stockage local du navigateur : thème (clair/sombre) et langue choisis.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées : chiffrement TLS de toutes les communications, hachage des mots de passe (bcrypt), chiffrement des secrets MFA, authentification à deux facteurs, cloisonnement strict des données entre organisations, journalisation des accès et limitation de débit. En cas de violation de données susceptible d'engendrer un risque pour vos droits, nous notifierons la CNIL sous 72 heures et vous en informerons sans délai injustifié.

Pour toute question d'ordre légal, veuillez contacter legal@zyre.com