comment nous collectons, utilisons et protégeons vos données.
Date d’entrée en vigueur : 17 mai 2026 · Responsable du traitement : VaultPAM Security Sp. z o.o.
1. Responsable du traitement
Le responsable du traitement de vos données personnelles en lien avec ce site web (https://vaultpam.com) et le service VaultPAM est :
VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-mail : privacy@vaultpam.com
Nous agissons en tant que responsable du traitement pour les activités de traitement décrites dans la présente politique. Lorsque nous traitons des données personnelles pour le compte de nos clients (par exemple, les journaux de sessions privilégiées au sein de la plateforme VaultPAM), nous agissons en tant que sous-traitant et le client concerné est le responsable du traitement. Ces activités de traitement sont régies par l’Accord de traitement des données.
2. Données personnelles que nous collectons
2.1 Visiteurs du site web (vaultpam.com)
- Journaux serveur : adresse IP, agent utilisateur du navigateur, URL de référence, pages visitées et horodatage. Collectés automatiquement par notre infrastructure d’hébergement (Google Cloud Platform).
- Soumissions via le formulaire de contact : nom, adresse e-mail professionnelle, nom de l’entreprise et contenu de votre message.
- Demandes de démonstration : nom, e-mail professionnel, entreprise, rôle et notes optionnelles.
2.2 Utilisateurs en période d’essai et utilisateurs enregistrés
- Identifiants de compte (adresse e-mail et mot de passe haché).
- Informations de profil que vous fournissez optionnellement (nom, intitulé de poste, téléphone).
- Informations de facturation collectées et stockées par notre prestataire de paiement (Stripe). Nous ne stockons pas les numéros de carte complets.
- Télémétrie d’utilisation : événements d’utilisation des fonctionnalités, nombre d’appels API, rapports d’erreurs. Aucun contenu de session n’est inclus dans la télémétrie.
2.3 Journaux de sessions et d’accès du produit PAM
- Enregistrements de sessions : journaux de frappes clavier des sessions à accès privilégié, enregistrements d’écran et métadonnées de transfert de fichiers collectés au sein de la plateforme VaultPAM pour le compte des clients. Traitement en tant que sous-traitant conformément aux instructions du client et à l’Accord de traitement des données.
- Journaux d’accès : événements d’authentification, heures de début et de fin de session, identifiants des hôtes cibles et résultats des challenges MFA. Conservés à des fins d’audit.
2.4 Données que nous ne collectons PAS
Nous ne vendons pas de données personnelles à des tiers. Les données d’analyse et de mesure publicitaire (voir section 3) ne sont traitées qu’avec votre consentement explicite et ne sont jamais utilisées pour constituer des profils publicitaires individuels en dehors des propres plateformes de Google.
3. Cookies
Ce site web utilise des cookies essentiels requis pour un fonctionnement sécurisé et — avec votre consentement — des cookies d’analyse et de mesure publicitaire :
| Nom du cookie | Finalité | Durée | Partie | Consentement requis |
|---|---|---|---|---|
| vp_session | Jeton de session utilisateur authentifié (application uniquement) | Session / 30 jours si « se souvenir de moi » | VaultPAM | Non — essentiel |
| _ga, _ga_* | Google Analytics 4 — distingue les visiteurs uniques, mesure les pages vues et le comportement des sessions | 2 ans | Google LLC | Oui — consentement analytique |
| _gcl_au | Google Ads — lien de conversion, attribue les clics publicitaires aux soumissions de formulaires | 90 jours | Google LLC | Oui — consentement analytique |
Les cookies analytiques et publicitaires ne sont déposés qu’après que vous ayez cliqué sur « Accepter les cookies analytiques » dans la bannière de consentement. Vous pouvez retirer votre consentement à tout moment en cliquant sur « Préférences cookies » dans le pied de page — cela supprime tous les cookies analytiques de votre navigateur. Base juridique : Art. 6(1)(a) RGPD (consentement). Google traite les données conformément à sa propre politique de confidentialité et aux clauses contractuelles types pour les transferts de données vers l’UE.
4. Base juridique du traitement (GDPR Art. 6)
| Activité de traitement | Base juridique (GDPR Art. 6) |
|---|---|
| Réponse aux demandes de contact / démonstration | Art. 6(1)(b) — contrat / mesures précontractuelles |
| Enregistrement du compte et prestation de services | Art. 6(1)(b) — exécution du contrat |
| Facturation et émission de factures | Art. 6(1)(c) — obligation légale (TVA, droit comptable) |
| Traitement des journaux serveur (sécurité, disponibilité) | Art. 6(1)(f) — intérêts légitimes (sécurité informatique) |
| Amélioration du service via la télémétrie d’utilisation | Art. 6(1)(f) — intérêts légitimes (développement produit) |
| Analyse du site web (Google Analytics 4) et mesure des conversions publicitaires (Google Ads) | Art. 6(1)(a) — consentement (opt-in via bannière cookies) |
| Communications marketing (avec opt-in) | Art. 6(1)(a) — consentement |
Lorsque nous nous appuyons sur les intérêts légitimes (Art. 6(1)(f)), nous avons procédé à un test de mise en balance et conclu que nos intérêts ne prévalent pas sur vos droits et libertés, compte tenu de la portée limitée des données traitées et de la finalité de sécurité poursuivie.
5. Destinataires et sous-traitants tiers
Nous faisons appel aux sous-traitants suivants. Chacun a été évalué pour la conformité RGPD et opère sous accord de traitement des données avec nous :
| Sous-traitant | Rôle | Données transférées | Localisation |
|---|---|---|---|
| Google Cloud Platform (GCP) | Hébergement cloud — calcul, base de données, stockage | Toutes les données de la plateforme | Varsovie, Pologne (UE) |
| Google LLC (Google Analytics 4, Google Ads) | Analyse du site web et mesure publicitaire (consentement uniquement) | Adresse IP, comportement de navigation, identifiants d’appareils | États-Unis (CCT appliquées — DPA Google Ads) |
| Google Workspace (relais SMTP) | Acheminement des e-mails transactionnels | Adresse e-mail, contenu du message | UE (Google Ireland Ltd.) |
| SMSAPI Sp. z o.o. | Envoi d’OTP SMS pour la MFA | Numéro de téléphone portable, contenu OTP | Pologne (UE) |
| SerwerSMS Sp. z o.o. | Envoi d’OTP SMS pour la MFA (prestataire alternatif) | Numéro de téléphone portable, contenu OTP | Pologne (UE) |
Aucune donnée personnelle n’est transférée vers des pays situés en dehors de l’Espace économique européen, sauf lorsque des clauses contractuelles types (CCT) ou des garanties équivalentes au titre du chapitre V du RGPD sont en place.
5.2 Responsables du traitement indépendants
Stripe Technology Europe Ltd. (Dublin 2, Irlande) traite les données de carte de paiement en tant que responsable du traitement indépendant conformément à sa propre politique de confidentialité — et non en tant que sous-traitant de VaultPAM. VaultPAM ne stocke pas les numéros de carte complets. Pour les droits relatifs aux données de facturation, veuillez consulter la Politique de confidentialité de Stripe.
6. Durées de conservation
| Catégorie de données | Durée de conservation | Raison |
|---|---|---|
| Journaux d’accès serveur | 90 jours | Enquête sur les incidents de sécurité |
| Journaux de sessions PAM / d’accès (données clients) | 90 jours (par défaut) ; configurable selon le contrat client | Piste d’audit ; instruction du client |
| Données des demandes de contact / démonstration | 24 mois à compter du dernier contact | Intérêts légitimes — suivi commercial |
| Données de compte en période d’essai | 90 jours après l’expiration de l’essai | Délai de grâce pour l’export des données |
| Données de compte avec abonnement actif | Durée du contrat + 5 ans | Obligation légale comptable / fiscale |
| Registres de facturation et factures | 5 ans à compter de la date de facturation | Obligation au titre de la loi polonaise sur la comptabilité |
| Registres de consentement marketing | Jusqu’au retrait + 3 ans | Preuve du consentement (GDPR Art. 7(1)) |
7. Vos droits en vertu du GDPR (Art. 15–22)
Si vous êtes situé dans l’Espace économique européen ou au Royaume-Uni, vous disposez des droits suivants concernant vos données personnelles :
- Droit d’accès (Art. 15) : demander une copie des données personnelles que nous détenons à votre sujet ainsi que des informations sur la manière dont nous les traitons.
- Droit de rectification (Art. 16) : demander la correction de données inexactes ou incomplètes.
- Droit à l’effacement (Art. 17) : demander la suppression de vos données lorsqu’il n’existe aucun motif juridique prépondérant justifiant la poursuite du traitement.
- Droit à la limitation du traitement (Art. 18) : demander que nous limitions le traitement pendant qu’un litige relatif à l’exactitude ou à la base juridique est en cours de résolution.
- Droit à la portabilité des données (Art. 20) : recevoir vos données dans un format structuré et lisible par machine, et les transférer à un autre responsable du traitement.
- Droit d’opposition (Art. 21) : vous opposer à tout moment au traitement fondé sur les intérêts légitimes.
- Droit de retirer le consentement (Art. 7(3)) : retirer tout consentement précédemment donné à tout moment, sans affecter la licité du traitement antérieur au retrait.
- Droit de ne pas faire l’objet d’une décision automatisée (Art. 22) : nous ne prenons pas de décisions reposant uniquement sur un traitement automatisé qui produisent des effets juridiques ou des effets significatifs similaires.
Pour exercer l’un des droits ci-dessus, contactez-nous à privacy@vaultpam.com. Nous répondrons dans un délai de 30 jours. Si vous estimez que nous n’avons pas respecté vos droits, vous pouvez introduire une réclamation auprès de l’autorité de contrôle polonaise :
Urząd Ochrony Danych Osobowych (UODO)
ul. Stanisława Moniuszki 1A, 00-014 Warszawa
uodo.gov.pl
8. Enfants (Mineurs)
Nous reconnaissons l'importance de protéger la vie privée des enfants, en particulier en ligne. Ce site web n'est pas destiné aux enfants et ne leur est pas adressé. En aucun cas, nous ne permettons aux enfants d'utiliser nos services. Nous ne collectons pas intentionnellement d'informations personnelles auprès des enfants.
9. Droits en matière de confidentialité en Californie (CCPA / CPRA)
Si vous résidez en Californie, vous avez le droit de savoir quelles informations personnelles nous collectons, de demander leur suppression, de vous opposer à la vente de vos informations personnelles (nous ne vendons pas d’informations personnelles) et de ne pas faire l’objet de discrimination pour l’exercice de vos droits. Pour exercer ces droits, contactez-nous à privacy@vaultpam.com.
10. Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles adaptées au niveau de risque, notamment :
- Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
- Contrôle d’accès basé sur les rôles et principe du moindre privilège.
- Tests d’intrusion annuels et analyse continue des vulnérabilités.
- Programme de contrôles SOC 2 Type II (en cours pour la certification 2026, rapport final en attente).
- Toutes les données de production stockées exclusivement dans GCP Varsovie, Pologne (UE).
11. Modifications de la présente politique
Nous pouvons mettre à jour la présente politique de confidentialité pour refléter des changements dans nos pratiques en matière de données ou dans la législation applicable. Lorsque nous apportons des modifications substantielles, nous mettrons à jour la date d’entrée en vigueur figurant en haut de cette page et, lorsque la loi l’exige, nous vous en informerons par e-mail ou par notification dans le produit.
12. Contact et DPO
Pour toute question relative à la confidentialité, toute demande d’exercice de droits ou pour contacter notre Délégué à la Protection des Données, veuillez nous contacter :
Équipe Confidentialité — VaultPAM Security Sp. z o.o.
ul. Żelazna 51/53, 00-841 Warszawa
E-mail : privacy@vaultpam.com
Questions sur cette politique? Contactez-nous à privacy@vaultpam.com.
Voir aussi : Accord de traitement des données · Conditions d’utilisation.
English version: /legal/privacy · Wersja polska: /pl/legal/privacy · Deutsche Version: /de/legal/privacy