Passer au contenu principal
Mindlapse - La visibilité qu’attendent les RSSI. La confiance qu’exigent les conseils d’administration.
Dernière mise à jour: 27 Novembre 2025

Politique de confidentialité

1. Introduction

Mindlapse SAS (« Mindlapse », « nous », « notre ») s’engage à protéger votre vie privée. Cette politique de confidentialité explique comment nous collectons, utilisons, divulguons et traitons autrement les données personnelles en lien avec notre Plateforme Cyber-GRC et nos services. Cette politique s’applique à tous les utilisateurs, y compris les utilisateurs finaux, les administrateurs et toute tierce partie interagissant avec la Plateforme.

2. Rôles de responsable de traitement et de sous-traitant

En vertu du RGPD et des lois applicables en matière de protection des données :

  • Votre organisation est le « responsable de traitement » pour les données personnelles que vous entrez ou gérez au sein de la Plateforme.
  • Mindlapse est le « sous-traitant » pour ces données et les traite uniquement selon vos instructions.
  • Mindlapse est le « responsable de traitement » pour les données collectées directement auprès des utilisateurs (ex. identifiants de connexion, demandes de support).

L’allocation spécifique des responsabilités entre responsable de traitement et sous-traitant est détaillée dans l’Accord de traitement des données (DPA) conclu entre votre organisation et Mindlapse.

3. Données que nous collectons

3.1 Informations de compte et d’utilisateur

  • Nom, adresse email, poste et organisation.
  • Identifiants d’authentification (noms d’utilisateur et mots de passe hachés).
  • Journaux d’activité du compte, incluant les horodatages de connexion et l’utilisation des fonctionnalités.

3.2 Données de plateforme

  • Évaluations des risques, questionnaires de conformité et évaluations de tiers que vous téléchargez ou créez.
  • Documentation des contrôles de sécurité et rapports d’audit.
  • Toute autre donnée commerciale que vous choisissez de stocker sur la Plateforme.

3.3 Données techniques

  • Adresse IP, type de navigateur, informations d’appareil et heures d’accès.
  • Cookies essentiels (voir notre politique relative aux cookies pour plus de détails).

3.4 Données de communication

  • Demandes de support, interactions du centre d’aide et toute communication directe avec notre équipe.

4. Base légale du traitement

Nous traitons vos données personnelles sur les bases légales suivantes :

  • Exécution du contrat : pour fournir les services de la Plateforme selon votre contrat d’abonnement.
  • Conformité légale : pour respecter les lois, réglementations et obligations légales applicables.
  • Intérêts légitimes : pour la sécurité de la plateforme, la prévention de la fraude et l’amélioration des services (équilibrés par rapport à vos droits).
  • Consentement : lorsque vous optez explicitement (ex. communications marketing).

5. Comment nous utilisons vos données

Nous utilisons les données personnelles pour :

  • Fournir et maintenir les services de la Plateforme.
  • L’authentification des utilisateurs et la gestion des comptes.
  • Fournir un support client et répondre aux demandes.
  • Analyser l’utilisation de la Plateforme et améliorer la fonctionnalité des services.
  • Détecter et prévenir la fraude, les incidents de sécurité et les abus.
  • Envoyer des notifications administratives et des mises à jour (possibilité de refuser).
  • Conformité légale et réglementaire.

6. Intelligence artificielle et traitement automatisé

6.1 Fonctionnalités alimentées par l’IA

La Plateforme utilise des fonctionnalités alimentées par l’IA pour assister l’évaluation des risques, l’évaluation de la conformité et la génération de questionnaires. Ces fonctionnalités utilisent des modèles de langage IA souverains de pointe (actuellement des modèles de la famille Mistral), s’exécutant exclusivement sur l’infrastructure EU de Mindlapse.

6.2 Traitement des données avec l’IA

Lorsque vous utilisez les fonctionnalités alimentées par l’IA, vos données de Plateforme peuvent être traitées par des modèles de langage IA souverains de pointe (actuellement des modèles de la famille Mistral) s’exécutant sur l’infrastructure propre de Mindlapse au sein de l’UE. Vos données sont :

  • Traitées localement au sein de l’environnement contrôlé de Mindlapse.
  • NON transmises à Mistral ou à aucun fournisseur de service IA tiers externe.
  • NON utilisées pour entraîner, affiner ou améliorer Mistral ou tout autre modèle IA.
  • Conservées et traitées uniquement aux fins de fournir les fonctionnalités de la Plateforme.

6.3 Responsabilité des résultats de l’IA

Les résultats générés par l’IA (ex. scores de risque, recommandations de conformité) sont fournis uniquement à titre informatif comme outils d’aide à la décision. Ils ne constituent pas un avis professionnel et doivent être validés par des professionnels qualifiés en cybersécurité avant toute action. Vous reconnaissez expressément et acceptez l’entière responsabilité de toutes les décisions et actions basées sur les résultats de l’IA. Mindlapse ne donne aucune garantie quant à l’exactitude, l’exhaustivité, la fiabilité ou l’adéquation du contenu généré par l’IA et décline toute responsabilité pour les décisions prises en se fondant sur celui-ci. Mindlapse ne garantit pas l’exactitude, l’exhaustivité ou l’adéquation du contenu généré par l’IA pour votre cas d’usage spécifique.

7. Partage et divulgation des données

Nous ne vendons ni n’échangeons vos données personnelles. Nous pouvons les partager uniquement dans les circonstances suivantes :

  • Prestataires de services : fournisseurs tiers (hébergement, support, centre d’aide) en vertu d’accords de traitement des données. Ceci inclut Featurebase (Estonie, certifiée ISO 27001) pour les fonctionnalités de support et centre d’aide. Featurebase agit comme sous-traitant en vertu de l’Article 28 du RGPD, avec des données hébergées exclusivement dans l’UE.
  • Fournisseurs de technologie : fournisseurs de modèles IA (actuellement Mistral AI) dont les modèles sont déployés localement sur notre infrastructure. Ces fournisseurs n’ont pas accès à vos données ; nous concédons sous licence leurs modèles pour une utilisation on-premise uniquement.
  • Exigence légale : lorsque requis par la loi ou pour se conformer à un processus légal.
  • Transfert d’activité : en cas de fusion, acquisition ou vente d’actifs (vous serez notifié).
  • Avec votre consentement : lorsque vous autorisez explicitement le partage avec des tiers.

8. Conservation des données

Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour réaliser les objectifs décrits dans cette politique, sauf si une conservation plus longue est requise par la loi :

  • Données de compte : conservées pendant 30 jours après résiliation pour permettre une réactivation potentielle du compte. Suppression immédiate disponible sur demande écrite.
  • Données de plateforme : conservées selon votre contrat d’abonnement ; peuvent être supprimées sur demande ou à la résiliation du compte.
  • Journaux d’utilisation : conservés minimum 12 mois, extensibles à 24 mois sur demande contractuelle pour conformité NIS2/DORA.
  • Blocages légaux : les données peuvent être conservées plus longtemps pour satisfaire les obligations légales.

9. Cookies

La Plateforme n’utilise que des cookies essentiels nécessaires à l’authentification, la sécurité, la fonctionnalité et la fourniture du support (y compris Featurebase). Pour des informations détaillées sur nos pratiques de cookies, consultez notre politique relative aux cookies.

10. Sécurité des données

Mindlapse implémente des mesures de sécurité conformes aux normes de l’industrie pour protéger vos données :

  • Chiffrement en transit (TLS/SSL) et au repos (AES-256).
  • Contrôles d’accès et mécanismes d’authentification.
  • Tests de pénétration annuels et audits de sécurité internes trimestriels.
  • Données hébergées sur l’infrastructure privée du fournisseur cloud EU (actuellement AWS Europe et Scaleway France).
  • Bien que nous nous efforçons d’assurer la sécurité, aucun système n’est complètement sans risque. Vous êtes responsable de la protection de vos identifiants.

Mindlapse maintient un plan de continuité de activité (PCA) et un plan de reprise d’activité (PRA) pour assurer la disponibilité des services. Notre infrastructure est conçue pour une haute disponibilité avec :

  • Redondance multi-zones (actuellement via AWS Europe, Scaleway).
  • RTO (Recovery Time Objective) : 4 heures.
  • RPO (Recovery Point Objective) : 1 heure.
  • Tests annuels du PCA/PRA.

11. Vos droits en vertu du RGPD

Si vous êtes dans l’UE, vous disposez des droits suivants :

  • Droit d’accès : demander une copie de vos données personnelles.
  • Droit de rectification : corriger les données inexactes ou incomplètes.
  • Droit à l’oubli : demander la suppression de vos données (« droit à l’oubli »).
  • Droit à la limitation du traitement : limiter la façon dont nous utilisons vos données.
  • Droit à la portabilité des données : recevoir vos données dans un format structuré.
  • Droit d’opposition : s’opposer au traitement à des fins marketing ou intérêts légitimes.
  • Droit de déposer une plainte : contacter votre autorité locale de protection des données.

Pour exercer ces droits, contactez-nous à : dpo@mindlapse.ai. Nous répondrons dans les 30 jours (extensibles à 60 jours pour les demandes complexes). Pour les demandes simples (ex. accès, correction), nous visons à répondre dans les 10 jours ouvrables.

12. Transferts de données

Vos données commerciales sont stockées exclusivement au sein de l’Union Européenne (actuellement AWS Europe, Scaleway France). Les données de support et centre d’aide (via Featurebase) peuvent impliquer des transferts de données techniques limités vers des sous-traitants de l’UE et hors-UE (voir la liste des sous-traitants Featurebase) en vertu de Clauses Contractuelles Types. Aucune donnée commerciale client n’est transférée en dehors de l’UE. Si des transferts se produisent, nous assurons la conformité avec le RGPD et autres réglementations applicables.

Pour les transferts vers des pays non-UE, nous nous appuyons sur les Clauses Contractuelles Types, les décisions d’adéquation ou autres mécanismes approuvés par le RGPD.

13. Liens tiers

La Plateforme peut contenir des liens vers des sites web externes. Nous ne sommes pas responsables de leurs pratiques de confidentialité. Veuillez consulter leurs politiques de confidentialité avant de partager des informations personnelles.

14. Mises à jour de la politique

Nous pouvons mettre à jour cette politique de confidentialité pour refléter les changements dans nos pratiques, les exigences légales ou les fonctionnalités des services. Les mises à jour mineures ou administratives seront communiquées par email ou notification sur la Plateforme, et l’utilisation continue constitue l’acceptation. Les changements substantiels (ex. nouveaux objectifs de traitement des données, transferts de données hors-UE) nécessiteront votre consentement explicite via confirmation par email ou acknowledgment in-Platform avant d’être effectifs.

15. Contact

Pour toute question de confidentialité, demandes de droits des personnes concernées ou préoccupations, contactez-nous à :

Email : dpo@mindlapse.ai

Adresse : Mindlapse SAS, France

16. Notification de violation de données

En cas de violation de données personnelles susceptible d’entraîner un risque pour vos droits et libertés, Mindlapse :

  • Vous notifiera dans les 72 heures suivant la prise de connaissance de la violation (Article 33 du RGPD).
  • Fournira les détails de la nature de la violation, des données affectées, des conséquences potentielles et des mesures d’atténuation.
  • Coopérera pleinement à toute notification requise aux autorités de contrôle.

Pour les entités réglementées par NIS2, Mindlapse s’engage à une notification initiale dans les 24 heures pour les incidents affectant les services essentiels.