Politique de confidentialité

Dernière mise à jour : mars 2026

DataSpy.eu ("nous", "notre") est engagé en faveur de la protection de votre vie privée. Cette politique explique quelles données nous collectons, pourquoi, et comment elles sont traitées.

Le responsable de traitement est : [NOM / SOCIÉTÉ], [Adresse], contact : donnees@dataspy.eu

1. Principes fondamentaux

Nous pratiquons la "privacy by design" : la protection de vos données est pensée dès la conception du service.

  • Minimisation : nous ne collectons que ce qui est strictement nécessaire à la démonstration éducative.
  • Éphémérité : la grande majorité des données disparaît quand vous fermez votre navigateur.
  • Transparence : vous savez exactement ce que nous faisons et pourquoi.
  • Cohérence : un outil qui dénonce le tracking ne peut pas tracker ses utilisateurs. Nous appliquons ce principe à la lettre.

2. Quelles données collectons-nous et pourquoi ?

2.1 Données collectées automatiquement lors du scan

Quand vous cliquez sur "LANCER L'ANALYSE", vous consentez à la collecte des données suivantes, dans un but exclusivement éducatif et démonstratif :

Données techniques du navigateur (navigateur, OS, langue, timezone, résolution, GPU, RAM estimée, CPU)
But : démontrer que ces informations sont accessibles à tout site web sans votre consentement préalable.

Empreinte numérique (fingerprint) (canvas hash, WebGL hash, audio hash, polices)
But : démontrer le mécanisme de fingerprinting et son unicité.

Géolocalisation par adresse IP (ville, région, ISP, type de connexion)
But : démontrer que votre localisation approximative est connue sans que vous l'ayez communiquée.

Conservation : toutes ces données restent dans votre navigateur pendant la session. Elles ne sont pas transmises à nos serveurs ni conservées au-delà de la fermeture de votre onglet.

2.2 Données que vous nous communiquez (étape email — optionnelle)

Si vous choisissez de saisir votre adresse email pour enrichir l'analyse, elle est transformée en hash cryptographique avant tout traitement. Elle n'est jamais stockée en clair. Elle est utilisée pour interroger les bases de violations de données (HIBP via k-anonymity) et détecter les services associés.

Conservation : le hash de votre email est utilisé uniquement pendant votre session.

2.3 Données transmises à l'intelligence artificielle

Pour générer les "attaques simulées", votre profil complet (données techniques + localisation + informations email si fournies, sans jamais votre email en clair) est transmis à l'API Anthropic Claude, hébergée aux États-Unis.

Sous-traitant : Anthropic, PBC — 548 Market St, PMB 90375, San Francisco, CA 94104-5401, USA. Anthropic s'engage contractuellement à ne pas utiliser les données d'API pour entraîner ses modèles. Base du transfert : Data Privacy Framework UE-US.

2.4 Données générées et conservées par nos soins

Structure anonymisée des attaques : après génération, la structure des attaques est stockée dans un format strictement anonymisé, sans aucun élément permettant de vous réidentifier. Conservation : 24 mois maximum.

Statistiques agrégées : scores moyens par type de navigateur, etc. Conservation : 24 mois glissants.

2.5 Analytics

Plausible Analytics : outil d'analyse d'audience sans cookies, sans données personnelles, sans suivi inter-sites. Aucun consentement requis. En savoir plus : plausible.io/data-policy

2.6 Logs serveur

Nos serveurs conservent des logs techniques standards incluant votre adresse IP, la page consultée et l'horodatage. Ces logs sont conservés 12 mois et utilisés uniquement à des fins de sécurité et de diagnostic technique. Cette conservation est requise par l'article 6-II de la LCEN.

3. Base légale de chaque traitement

  • Fingerprint navigateur : consentement (clic "LANCER L'ANALYSE" avec information préalable)
  • Géolocalisation IP : consentement (même que ci-dessus)
  • Device info : consentement (même que ci-dessus)
  • Email — vérification HIBP : consentement explicite (formulaire email)
  • Transmission à l'IA (Claude) : consentement (clic "LANCER L'ANALYSE")
  • Stockage anonymisé des attaques : intérêt légitime (amélioration du service)
  • Logs serveur : obligation légale (LCEN)
  • Plausible Analytics : aucune (hors RGPD)

4. Vos droits

Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :

  • Droit d'accès : pendant votre session, toutes vos données sont visibles à l'écran. Après la session, aucune donnée personnelle n'est conservée.
  • Droit de rectification : les données techniques sont collectées automatiquement. L'email peut être ressaisi.
  • Droit à l'effacement : fermez votre onglet — toutes les données personnelles sont effacées immédiatement.
  • Droit à la portabilité : utilisez le bouton "Télécharger mon rapport" (PDF) pendant votre session.
  • Droit d'opposition : ne lancez pas le scan, ou fermez votre onglet à tout moment.

Pour exercer vos droits : donnees@dataspy.eu — Réponse garantie sous 30 jours.

Vous avez le droit de déposer une plainte auprès de la CNIL — 01 53 73 22 22

5. Sécurité des données

  • Chiffrement TLS (HTTPS) pour toutes les communications
  • Les emails ne sont jamais transmis en clair (k-anonymity via HIBP)
  • Pas de stockage de données personnelles au-delà de la session
  • Accès aux systèmes limités au strict nécessaire
  • Serveurs situés dans l'Union Européenne (backend VPS)

6. Mineurs

DataSpy est destiné à un public adulte et aux adolescents accompagnés dans un cadre éducatif. Certains contenus (notamment la simulation de message de harcèlement) sont susceptibles d'affecter les personnes vulnérables.

Si vous avez moins de 15 ans, nous vous recommandons d'utiliser DataSpy avec un adulte ou dans le cadre scolaire.

7. Contact

Responsable de traitement : [NOM / SOCIÉTÉ]
donnees@dataspy.eu