Politique de confidentialité & RGPD
Dernière mise à jour : 8 avril 2026
1. Responsable du traitement
byArno SAS
60 rue François 1er, 75008 Paris, France
contact@pulseradar.cloud
PulseRadar agit en tant que sous-traitant au sens du RGPD pour les données ingérées (logs, métriques, traces) — le client reste responsable du traitement de ces données. PulseRadar agit en tant que responsable de traitement pour les données du compte client (email, facturation, etc.).
2. Données collectées
| Donnée | Finalité | Conservation |
|---|---|---|
| Adresse email | Authentification, envoi d'alertes, facturation | Durée du compte + 3 ans |
| Nom, prénom, société (optionnels) | Personnalisation, factures | Durée du compte + 10 ans pour factures |
| Adresse de facturation, n° TVA | Factures, conformité fiscale | 10 ans (obligation légale) |
| Téléphone (optionnel) | Alertes par SMS, contact d'urgence | Durée du compte |
| Logs applicatifs ingérés | Affichage, recherche, alertes (responsabilité du client) | Selon plan : 7 à 365 jours |
| Métriques système (CPU, RAM, etc.) | Affichage, alertes, historique | Selon plan |
| Traces APM, requêtes lentes | Performance applicative | Selon plan |
| Configurations (alertes, serveurs, intégrations) | Fonctionnement du service | Durée du compte |
| Logs d'accès (IP, user-agent) | Sécurité, détection d'abus | 30 jours |
| Audit log (actions utilisateur) | Traçabilité, sécurité | 12 mois |
| Données de paiement | Traitées exclusivement par Stripe — non stockées chez PulseRadar | N/A |
3. Hébergement & transferts
Toutes les données (logs, métriques, configurations, données de compte) sont hébergées sur les serveurs OVHcloud en France (Roubaix / Gravelines), au sein de l'Union Européenne. Aucune donnée applicative n'est transférée hors UE.
Les paiements sont traités par Stripe, Inc. (certifié PCI-DSS niveau 1). PulseRadar ne stocke jamais de données de carte bancaire — seul un identifiant de moyen de paiement est conservé.
Les notifications email et SMS sont acheminées via UniSend, opérateur européen.
La fonctionnalité de synthèse IA d'incidents (optionnelle, désactivée par défaut) transmet le résumé d'un incident à Anthropic, PBC (États-Unis). Ce transfert est encadré par les Clauses Contractuelles Types (CCT) de la Commission européenne. Les données sont anonymisées avant envoi (suppression IP, identifiants utilisateurs, données nominatives). Cette fonctionnalité peut être désactivée à tout moment dans les paramètres du compte.
4. Cookies
PulseRadar utilise uniquement des cookies techniques nécessaires au fonctionnement du service :
| Stockage | Type | Finalité | Durée |
|---|---|---|---|
| pr_token (localStorage) | Technique (nécessaire) | Jeton d'authentification JWT | 7 jours |
| Cookies Stripe | Technique (nécessaire) | Sécurisation des paiements (anti-fraude) | Session |
Les éléments de stockage techniques étant strictement nécessaires au service, ils ne nécessitent pas de consentement préalable (article 82 de la loi Informatique et Libertés). PulseRadar n'utilise aucun cookie de tracking ni cookie tiers à des fins publicitaires ou analytiques.
5. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679), vous disposez des droits suivants :
- Droit d'accès :Obtenir une copie de toutes vos données personnelles
- Droit de rectification :Corriger des données inexactes ou incomplètes
- Droit à l'effacement :Demander la suppression de votre compte et de vos données
- Droit à la portabilité :Recevoir vos données dans un format structuré (JSON/CSV)
- Droit d'opposition :Vous opposer à un traitement basé sur l'intérêt légitime
- Droit de limitation :Demander la suspension d'un traitement
Pour exercer vos droits, contactez-nous par email à :contact@pulseradar.cloud. Nous répondons sous 30 jours. Si vous estimez que vos droits ne sont pas respectés, vous pouvez saisir la CNIL (Commission Nationale de l'Informatique et des Libertés).
6. Sécurité
PulseRadar met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement des communications en transit (TLS 1.3)
- Chiffrement au repos des données sensibles (clés API hashées, tokens stockés en hash)
- Authentification sans mot de passe (magic link) — réduit les risques de compromission
- Authentification API par clé bearer avec préfixe
pr_ - Accès aux données limité au strict nécessaire (principe de moindre privilège)
- Audit log de toutes les actions de mutation
- Rate limiting sur l'ingestion et l'API
- Sauvegardes quotidiennes des bases de données
- Hébergement certifié ISO 27001 (OVHcloud)
- Code source revu en interne et soumis à audit de sécurité régulier
7. Données ingérées (responsabilité du client)
Lorsqu'un client envoie des logs ou métriques à PulseRadar via l'agent ou les SDKs, ces données peuvent contenir des informations personnelles relatives à des tiers (utilisateurs finaux du client). PulseRadar agit alors en tant que sous-traitant au sens du RGPD.
Le client (responsable du traitement) doit :
- S'assurer d'avoir une base légale pour le traitement de ces données
- Informer ses utilisateurs finaux de la collecte de logs
- Masquer ou pseudonymiser les données sensibles avant ingestion (recommandé)
- Documenter le traitement dans son registre RGPD
Un Accord de Sous-traitance (DPA) est disponible sur demande à contact@pulseradar.cloud.
8. Modifications
Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs sont informés par email au moins 15 jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.