Politique de confidentialité #
Date d’effet : 17 février 2026 Dernière mise à jour : 5 avril 2026
1. Introduction #
EthicsPortal (« nous », « notre ») est exploité par Yaroslav Shmarov, un entrepreneur individuel basé à Varsovie, Pologne. La présente politique de confidentialité décrit comment nous collectons, utilisons, stockons et protégeons vos données personnelles lorsque vous utilisez EthicsPortal sur ethicsportal.eu (le « Service »).
En utilisant le Service, vous acceptez la collecte et l’utilisation des informations telles que décrites dans la présente politique. Si vous n’êtes pas d’accord, veuillez ne pas utiliser le Service.
Contact : [email protected]
2. Informations que nous collectons #
2.1 Informations de compte #
Lors de la création de votre compte, nous collectons :
- Adresse e-mail
- Nom d’affichage (si fourni)
- Préférence de langue
L’authentification est sans mot de passe — nous utilisons des liens magiques (codes à usage unique envoyés à votre e-mail) et une connexion optionnelle via Google OAuth. Nous ne collectons ni ne stockons de mots de passe.
2.2 Informations de paiement #
Les paiements sont entièrement traités par Stripe. Nous ne stockons pas de numéros de carte bancaire, de numéros de compte bancaire ou d’autres données financières sensibles sur nos serveurs. Stripe peut collecter les informations de paiement directement. Veuillez consulter la Politique de confidentialité de Stripe pour plus de détails.
2.3 Journaux du serveur #
Nos serveurs enregistrent automatiquement des informations lorsque vous accédez au Service, notamment :
- Adresse IP
- Type et version du navigateur
- Pages visitées et horodatages
- URL de provenance
Les journaux du serveur sont utilisés pour la surveillance de la sécurité et le débogage. Ils ne sont pas utilisés à des fins publicitaires ou de suivi.
2.4 Données des signalements de lanceurs d’alerte #
Lorsqu’un lanceur d’alerte soumet un signalement via le portail d’une organisation, nous collectons :
- Description du signalement, catégorie et source
- Nom et coordonnées du signalant (si fournis volontairement)
- Messages échangés entre le signalant et l’organisation
Les descriptions des signalements, les noms des signalants, leurs coordonnées et le contenu des messages sont chiffrés dans la base de données à l’aide d’un chiffrement au niveau applicatif. Les adresses IP des lanceurs d’alerte sont anonymisées par un hachage unidirectionnel et ne sont jamais stockées sous leur forme originale. Les journaux du serveur pour les routes du portail sont expurgés des adresses IP afin de protéger l’identité des lanceurs d’alerte.
2.5 Données OAuth #
Si vous vous connectez avec Google, nous recevons votre adresse e-mail et votre nom de profil de Google. Nous stockons également des jetons OAuth chiffrés pour maintenir votre connexion. Vous pouvez déconnecter votre compte Google à tout moment depuis les paramètres de votre compte.
3. Comment nous utilisons vos informations #
Nous utilisons les informations collectées pour :
- Fournir le Service — créer et gérer votre compte
- Traiter les paiements — gérer les abonnements via Stripe
- Envoyer des notifications — fournir des notifications dans l’application et par e-mail concernant l’activité du compte
- Maintenir la sécurité — détecter et prévenir la fraude, les abus et les accès non autorisés
- Améliorer le Service — diagnostiquer les problèmes techniques et améliorer les fonctionnalités
Nous ne vendons pas vos données personnelles. Nous n’utilisons pas vos données à des fins publicitaires.
4. Services tiers #
Nous partageons des données avec les services tiers suivants, uniquement dans la mesure nécessaire à la fourniture du Service :
| Service | Objectif | Données partagées |
|---|---|---|
| Stripe | Traitement des paiements | E-mail, informations de paiement (collectées directement par Stripe) |
| Cloudflare R2 | Hébergement de fichiers (avatars, pièces jointes) | Fichiers téléchargés |
| Postmark | Envoi d’e-mails transactionnels | Adresse e-mail, contenu des e-mails |
| Cloudflare Web Analytics | Analyse web respectueuse de la vie privée | Pages vues, provenance, type de navigateur, pays (anonyme, sans cookies, sans données personnelles) |
| Honeybadger | Suivi des erreurs et exceptions | Détails des erreurs, contexte de la requête (URL, adresse IP, type de navigateur) — aucune donnée personnelle n’est intentionnellement collectée |
| Google OAuth2 | Authentification optionnelle par connexion | Adresse e-mail, nom de profil (uniquement si vous choisissez de vous connecter avec Google) |
Chaque service tiers est régi par sa propre politique de confidentialité. Nous vous encourageons à les consulter.
5. Cookies #
Nous utilisons les cookies suivants :
| Cookie | Objectif | Durée |
|---|---|---|
_ethicsportal_session | Gestion de session (authentification) | 2 ans |
session_token | Identifiant de session signé pour la connexion persistante | Permanent |
locale | Stocke votre préférence de langue | 1 an |
Un cookie temporaire pending_authentication_token (15 minutes) est utilisé pendant le processus de connexion par lien magique.
Tous les cookies sont définis avec les attributs Secure et HttpOnly en production. Nous n’utilisons pas de cookies de suivi tiers, de cookies publicitaires ou de cookies d’analyse. La protection CSRF est assurée par des jetons intégrés dans les formulaires HTML, et non par des cookies.
6. Stockage et sécurité des données #
- Emplacement des serveurs : Nos serveurs sont hébergés par Hetzner à Nuremberg, Allemagne (Union européenne)
- Chiffrement en transit : Toutes les connexions utilisent HTTPS/TLS
- Chiffrement au repos : Les données des signalements de lanceurs d’alerte (descriptions, noms des signalants, coordonnées, messages) et les jetons OAuth sont chiffrés dans la base de données à l’aide d’Active Record Encryption
- Authentification sans mot de passe : Nous utilisons des liens magiques et OAuth — aucun mot de passe n’est stocké
- Contrôle d’accès : L’accès à la base de données est restreint au personnel autorisé uniquement
Bien que nous prenions des mesures raisonnables pour protéger vos données, aucune méthode de transmission ou de stockage n’est sécurisée à 100 %. Si vous découvrez une faille de sécurité, veuillez nous contacter à [email protected].
7. Conservation des données #
- Données de compte conservées tant que votre compte est actif
- Données d’organisation conservées tant que votre organisation est active
- Signalements de lanceurs d’alerte — les signalements clôturés ou rejetés sont automatiquement supprimés après 60 mois (5 ans) conformément aux recommandations de conservation de la directive européenne sur les lanceurs d’alerte. Les signalements actifs et en cours sont conservés jusqu’à leur clôture
- Journaux du serveur conservés pendant 90 jours maximum
- Registres de paiement conservés conformément aux lois fiscales et comptables applicables
- Journaux d’audit — les enregistrements indiquant qui a consulté les signalements et à quel moment sont conservés avec le signalement à des fins de conformité
Lorsque vous supprimez votre compte, vos données personnelles sont définitivement supprimées de nos systèmes, sauf lorsque la conservation est exigée par la loi (par exemple, les registres financiers).
8. Vos droits en vertu du RGPD #
Étant basés dans l’Union européenne, le Règlement général sur la protection des données (RGPD) s’applique. Vous avez le droit de :
- Accès — demander une copie des données personnelles que nous détenons à votre sujet
- Rectification — demander la correction de données inexactes
- Effacement — demander la suppression de vos données (« droit à l’oubli »)
- Limitation — demander que nous limitions le traitement de vos données
- Portabilité des données — demander vos données dans un format structuré et lisible par machine
- Opposition — vous opposer au traitement de vos données
- Retrait du consentement — retirer votre consentement à tout moment lorsque le traitement est fondé sur le consentement
Comment exercer vos droits : Vous pouvez gérer la plupart de vos données directement depuis les paramètres de votre compte. Pour supprimer votre compte, rendez-vous sur la page des paramètres de votre compte. Pour toute autre demande, envoyez-nous un e-mail à [email protected].
Notre base juridique pour le traitement de vos données est :
- Exécution du contrat — pour fournir le Service auquel vous vous êtes inscrit
- Intérêt légitime — pour maintenir la sécurité et améliorer le Service
- Consentement — pour les fonctionnalités optionnelles
9. Suppression du compte et des données #
Vous pouvez supprimer votre compte à tout moment depuis les paramètres de votre compte. La suppression du compte entraîne la suppression définitive de :
- Votre profil et les informations de votre compte
- Vos adhésions aux organisations
10. Protection des données des mineurs #
Le Service ne s’adresse pas aux enfants de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès d’enfants de moins de 16 ans. Si vous pensez qu’un enfant de moins de 16 ans nous a fourni des données personnelles, veuillez nous contacter à [email protected] et nous les supprimerons.
11. Transferts internationaux de données #
Vos données sont stockées sur des serveurs situés en Allemagne (UE). Si vous accédez au Service depuis l’extérieur de l’UE, vos données seront transférées et traitées dans l’UE. L’UE offre un niveau élevé de protection des données en vertu du RGPD.
12. Modifications de la présente politique #
Nous pouvons mettre à jour la présente politique de confidentialité de temps à autre. En cas de modifications substantielles, nous vous en informerons par e-mail ou par une notification dans l’application. La date de « Dernière mise à jour » en haut de cette page indique la date de la dernière révision.
Votre utilisation continue du Service après la publication des modifications constitue votre acceptation de la politique mise à jour.
13. Nous contacter #
Si vous avez des questions concernant cette politique de confidentialité ou souhaitez exercer vos droits relatifs à vos données, contactez-nous à :
E-mail : [email protected] Lieu : Varsovie, Pologne