Avis relatif au RGPD
Droits en matière de protection des données pour les personnes physiques dans l'Espace économique européen. PhishDestroy s'engage à respecter le RGPD.
La présente déclaration s'adresse aux personnes résidant dans l'Espace économique européen (EEE) et au Royaume-Uni. PhishDestroy respecte votre vie privée et traite vos données à caractère personnel conformément au règlement général sur la protection des données (UE) 2016/679.
Responsable du traitement
PhishDestroy est un projet anti-hameçonnage à but non lucratif, porté par des bénévoles. Aux fins du RGPD, le projet PhishDestroy agit en tant que responsable du traitement des données à caractère personnel traitées par le biais de nos services. Contactez notre délégué à la protection des données à l'adresse privacy@phishdestroy.io.
Quelles données à caractère personnel traitons-nous ?
Nous collectons et traitons un minimum de données à caractère personnel, limitées à ce qui est strictement nécessaire à notre mission de lutte contre le phishing :
- Soumission de rapports sur les menaces : Les noms de domaine, les URL, les adresses de portefeuille et toute autre information que vous fournissez volontairement lorsque vous signalez une menace.
- Caractéristiques techniques : Les adresses IP, les chaînes d'agent utilisateur et les horodatages d'accès sont collectés automatiquement à des fins de sécurité et de prévention des abus.
- Données analytiques : Des statistiques d'utilisation anonymisées via Google Analytics (Google Tag Manager) afin de comprendre comment nos services sont utilisés.
- Données de communication : Votre adresse e-mail ou votre nom d'utilisateur Telegram lorsque vous nous contactez directement.
Nous faisons pas collecter des données financières, des documents d'identité ou toute catégorie particulière de données à caractère personnel (article 9 du RGPD).
Base juridique du traitement
Nous traitons les données à caractère personnel sur la base des fondements juridiques suivants, tels que définis à l'article 6, paragraphe 1, du RGPD :
- Intérêt légitime (art. 6, par. 1, point f)) : Traitement des données de renseignement sur les menaces, des adresses IP et des métadonnées techniques afin de protéger les internautes contre le phishing et la fraude. Notre intérêt légitime réside dans la prévention de la cybercriminalité et la protection du public.
- Consentement (art. 6, par. 1, point a)) : Lorsque vous signalez volontairement une menace ou que vous nous contactez. Vous pouvez retirer votre consentement à tout moment.
- Obligation légale (art. 6, par. 1, point c)) : Lorsque nous sommes tenus de nous conformer à des demandes légitimes émanant des autorités ou à des décisions de justice.
Vos droits en vertu du RGPD
En tant que personne concernée résidant dans l'EEE ou au Royaume-Uni, vous disposez des droits suivants :
- Droit d'accès (art. 15) : Demandez une copie des données à caractère personnel que nous détenons à votre sujet.
- Droit de rectification (art. 16) : Demander la rectification de données à caractère personnel inexactes.
- Droit à l'effacement (art. 17) : Demander la suppression de vos données à caractère personnel (« droit à l'oubli »).
- Droit à la limitation du traitement (art. 18) : Demander la limitation du traitement de vos données.
- Droit à la portabilité des données (art. 20) : Recevez vos données dans un format structuré et lisible par machine.
- Droit d'opposition (art. 21) : S'opposer au traitement fondé sur un intérêt légitime.
- Droit de retirer son consentement (art. 7, par. 3) : Retirer son consentement à tout moment sans que cela n'affecte la licéité des traitements antérieurs.
Pour exercer l'un de ces droits, envoyez un e-mail à privacy@phishdestroy.io avec l'objet « Demande relative au RGPD ». Nous vous répondrons dans un délai de 30 jours, conformément à la loi. Aucun frais n'est facturé pour les demandes raisonnables.
Conservation des données
Nous ne conservons les données à caractère personnel que pendant la durée nécessaire à la réalisation des finalités que nous avons indiquées :
- Données de renseignement sur les menaces : Ces informations sont conservées indéfiniment dans le registre public des infrastructures de hameçonnage. Les noms de domaine, les URL et les indicateurs techniques associés ne sont pas considérés comme des données à caractère personnel de la personne ayant signalé ces informations.
- Fichiers journaux du serveur (adresse IP, agent utilisateur) : Ces données sont conservées pendant 90 jours maximum à des fins de sécurité et de prévention des abus, puis automatiquement supprimées.
- Historique des communications : Conservées pendant une durée maximale de 12 mois après la dernière interaction, sauf si la poursuite de la correspondance nécessite une conservation plus longue.
- Données analytiques : Les données sont anonymisées et agrégées ; les données individuelles ne sont pas conservées au-delà de ce que Google Analytics traite conformément à ses propres paramètres de conservation des données.
Transferts de données à l'étranger
L'infrastructure de PhishDestroy est répartie sur plusieurs territoires. Lorsque des données à caractère personnel sont transférées en dehors de l'EEE, nous nous appuyons sur :
- Clauses contractuelles types (CCT) approuvées par la Commission européenne.
- Décisions d'adéquation, le cas échéant (par exemple, transferts vers des pays offrant un niveau adéquat de protection des données).
- Nécessité à l'accomplissement de notre mission d'intérêt public (art. 49, par. 1, point d), du RGPD) dans des cas limités.
Services tiers
Nous utilisons les services tiers suivants, qui peuvent être amenés à traiter des données à caractère personnel :
- Cloudflare : CDN, protection contre les attaques DDoS et services DNS. Politique de confidentialité de Cloudflare.
- Ahrefs : Analyses SEO et suivi des performances des sites web. Politique de confidentialité d'Ahrefs.
- Google Analytics (via GTM) : Statistiques anonymisées sur le site web. Politique de confidentialité de Google.
- API du bot Telegram : Pour l'envoi de rapports sur les menaces. Politique de confidentialité de Telegram.
Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel, notamment des connexions cryptées (TLS/HTTPS), des contrôles d'accès et des audits de sécurité réguliers. Consultez notre Politique de sécurité pour plus de détails.
Droit de déposer une plainte
Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une plainte auprès d'une autorité de contrôle dans l'État membre de l'UE où vous résidez habituellement, où vous travaillez ou où la violation présumée a eu lieu. Une liste des autorités de protection des données de l'UE est disponible à l'adresse suivante : edpb.europa.eu.
Modifications apportées à la présente déclaration
Nous pouvons mettre à jour la présente déclaration relative au RGPD afin de refléter les modifications apportées à nos pratiques ou à la législation applicable. La date de « Dernière mise à jour » figurant dans les métadonnées de la page sera modifiée en conséquence. Le fait de continuer à utiliser nos services après ces modifications vaut acceptation de la déclaration mise à jour.
Contact
Pour toute question, demande ou réclamation relative à la protection des données :
- E-mail : privacy@phishdestroy.io
- Objet : Demande relative au RGPD (pour les demandes officielles) ou Demande relative à la protection des données (pour toute question d'ordre général)