Politique de Confidentialité

1. Introduction

ThirdWatch (« nous », « notre », « nos ») respecte votre vie privée. La présente politique explique comment nous collectons, utilisons, stockons et protégeons vos données personnelles lorsque vous utilisez notre plateforme de monitoring d'API accessible à l'adresse thirdwatch.app.

En utilisant notre Service, vous consentez aux pratiques décrites dans la présente politique. Si vous n'êtes pas d'accord, veuillez ne pas utiliser le Service.

2. Données que nous collectons

2.1 Données de compte

Lors de la création de votre compte, nous collectons :

• Adresse e-mail
• Nom (facultatif)
• Mot de passe (hashé avec bcrypt, jamais stocké en clair)
• Nom de l'organisation

2.2 Données de monitoring

Lorsque vous configurez des moniteurs, nous collectons et stockons :

• Les URL et endpoints que vous choisissez de surveiller
• Les en-têtes HTTP et corps de requêtes que vous configurez
• Les identifiants d'authentification pour les endpoints protégés (chiffrés avec AES-GCM)
• Les résultats des vérifications : temps de réponse, codes de statut, messages d'erreur
• Les données d'incidents : alertes déclenchées, sévérité, chronologie de résolution

2.3 Données de session

Lors de votre connexion, nous collectons automatiquement :

• Adresse IP
• Type de navigateur et système d'exploitation (depuis l'en-tête user-agent)
• Horodatages de connexion et de dernière activité

Nous ne suivons pas les pages visitées, les fonctionnalités utilisées, et nous n'effectuons aucun suivi analytique sur le frontend.

2.4 Données de paiement

Le traitement des paiements est entièrement géré par Stripe. Nous ne stockons pas les numéros de carte bancaire, les CVV ou les détails complets de paiement sur nos serveurs. Nous recevons uniquement de Stripe : votre statut d'abonnement, votre plan et les dates de période de facturation.

3. Comment nous utilisons vos données

Nous utilisons vos données pour :

• Fournir le service de monitoring (effectuer les vérifications, envoyer les alertes)
• Gérer votre compte et votre abonnement
• Envoyer des e-mails transactionnels (bienvenue, réinitialisation de mot de passe, notifications d'alertes, facturation)
• Améliorer le Service (analyses anonymisées, optimisation des performances)
• Assurer la sécurité (détection de fraude, limitation de débit, journalisation des audits)
• Respecter nos obligations légales

Nous ne vendons pas vos données personnelles à des tiers. Nous n'utilisons pas vos données à des fins publicitaires.

4. Partage des données

Nous partageons des données uniquement avec :

• Stripe — pour le traitement des paiements (soumis au Contrat de services Stripe et à sa Politique de confidentialité)
• Resend — pour l'envoi d'e-mails transactionnels (soumis à la Politique de confidentialité de Resend)
• OVH — pour l'hébergement, serveurs situés à Roubaix, France (soumis aux Conditions Générales de Service d'OVH et à sa Politique de confidentialité)

Nous pouvons divulguer des données si la loi l'exige, sur décision de justice, ou pour protéger nos droits et notre sécurité.

5. Sécurité des données

Nous protégeons vos données avec :

• Chiffrement TLS pour toutes les données en transit
• Chiffrement AES-GCM pour les identifiants d'authentification stockés
• Hashage bcrypt pour les mots de passe (12 itérations)
• Accès à la base de données restreint aux services applicatifs uniquement
• Sauvegardes régulières avec stockage chiffré
• Limitation de débit et protection contre les attaques par force brute sur tous les endpoints
• Contrôle d'accès basé sur les rôles pour les membres de l'équipe

6. Conservation des données

Les données de monitoring (vérifications, temps de réponse, incidents) sont conservées selon votre plan d'abonnement :

• Starter : 30 jours
• Pro : 90 jours
• Enterprise : 365 jours

Les données antérieures à la période de conservation de votre plan ne sont pas affichées dans le tableau de bord. La purge automatique des données expirées est prévue dans une prochaine version.

Les données de compte sont conservées pendant toute la durée de votre compte. Lorsque vous supprimez votre compte, toutes les données personnelles et de monitoring sont définitivement supprimées de notre base de données immédiatement. Les données agrégées anonymisées peuvent être conservées indéfiniment.

7. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), si vous êtes situé(e) dans l'Espace Économique Européen (EEE), vous disposez des droits suivants :

• Droit d'accès (Art. 15) — obtenir une copie de vos données personnelles
• Droit de rectification (Art. 16) — corriger des données inexactes ou incomplètes
• Droit à l'effacement (Art. 17) — demander la suppression de vos données (« droit à l'oubli »)
• Droit à la portabilité (Art. 20) — recevoir vos données dans un format structuré et lisible par machine
• Droit à la limitation du traitement (Art. 18) — limiter la manière dont nous traitons vos données
• Droit d'opposition (Art. 21) — vous opposer au traitement de vos données fondé sur un intérêt légitime

Pour exercer ces droits, contactez-nous à l'adresse support@thirdwatch.app. Nous répondrons dans un délai de 30 jours.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés), autorité de contrôle française compétente en matière de protection des données personnelles.

8. Cookies

Nous utilisons un nombre minimal de cookies :

• NEXT_LOCALE — stocke votre préférence linguistique (fonctionnel, non traçant)
• Préférence de thème — stocke votre choix de mode sombre/clair (stockage local)

Nous n'utilisons pas de cookies de suivi, de cookies publicitaires, ni de cookies d'analyse tiers. L'authentification est gérée via des jetons JWT stockés dans le stockage local, et non par des cookies.

9. Mineurs

Le Service n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons qu'un mineur a fourni des données personnelles, nous les supprimerons dans les plus brefs délais.

10. Transferts internationaux

Nos serveurs sont hébergés par OVH à Roubaix, en France. Toutes les données sont stockées et traitées en France. Si vous accédez au Service depuis l'extérieur de la France, vos données sont transférées et traitées en France. En utilisant le Service, vous consentez à ce transfert.

11. Modifications de cette politique

Nous pouvons mettre à jour cette politique de temps à autre. Les modifications prennent effet dès leur publication. Nous informerons les utilisateurs enregistrés des modifications substantielles par e-mail. Votre utilisation continue du Service après les modifications vaut acceptation.

12. Contact

Pour toute question relative à la confidentialité ou pour exercer vos droits, contactez-nous à :

E-mail : support@thirdwatch.app
Site web : https://thirdwatch.app