Politique de confidentialité
en-service.fr · Dernière mise à jour : juin 2026
1. Responsable du traitement
Responsable : Valentin Beck, entrepreneur individuel, RCS Strasbourg 443 543 152.
Adresse : Strasbourg, Grand-Est, France.
Contact : contact chez en-service.fr.
Autorité de contrôle : CNIL, www.cnil.fr.
Le service est destiné à un usage professionnel et aux personnes âgées de 16 ans ou plus.
2. Données collectées
- Données de compte : prénom, adresse e-mail, mot de passe haché (bcrypt), offre, date d'inscription, code de parrainage, clé de sonde.
- Cibles surveillées : les URL, domaines, hôtes et ports que vous saisissez pour les surveiller. Vous êtes responsable d'être autorisé à surveiller ces ressources.
- Résultats de contrôle : statut (en service / hors service), latence, codes de réponse, messages, région et horodatage de chaque vérification.
- Pages de statut : contenu que vous publiez (noms de services, incidents, maintenances) et abonnements aux notifications (point de terminaison push du navigateur).
- Canaux d'alerte : adresses e-mail, webhooks, identifiants Slack/Telegram/Discord ou numéros que vous configurez pour être alerté.
- Sonde applicative : métriques système renvoyées par la sonde que vous déposez sur votre serveur (disque, charge, mémoire…). Aucune donnée applicative n'est collectée.
- Newsletter : uniquement si vous l'activez dans votre compte, votre adresse e-mail et votre consentement (opt-in), pour recevoir les nouveautés produit et les mises à jour des outils CLI.
- Données techniques : adresse IP, horodatage, user-agent lors des connexions. Base légale : intérêt légitime (sécurité).
- Données de paiement : traitées exclusivement par Stripe (certifié PCI-DSS). Aucune donnée bancaire ne transite par nos serveurs.
3. Finalités
- Fourniture du service de surveillance et de pages de statut.
- Gestion des comptes et de la facturation.
- Envoi des alertes (e-mail, webhook, push, SMS) et des notifications liées au service.
- Sécurité, prévention des abus et de la surcharge.
- Statistiques d'utilisation agrégées.
- Envoi de la newsletter (nouveautés produit, mises à jour des outils CLI), uniquement si vous y avez consenti.
4. Base légale
- Exécution du contrat : fourniture du service, gestion du compte, paiement.
- Intérêt légitime : sécurité, prévention des abus.
- Obligation légale : journaux de connexion (décret 2011-219), données comptables.
- Consentement : abonnement aux notifications d'une page de statut, newsletter (révocable à tout moment, sans condition).
5. Durées de conservation
| Donnée | Durée | Motif |
|---|---|---|
| Données de compte | Jusqu'à suppression du compte + 30 jours | Exécution du contrat |
| Compte gratuit inactif | Supprimé après 24 mois d'inactivité (avertissement par e-mail 30 jours avant) | Minimisation des données (RGPD) |
| Sessions actives | 30 jours glissants (inactivité) | Sécurité |
| Résultats de contrôle (bruts) | 7 j (Gratuit) · 365 j (Pro) · 730 j (Business) | Service, puis purge automatique |
| Statistiques de disponibilité (agrégées par jour, sans PII) | Durée de vie du compte, effacées à sa clôture | Historique SLA, rapports long terme |
| Incidents et maintenances | Selon la rétention de l'offre | Service |
| Abonnements push | Jusqu'au désabonnement ou invalidation du point de terminaison | Service, purge auto |
| Consentement newsletter | Jusqu'au retrait du consentement (désinscription en un clic) | Consentement |
| Vues de page de statut | Agrégées par jour | Statistiques, pas de PII |
| Journaux de connexion (nginx) | 12 mois | Décret 2011-219 |
| Données d'identification (IP, e-mail, date) | 1 an, y compris après suppression | Obligation légale (LCEN art. 6-II, décret 2011-219) |
| Tokens e-mail et challenges 2FA | À expiration ou utilisation | Sécurité |
| Données de paiement | 10 ans | Obligation comptable (art. L123-22 C. com.) |
La purge des résultats hors rétention et des tokens expirés est exécutée automatiquement chaque nuit.
6. Vos droits (RGPD)
Conformément au règlement UE 2016/679 (RGPD), vous disposez des droits d'accès, de rectification, d'effacement, de portabilité, d'opposition et de limitation. La suppression du compte efface immédiatement vos données (moniteurs, pages, historique) ; un export de vos données au format JSON est disponible depuis votre compte (il inclut votre état de consentement à la newsletter). Si vous avez consenti à la newsletter, vous pouvez retirer ce consentement à tout moment, sans condition, depuis votre compte ou via le lien de désinscription présent dans chaque e-mail. Les données de paiement sont conservées 10 ans (obligation légale). Écrivez à contact chez en-service.fr ; nous répondons sous 30 jours.
7. Cookies et stockage local
En Service n'utilise que les cookies strictement nécessaires au fonctionnement du service. Aucun bandeau de consentement n'est requis : aucun cookie analytique, publicitaire ou de traçage tiers (art. 82 de la loi Informatique et Libertés).
| Nom | Durée | Finalité |
|---|---|---|
es_sess | Session | Session PHP : fonctionnement, protection CSRF |
es_auth | 30 jours | Maintien de la connexion |
es_2fa | 15 minutes | Challenge 2FA en attente |
8. Sous-traitants et hébergement
- Hébergement : OVHcloud et Scaleway, serveurs en France (UE) ; infogérance assurée par Permalink. Aucun transfert hors UE.
- E-mails transactionnels : relais mutualisé via Amazon SES région eu-west-3 (Paris).
- Paiements : Stripe Technology Europe Ltd (Irlande, UE), PCI-DSS niveau 1.
- Notifications push : acheminées par les services de push des navigateurs (Apple, Google, Mozilla), qui peuvent opérer hors UE. Nous ne stockons qu'un identifiant de terminaison opaque, aucun contenu personnel ; vous pouvez désactiver les notifications push à tout moment.
9. Sécurité
- Communications chiffrées (HTTPS/TLS) ; mots de passe hachés (bcrypt).
- Sessions identifiées par token cryptographiquement aléatoire.
- Double authentification disponible (application TOTP, code e-mail).
- Protection contre la SSRF (refus des cibles privées/réservées), limitation du débit, paiements délégués à Stripe.
10. Contact et réclamations
Pour toute question ou pour exercer vos droits : contact chez en-service.fr. Vous pouvez aussi saisir la CNIL (www.cnil.fr, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07).
11. Alertes vers des services tiers
Les canaux d'alerte que vous configurez (webhook, Slack, Telegram, Discord, SMS) transmettent des données (nom du moniteur, statut, message d'incident) vers des services tiers, hors du contrôle d'En Service et, pour certains, hors UE. Vous restez responsable de la conformité de ces canaux et n'y transmettez pas de données sensibles.
12. Clients publiant une page de statut
Lorsque vous publiez une page de statut avec abonnement aux notifications (offres Pro et Business), vous êtes responsable de traitement des données de vos visiteurs/abonnés (point de terminaison push) ; En Service agit alors comme sous-traitant au sens de l'article 28 du RGPD, pour la seule collecte et le stockage nécessaires au service. Un accord de traitement des données (DPA) est disponible sur simple demande à contact chez en-service.fr.