La société collecte des données de type renseignement d’origine « source ouverte » ainsi que des données liées à l’intelligence sur les menaces. Les sondes utilisées pour cette collecte sont capables d’écouter le bruit de fond d’Internet, de collecter de manière active des informations techniques sur les réseaux IP et TOR et également en indexant des URL complètes de sites Web.

ONYPHE permet ainsi à ses utilisateurs d’accéder à différentes catégories, ou typologies d’information (inetnum, synscan, datascan, datashot, geoloc, pastries, resolver, ctl, sniffer, onionscan, onionshot, whois, vulnscan, threatlist, topsite) puis d’interroger le moteur de rechercher au travers de mots clefs qu’il peut saisir en toute autonomie et sous sa seule responsabilité, ci-après, les « Services ».

Cette utilisation suppose des collectes de données sur l’Utilisateur et au nom de l’Utilisateur.

La présente Politique de confidentialité a pour objet d’informer les Utilisateurs :

  • Des modalités de mise en œuvre du traitement de données à caractère personnel les concernant ;
  • Des droits dont ils disposent sur leurs données à caractère personnel ;
  • Des moyens mis en œuvre pour sécuriser et conserver leurs données.

Article 1 : Responsable de traitement et sous-traitant

La société ONYPHE société par action simplifiée au capital de 15.000 Euros, enregistrée au RCS de Rennes sous le numéro de SIRET 83154069500028, sis 1 bis rue d'Ouessant - BP 96241, 35762, SAINT GREGOIRE, France, ci-après « ONYPHE », est un moteur de recherche dédié à la cyber défense qui est amené à collecter et traiter certaines données personnelles des Utilisateurs à l’occasion de leur utilisation des Services proposés par ONYPHE. Dans ce cadre, ONYPHE est le responsable du traitement au sens de la Loi Informatique et Libertés.

ONYPHE est également amené à collecter les données au travers de tout le réseau internet. Dans le cadre de cette collecte, l’Utilisateur demandant la collecte des données par son utilisation des Services est le responsable de traitement. ONYPHE est alors le sous-traitant de l’Utilisateur dans son utilisation des Services.

Dans tous les cas, la société ONYPHE fait appel à des sous-traitants avec lesquels elle a contractualisé des clauses assurant le respect du règlement européen sur la protection des données (RGPD).

Les sous-traitants sont les suivants :

  • OVH (stockage des données, France) ;
  • OVH (Collecteur des données, France/Canada) ;
  • Linode (Collecteur des données, USA/Japon) ;
  • Scaleway (Collecteur de données, France/Pays-Bas) ;
  • Online (Collecteur de données, France/Pays-Bas).

ONYPHE et ses sous-traitants s’engagent à coopérer afin d’appliquer scrupuleusement le RGPD.

Article 2 : La finalité et la base légale des traitements de données

Le traitement exécuté par ONYPHE en tant que responsable de traitement a pour finalité la gestion des comptes des Utilisateurs, le paiement des Services et également la sécurité des accès aux Services et l’amélioration du site internet.

Les Utilisateurs sont informés que leurs données collectées et traitées ont pour finalités l’utilisation et à la fourniture des Services de ONYPHE, au recueil de leur satisfaction et plus globalement à l’exécution des contrats liant ONYPHE aux Utilisateurs.

La collecte de donnée exécutée par ONYPHE en tant que sous-traitant de l’Utilisateur a pour finalité la fourniture des Services. Ce traitement représente en fait l’intégralité des Services.

Article 3 : Les données collectées

Lors de la collecte des données, l’Utilisateur est informé du caractère obligatoire ou non de la collecte de ses données à caractère personnel. En particulier, pour l’Utilisateur, les données d’identification obligatoires comme le Nom, prénom, adresse électronique, adresse postale. Mais également les données financières nécessaires au paiement des Services comme le numéro de carte bleue ou du moins le moyen de paiement sélectionné.

Font également l’objet d’une collecte, les identifiants, journaux, adresses IP ainsi que les métadonnées générales comme celles du navigateur dans un objectif de respect des obligations légales de ONYPHE et d’amélioration de ses Services ainsi que de son site internet.

ONYPHE collecte également des cookies comme précisé dans l’article « cookies » des présentes. Pour ce qui est de la fourniture des Services, ONYPHE scanne, entres autres (liste non-exhaustive), les adresses IP, URL, ports TCP ou UDP ouverts, adresses DNS, prend des captures écrans de nombreux sites Web, et ce de manière indépendante des requêtes des Utilisateurs.

Article 4 : Les données sensibles

ONYPHE ne collecte aucune donnée sensible de l’Utilisateur.

Article 5 : Délégué à la protection des données

ONYPHE a désigné un délégué à la protection des données (DPO) afin de veiller au respect de la réglementation et des règles décrites au sein de la présente politique de confidentialité. Le DPO veille notamment :

  • à établir et tenir à jour un registre des traitements de données à caractère personnel mis en œuvre au sein de ONYPHE ;
  • à s’assurer de la conformité des pratiques avec la réglementation et ses évolutions ;
  • à sensibiliser l’ensemble des équipes de ONYPHE aux exigences et bonnes pratiques en matière de protection des données à caractère personnel ;
  • à l’exercice effectif des droits des personnes concernées.

Vous pouvez joindre le DPO par courrier postal : ONYPHE, 1 bis rue d'Ouessant, BP 96241, 35762 SAINT GREGOIRE ; ou par e-mail : dpo[arobase]onyphe[point]io.

Article 6 : Destinataire des données

Les données à caractère personnel des Utilisateurs sont destinées exclusivement :

  • Aux membres du personnel de ONYPHE, spécifiquement habilités ;
  • Aux membres du personnel des prestataires techniques spécifiquement habilités et soumis au secret, dans le strict respect de leurs missions uniquement à des fins de gestion technique des comptes des Utilisateurs ;
  • Aux sous-traitant de ONYPHE ;
  • Aux personnes habilitées au titre des tiers autorisés (les juridictions, arbitres, médiateurs, ministères etc.).

ONYPHE garantit que des données à caractère personnel de l’Utilisateur ne seront transmises à aucun tiers non autorisé sans son accord.

Article 7 : Droit de la personne concernée

Conformément à la Loi Informatique et Libertés, les Utilisateurs disposent de droits concernant leurs données à caractère personnel collectées et traitées par ONYPHE :

  • Droit d’accès : droit d’interroger ONYPHE pour savoir s’il détient des informations à caractère personnel le concernant et de demander à les connaître ;
  • Droit de rectification : droit de demander de rectifier, compléter ou effacer des informations en cas d’erreurs, inexactitudes ou présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite ;
  • Droit d’opposition : droit de refuser, pour des motifs légitimes, de figurer dans un fichier, hormis dans le cadre de la prospection commerciale où la motivation n’est pas exigée.
  • Droit à l’effacement : droit pour l’Utilisateur et sous certaines conditions, d’obtenir l’effacement de leurs données auprès de ONYPHE ;
  • Droits relatifs aux données post-mortem ;
  • Droit de définir des directives générales relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès, qui peuvent être enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL ;
  • Droit de définir des directives particulières, concernant les traitements de données à caractère personnel mentionnées par ces directives, qui peuvent être enregistrées auprès du service dédié de ONYPHE, et qui font l’objet du consentement spécifique de l’Utilisateur à ce titre ;
  • Droit à la portabilité : droit pour les Utilisateurs de récupérer une partie de leurs données dans un format ouvert et lisible par machine ;
  • Droit à la limitation du traitement des données : droit pour les Utilisateurs de suspendre le traitement dont ils font l’objet tout en conservant les données traitées (sous certaines conditions) ;
  • Droit de s’opposer au recours d’une décision automatisée : droit de ne pas faire l’objet d’une décision entièrement automatisée (sous certaines conditions). ONYPHE informe les Utilisateurs qu’aucune décision automatisée est n’est réalisée par ses Services.

Pour exercer ces droits et notamment demander la clôture de leur compte personnel, les Utilisateurs peuvent s’adresser directement au DPO de ONYPHE dont le contact est détaillé à l’article 5.

La demande de l’Utilisateur doit préciser ses noms, prénom, adresse postale, être signée et accompagnée de la photocopie d'une preuve d'identité portant la signature du titulaire.

Un registre de suivi des demandes d’accès, de rectification et d’opposition est tenu par le service dédié de ONYPHE sous format électronique et contient les différentes dates et la description des échanges intervenus avec les demandeurs. Il est conservé et sauvegardé dans le respect des exigences de sécurité et de confidentialité.

Le traitement des demandes des Utilisateurs intervient dans un délai maximum de deux mois suivant la demande.

Article 8 : Mesure de sécurité

ONYPHE met en place des mesures techniques et organisationnelles afin d’assurer sa conformité avec la règlementation correspondante à l’article 32 du RGPD.

8.1 : Confidentialité

8.1.1 : Contrôle des entrées

Toutes les données traitées sont enregistrées dans des environnements de sécurité. L'accès est uniquement possible aux personnes habilitées.

Les visiteurs doivent s'enregistrer à l'accueil et sont toujours accompagnés d'un collaborateur ONYPHE. L'accès dans les aires de travail s'effectue uniquement à l'aide d'une clé de sécurité.

Les espaces de bureaux sont par ailleurs fermés la nuit et les week-ends ainsi que pendant les jours fériés.

8.1.2 : Contrôle des accès aux systèmes

Tous les ordinateurs sont dotés d'un système de contrôle des accès. Il existe des règles prédéfinies portant sur l'octroi de mots de passe. Elles concernent la complexité requise, la durée de validité du mot de passe ainsi que la réutilisation d'anciens mots de passe. Les supports de données sont chiffrés, les clés sont enregistrées sur les serveurs et ne peuvent être consultées que par les collaborateurs ONYPHE autorisés. Les terminaux mobiles des collaborateurs ONYPHE sont chiffrés.

Dans le cadre de l'accès à distance à l'infrastructure, il n'existe aucune connexion directe aux serveurs, les accès passent par un serveur central. Un accès par mot de passe n'est pas possible, l'accès s'effectue par une authentification personnelle par cryptographie à clef publique.

Une longueur minimale de mot de passe est appliquée pour l'utilisation de l'application ONYPHE à des fins d'une meilleure protection du client. Par ailleurs, la session Utilisateur est sécurisée par un « secure cookie ».

8.1.3 : Contrôle des accès aux données

Les systèmes informatiques utilisés disposent d'un système d'autorisation dédié qui permet d'octroyer des accès et modifications de données sur la base de rôles et d'autorisations individuelles. Il existe des règles prédéfinies portant sur l'octroi de mots de passe. Elles concernent la complexité requise, la durée de validité du mot de passe ainsi que la réutilisation d'anciens mots de passe. Dans le cadre de la réalisation de sa mission, chaque collaborateur peut accéder avec l'autorisation qui lui a été attribuée uniquement aux systèmes nécessaires à son activité et uniquement aux données nécessaires. Les accès sont consignés d'une manière centralisée et locale. La responsabilité de chaque collaborateur en matière de sécurité, confidentialité, intégrité et disponibilité des données et des informations est renforcée par les informations mises à disposition de manière centralisée. En outre, le « principe de moindre privilège » s'applique à chaque collaborateur.

8.1.4 : Contrôle de la séparation

Le principe de la séparation des fonctions entre la production du Service, la préproduction ainsi que le développement existe, les Services impliqués sont fonctionnellement et organisationnel séparés.

Les données sensibles sont mises à disposition des collaborateurs uniquement dans la mesure où celles-ci sont absolument nécessaires à la réalisation des missions attribuées.

La transition entre le système de développement et le système de production est sécurisée par des outils adaptés et documentée d'une manière permettant le suivi. Les données utilisées à des fins de développement sont rendues anonymes.

8.1.5 : Pseudonymisation

ONYPHE ne prend aucune mesure de pseudonymisation en complément des mesures résultant de chaque description des Services ou prises dans le cadre du mandat par le responsable.

8.2 : Intégrité

8.2.1 : Contrôle des transferts

ONYPHE applique des procédures de chiffrement pour l'acheminement électronique qui correspondent à l’état de l’art et obtiennent un niveau de protection adapté aux exigences.

L'acheminement électronique des données est chiffré via HTTPS.

8.2.2 : Contrôle de saisie

Toutes les saisies de données (élaboration, actualisation et suppression) sont sauvegardées par ONYPHE. La saisie directe de données dans la banque de données est possible uniquement avec des droits spécifiques et est par ailleurs limitée à un petit cercle de personnes.

8.3 : Disponibilité et capacité de charge

8.3.1 : Contrôle de disponibilité

ONYPHE utilise OVH en tant que centre de données et fournisseur de serveurs. Ceux-ci assurent la disponibilité des données grâce aux mesures suivantes :

  • Les systèmes du centre de données sont répartis sur différents compartiments coupe-feu ;
  • Les installations techniques sont dotées d'une forte disponibilité grâce à l'entretien régulier des installations de production ;
  • Courant de secours ;
  • L'approvisionnement en énergie électrique des systèmes informatiques est construit avec redondance et permet la fourniture d'une alimentation à l'aide de dispositifs ASI dynamiques (Alimentation Sans Interruption) ;
  • Les dispositifs de réseau modernes permettent l'exploitation du centre de données sans connexion à un réseau électrique public ;
  • Protection contre l'incendie : détection précoce d'incendie, la présence d'aérosols d'incendie et de fumée est détectée dans l'air ambiant et l'air extérieur ;
  • Compartiments coupe-feu avec des parois ignifuges ;
  • Système d'extinction avec réduction de l'oxygène ;
  • Sprinklers ;
  • Climatisation : la climatisation du centre de données est réalisée à l'aide d'unités redondantes de climatisation et de centrales frigorifiques localement séparées et redondantes fonctionnant en réseau.

ONYPHE garantit par ailleurs la disponibilité optimale en réalisant une fois par jour des sauvegardes stockées à différents endroits. Par ailleurs, chaque composant est redondant et sécurisé par un pare-feu.

8.3.2 : Restaurabilité

La banque de données est sauvegardée une fois par jour. L'infrastructure peut être restaurée à l'aide d'une procédure hautement automatisée.

Article 9 : Consigne de sécurité

L’Utilisateur prend notamment les engagements suivants :

  • L’Utilisateur s’engage à respecter les consignes de sécurité et notamment les règles relatives à la définition et au changement de ses éléments d’authentification ;
  • L’Utilisateur s’engage à respecter la gestion des accès, en particulier, ne pas utiliser les identifiants d'un autre Utilisateur, ni chercher à connaître ces informations ;
  • L’Utilisateur s’engage à garder strictement confidentiels ses identifiants et ne pas les dévoiler à des tiers, et, de manière générale, à un tiers quelconque quelles que soient ses qualités et activités professionnelles ;
  • L’Utilisateur s’engage à avertir ONYPHE de tout dysfonctionnement technique constaté et de toute anomalie découverte, telle que les intrusions.

Notamment, il appartient à l’Utilisateur de prendre toutes les mesures appropriées de façon à protéger ses propres données et matériels de la contamination par des virus ou autres formes d’attaques circulant éventuellement à travers l’Application.

Les Utilisateurs sont informés que des interventions techniques au sein du site internet s'effectuent dans le respect des dispositions de la Loi Informatique et Libertés et de l’ensemble des dispositions du Code de la santé publique.

Les Utilisateurs reconnaissent l’existence de risques inhérents à l'utilisation d’un service numérique, et tout particulièrement en termes de :

  • Défaut de fiabilité du réseau Internet, notamment dans la transmission des données le cas échéant ;
  • Continuité non garantie dans l'accès au site internet et ses Services ;
  • Performances non garanties, compte tenu notamment de la propagation de virus ;
  • Toutes autres contraintes techniques qui ne sont pas sous le contrôle et la responsabilité de ONYPHE.

En aucun cas, ONYPHE ne saurait être tenu responsable de ces risques et de leurs conséquences préjudiciables, quelle qu’en soit l’étendue, pour l’Utilisateur.

Par ailleurs, l’Utilisateur est mis en garde sur le fait que les services de mémorisation de ses identifiants et mots de passe proposés par certains navigateurs internet ne sont pas recommandés lors de l’accès à l’Application pour des raisons de sécurité.

Article 10 : Durée de conservation

L’Utilisateur est informé que les données pour lesquelles il est responsable de traitement seront conservés par ONYPHE, son sous-traitant, pendant 7 mois sur base active puis 12 mois en archivage.

Les données pour lesquelles ONYPHE est responsable de traitement, à savoir, les données de connexion, métadonnées et journaux des Utilisateurs sont conservées selon le tableau ci-dessous (Données : Durée de conservation) :

  • Etat civil, données d’identification, RIB et cartes bancaires : Pour toute la durée du compte de l’Utilisateur
  • Données de connexion : 1 an
  • Cookies : 13 mois

Article 11 : Cookies

Le site internet utilise des cookies (témoins de connexion). Un cookie est un fichier texte stocké par le navigateur de l’Utilisateur, qui lui permet de conserver des informations entre les pages Internet et les sessions de navigation. Ces cookies permettent à ONYPHE de conserver les informations sur la navigation de l’Utilisateur. Ils aident également à comprendre le comportement des Utilisateurs sur le site, permettant ainsi de rendre l’expérience de l’Utilisateur plus agréable.

Un cookie est utilisé uniquement après l’authentification de l’Utilisateur sur son Espace Personnel afin d'appliquer les autorisations d'accès au Service. Il peut désactiver ce cookie mais le Service pourrait ne plus être rendu correctement.

Facebook, Twitter, LinkedIn, Reddit, Tumblr, Google et Pinterest peuvent implémenter des cookies utiles au partage du contenu sur les réseaux sociaux ou pour l’élaboration de statistiques d’accès. La présence, le nombre et le statut de ces cookies peuvent dépendre de l’utilisation des plateformes en question avant ou pendant la visite sur le site Internet. ONYPHE n’a pas de contrôle sur l’usage de ces fonctionnalités par ces acteurs.

ONYPHE invite les Utilisateurs à prendre connaissance de la politique de gestion de ces cookies de réseaux sociaux sur les sites concernés.

Article 12 : Consentement

Au titre de l’usage de cookies de mesure d’audience (Application mobile), un bandeau d’information s’affiche lors de la connexion de l’Utilisateur sur le site internet, afin de l’informer préalablement au dépôt de ces cookies et de recueillir son consentement préalable.

L'accord donné par l'Utilisateur n'est valable que pour une durée de treize (13) mois à compter du premier dépôt dans l'équipement du terminal de l'Utilisateur, faisant suite à l'expression du consentement de ce dernier. À l'expiration du délai de treize (13) mois, le consentement de l’Utilisateur est à nouveau recueilli.

À tout moment, l'Utilisateur peut faire le choix d'exprimer et de modifier ses souhaits en matière de cookies.

Article 13 : Transfert hors UE

ONYPHE ne procède à l’envoi d’aucune donnée de l’Utilisateur en dehors du territoire de l’Union Européenne.

Article 14 : Modification de la politique de confidentialité

ONYPHE se réserve le droit de faire évoluer la présente Politique de confidentialité à tout moment, notamment en application des changements apportés aux lois et réglementations en vigueur.

Les modifications apportées seront notifiées aux Utilisateurs via le site web www.onyphe.io ou par email si possible.