La société collecte des données de type renseignement d’origine « source ouverte » ainsi que des données liées à l’intelligence sur les menaces. Les sondes utilisées pour cette collecte sont capables d’écouter le bruit de fond d’Internet, de collecter de manière active des informations techniques sur les réseaux IP et TOR et également en indexant des URL complètes de sites Web.
ONYPHE permet ainsi à ses utilisateurs d’accéder à différentes catégories, ou typologies d’information (inetnum, synscan, datascan, datashot, geoloc, pastries, resolver, ctl, sniffer, onionscan, onionshot, whois, vulnscan, threatlist, topsite) puis d’interroger le moteur de rechercher au travers de mots clefs qu’il peut saisir en toute autonomie et sous sa seule responsabilité, ci-après, les « Services ».
Cette utilisation suppose des collectes de données sur l’Utilisateur et au nom de l’Utilisateur.
La présente Politique de confidentialité a pour objet d’informer les Utilisateurs :
La société ONYPHE société par action simplifiée au capital de 15.000 Euros, enregistrée au RCS de Rennes sous le numéro de SIRET 83154069500028, sis 1 bis rue d'Ouessant - BP 96241, 35762, SAINT GREGOIRE, France, ci-après « ONYPHE », est un moteur de recherche dédié à la cyber défense qui est amené à collecter et traiter certaines données personnelles des Utilisateurs à l’occasion de leur utilisation des Services proposés par ONYPHE. Dans ce cadre, ONYPHE est le responsable du traitement au sens de la Loi Informatique et Libertés.
ONYPHE est également amené à collecter les données au travers de tout le réseau internet. Dans le cadre de cette collecte, l’Utilisateur demandant la collecte des données par son utilisation des Services est le responsable de traitement. ONYPHE est alors le sous-traitant de l’Utilisateur dans son utilisation des Services.
Dans tous les cas, la société ONYPHE fait appel à des sous-traitants avec lesquels elle a contractualisé des clauses assurant le respect du règlement européen sur la protection des données (RGPD).
Les sous-traitants sont les suivants :
ONYPHE et ses sous-traitants s’engagent à coopérer afin d’appliquer scrupuleusement le RGPD.
Le traitement exécuté par ONYPHE en tant que responsable de traitement a pour finalité la gestion des comptes des Utilisateurs, le paiement des Services et également la sécurité des accès aux Services et l’amélioration du site internet.
Les Utilisateurs sont informés que leurs données collectées et traitées ont pour finalités l’utilisation et à la fourniture des Services de ONYPHE, au recueil de leur satisfaction et plus globalement à l’exécution des contrats liant ONYPHE aux Utilisateurs.
La collecte de donnée exécutée par ONYPHE en tant que sous-traitant de l’Utilisateur a pour finalité la fourniture des Services. Ce traitement représente en fait l’intégralité des Services.
Lors de la collecte des données, l’Utilisateur est informé du caractère obligatoire ou non de la collecte de ses données à caractère personnel. En particulier, pour l’Utilisateur, les données d’identification obligatoires comme le Nom, prénom, adresse électronique, adresse postale. Mais également les données financières nécessaires au paiement des Services comme le numéro de carte bleue ou du moins le moyen de paiement sélectionné.
Font également l’objet d’une collecte, les identifiants, journaux, adresses IP ainsi que les métadonnées générales comme celles du navigateur dans un objectif de respect des obligations légales de ONYPHE et d’amélioration de ses Services ainsi que de son site internet.
ONYPHE collecte également des cookies comme précisé dans l’article « cookies » des présentes. Pour ce qui est de la fourniture des Services, ONYPHE scanne, entres autres (liste non-exhaustive), les adresses IP, URL, ports TCP ou UDP ouverts, adresses DNS, prend des captures écrans de nombreux sites Web, et ce de manière indépendante des requêtes des Utilisateurs.
ONYPHE ne collecte aucune donnée sensible de l’Utilisateur.
ONYPHE a désigné un délégué à la protection des données (DPO) afin de veiller au respect de la réglementation et des règles décrites au sein de la présente politique de confidentialité. Le DPO veille notamment :
Vous pouvez joindre le DPO par courrier postal : ONYPHE, 1 bis rue d'Ouessant, BP 96241, 35762 SAINT GREGOIRE ; ou par e-mail : dpo[arobase]onyphe[point]io.
Les données à caractère personnel des Utilisateurs sont destinées exclusivement :
ONYPHE garantit que des données à caractère personnel de l’Utilisateur ne seront transmises à aucun tiers non autorisé sans son accord.
Conformément à la Loi Informatique et Libertés, les Utilisateurs disposent de droits concernant leurs données à caractère personnel collectées et traitées par ONYPHE :
Pour exercer ces droits et notamment demander la clôture de leur compte personnel, les Utilisateurs peuvent s’adresser directement au DPO de ONYPHE dont le contact est détaillé à l’article 5.
La demande de l’Utilisateur doit préciser ses noms, prénom, adresse postale, être signée et accompagnée de la photocopie d'une preuve d'identité portant la signature du titulaire.
Un registre de suivi des demandes d’accès, de rectification et d’opposition est tenu par le service dédié de ONYPHE sous format électronique et contient les différentes dates et la description des échanges intervenus avec les demandeurs. Il est conservé et sauvegardé dans le respect des exigences de sécurité et de confidentialité.
Le traitement des demandes des Utilisateurs intervient dans un délai maximum de deux mois suivant la demande.
ONYPHE met en place des mesures techniques et organisationnelles afin d’assurer sa conformité avec la règlementation correspondante à l’article 32 du RGPD.
Toutes les données traitées sont enregistrées dans des environnements de sécurité. L'accès est uniquement possible aux personnes habilitées.
Les visiteurs doivent s'enregistrer à l'accueil et sont toujours accompagnés d'un collaborateur ONYPHE. L'accès dans les aires de travail s'effectue uniquement à l'aide d'une clé de sécurité.
Les espaces de bureaux sont par ailleurs fermés la nuit et les week-ends ainsi que pendant les jours fériés.
Tous les ordinateurs sont dotés d'un système de contrôle des accès. Il existe des règles prédéfinies portant sur l'octroi de mots de passe. Elles concernent la complexité requise, la durée de validité du mot de passe ainsi que la réutilisation d'anciens mots de passe. Les supports de données sont chiffrés, les clés sont enregistrées sur les serveurs et ne peuvent être consultées que par les collaborateurs ONYPHE autorisés. Les terminaux mobiles des collaborateurs ONYPHE sont chiffrés.
Dans le cadre de l'accès à distance à l'infrastructure, il n'existe aucune connexion directe aux serveurs, les accès passent par un serveur central. Un accès par mot de passe n'est pas possible, l'accès s'effectue par une authentification personnelle par cryptographie à clef publique.
Une longueur minimale de mot de passe est appliquée pour l'utilisation de l'application ONYPHE à des fins d'une meilleure protection du client. Par ailleurs, la session Utilisateur est sécurisée par un « secure cookie ».
Les systèmes informatiques utilisés disposent d'un système d'autorisation dédié qui permet d'octroyer des accès et modifications de données sur la base de rôles et d'autorisations individuelles. Il existe des règles prédéfinies portant sur l'octroi de mots de passe. Elles concernent la complexité requise, la durée de validité du mot de passe ainsi que la réutilisation d'anciens mots de passe. Dans le cadre de la réalisation de sa mission, chaque collaborateur peut accéder avec l'autorisation qui lui a été attribuée uniquement aux systèmes nécessaires à son activité et uniquement aux données nécessaires. Les accès sont consignés d'une manière centralisée et locale. La responsabilité de chaque collaborateur en matière de sécurité, confidentialité, intégrité et disponibilité des données et des informations est renforcée par les informations mises à disposition de manière centralisée. En outre, le « principe de moindre privilège » s'applique à chaque collaborateur.
Le principe de la séparation des fonctions entre la production du Service, la préproduction ainsi que le développement existe, les Services impliqués sont fonctionnellement et organisationnel séparés.
Les données sensibles sont mises à disposition des collaborateurs uniquement dans la mesure où celles-ci sont absolument nécessaires à la réalisation des missions attribuées.
La transition entre le système de développement et le système de production est sécurisée par des outils adaptés et documentée d'une manière permettant le suivi. Les données utilisées à des fins de développement sont rendues anonymes.
ONYPHE ne prend aucune mesure de pseudonymisation en complément des mesures résultant de chaque description des Services ou prises dans le cadre du mandat par le responsable.
ONYPHE applique des procédures de chiffrement pour l'acheminement électronique qui correspondent à l’état de l’art et obtiennent un niveau de protection adapté aux exigences.
L'acheminement électronique des données est chiffré via HTTPS.
Toutes les saisies de données (élaboration, actualisation et suppression) sont sauvegardées par ONYPHE. La saisie directe de données dans la banque de données est possible uniquement avec des droits spécifiques et est par ailleurs limitée à un petit cercle de personnes.
ONYPHE utilise OVH en tant que centre de données et fournisseur de serveurs. Ceux-ci assurent la disponibilité des données grâce aux mesures suivantes :
ONYPHE garantit par ailleurs la disponibilité optimale en réalisant une fois par jour des sauvegardes stockées à différents endroits. Par ailleurs, chaque composant est redondant et sécurisé par un pare-feu.
La banque de données est sauvegardée une fois par jour. L'infrastructure peut être restaurée à l'aide d'une procédure hautement automatisée.
L’Utilisateur prend notamment les engagements suivants :
Notamment, il appartient à l’Utilisateur de prendre toutes les mesures appropriées de façon à protéger ses propres données et matériels de la contamination par des virus ou autres formes d’attaques circulant éventuellement à travers l’Application.
Les Utilisateurs sont informés que des interventions techniques au sein du site internet s'effectuent dans le respect des dispositions de la Loi Informatique et Libertés et de l’ensemble des dispositions du Code de la santé publique.
Les Utilisateurs reconnaissent l’existence de risques inhérents à l'utilisation d’un service numérique, et tout particulièrement en termes de :
En aucun cas, ONYPHE ne saurait être tenu responsable de ces risques et de leurs conséquences préjudiciables, quelle qu’en soit l’étendue, pour l’Utilisateur.
Par ailleurs, l’Utilisateur est mis en garde sur le fait que les services de mémorisation de ses identifiants et mots de passe proposés par certains navigateurs internet ne sont pas recommandés lors de l’accès à l’Application pour des raisons de sécurité.
L’Utilisateur est informé que les données pour lesquelles il est responsable de traitement seront conservés par ONYPHE, son sous-traitant, pendant 7 mois sur base active puis 12 mois en archivage.
Les données pour lesquelles ONYPHE est responsable de traitement, à savoir, les données de connexion, métadonnées et journaux des Utilisateurs sont conservées selon le tableau ci-dessous (Données : Durée de conservation) :
Le site internet utilise des cookies (témoins de connexion). Un cookie est un fichier texte stocké par le navigateur de l’Utilisateur, qui lui permet de conserver des informations entre les pages Internet et les sessions de navigation. Ces cookies permettent à ONYPHE de conserver les informations sur la navigation de l’Utilisateur. Ils aident également à comprendre le comportement des Utilisateurs sur le site, permettant ainsi de rendre l’expérience de l’Utilisateur plus agréable.
Un cookie est utilisé uniquement après l’authentification de l’Utilisateur sur son Espace Personnel afin d'appliquer les autorisations d'accès au Service. Il peut désactiver ce cookie mais le Service pourrait ne plus être rendu correctement.
Facebook, Twitter, LinkedIn, Reddit, Tumblr, Google et Pinterest peuvent implémenter des cookies utiles au partage du contenu sur les réseaux sociaux ou pour l’élaboration de statistiques d’accès. La présence, le nombre et le statut de ces cookies peuvent dépendre de l’utilisation des plateformes en question avant ou pendant la visite sur le site Internet. ONYPHE n’a pas de contrôle sur l’usage de ces fonctionnalités par ces acteurs.
ONYPHE invite les Utilisateurs à prendre connaissance de la politique de gestion de ces cookies de réseaux sociaux sur les sites concernés.
Au titre de l’usage de cookies de mesure d’audience (Application mobile), un bandeau d’information s’affiche lors de la connexion de l’Utilisateur sur le site internet, afin de l’informer préalablement au dépôt de ces cookies et de recueillir son consentement préalable.
L'accord donné par l'Utilisateur n'est valable que pour une durée de treize (13) mois à compter du premier dépôt dans l'équipement du terminal de l'Utilisateur, faisant suite à l'expression du consentement de ce dernier. À l'expiration du délai de treize (13) mois, le consentement de l’Utilisateur est à nouveau recueilli.
À tout moment, l'Utilisateur peut faire le choix d'exprimer et de modifier ses souhaits en matière de cookies.
ONYPHE ne procède à l’envoi d’aucune donnée de l’Utilisateur en dehors du territoire de l’Union Européenne.
ONYPHE se réserve le droit de faire évoluer la présente Politique de confidentialité à tout moment, notamment en application des changements apportés aux lois et réglementations en vigueur.
Les modifications apportées seront notifiées aux Utilisateurs via le site web www.onyphe.io ou par email si possible.