Sentinelle PIISentinelle PII

Juridique

Politique de confidentialité

Dernière mise à jour : Février 2026

Sommaire (12 sections)

1. Responsable du Traitement

Le responsable du traitement des données personnelles est :

Robin Roellinger — Entrepreneur individuel
Chemin des Catalans, 83470 Saint-Maximin-la-Sainte-Baume
Email : dpo@sentinelle-pii.fr

2. Notre Engagement : Privacy by Design

Sentinelle PII a été conçu selon le principe de protection des données dès la conception (Privacy by Design, article 25 du RGPD).

La détection et la pseudonymisation des données sensibles s'effectuent intégralement dans votre navigateur. Vos données personnelles détectées (emails, téléphones, IBAN, etc.) ne quittent jamais votre ordinateur.

L'extension communique avec nos serveurs uniquement pour la gestion des comptes, des quotas et de la configuration technique (détails en section 3.3).

3. Données Traitées par l'Extension

3.1 Traitement local (dans votre navigateur)

L'extension analyse le texte que vous saisissez dans ChatGPT, Claude, Gemini et tout domaine personnalisé que vous ajoutez, pour détecter les données sensibles. Ce traitement s'effectue exclusivement dans votre navigateur.

Données temporaires (chrome.storage.session, supprimées à la fermeture du navigateur) :

  • Carte de correspondance tokens/valeurs réelles (par onglet, pour la dé-pseudonymisation des réponses)
  • Cache de la configuration des sélecteurs CSS

Données persistantes (chrome.storage.local, conservées entre les sessions) :

  • État activé/désactivé de la protection
  • Compteur total de détections et historique sur 30 jours
  • Identifiant d'appareil anonyme (UUID, pour la gestion du quota)
  • Jetons d'authentification (JWT, refresh token) pour les comptes payants
  • Liste des domaines personnalisés ajoutés par l'utilisateur
  • Date d'installation

3.2 Ce que l'extension n'envoie PAS à nos serveurs

  • Aucun contenu de vos conversations
  • Aucune donnée personnelle détectée (emails, téléphones, IBAN, cartes bancaires, etc.)
  • Aucun historique de navigation

3.3 Requêtes vers nos serveurs

L'extension effectue les requêtes suivantes :

  • Configuration des sélecteurs: récupération d'un fichier JSON statique depuis cdn.sentinelle-pii.fr ((votre adresse IP est visible par le CDN, aucune autre donnée transmise))
  • Gestion du quota (plan Solo) : envoi de l'identifiant d'appareil anonyme et du nombre de détections au serveur API
  • Authentification (plans payants) : envoi de l'adresse email et du code de vérification lors de la connexion ; rafraîchissement automatique du JWT
  • Historique (plans Pro/Team) : envoi du nombre de détections (jamais le contenu) pour l'historique côté serveur

Protection contre les abus: pour prévenir les tentatives de connexion abusives, votre adresse IP (transmise via l'en-tête CF-Connecting-IP) est temporairement utilisée pour le rate limiting. Elle est stockée dans Cloudflare KV avec un TTL de 15 minutes puis automatiquement supprimée.

3.4 Données stockées côté serveur

Le backend API (Cloudflare Workers + KV) stocke les données suivantes pour les comptes payants :

  • Adresse email, plan souscrit, identifiants Stripe (customer_id, subscription_id), code partenaire le cas échéant, date de validité
  • Refresh tokens (durée : 30 jours)
  • Historique de détections Pro/Team : nombre de détections par jour, jamais le contenu (durée : 35 jours)

Pour les utilisateurs du plan Solo (sans compte), seules les données de quota sont stockées :

  • Identifiant d'appareil (device_id) et compteur journalier (durée : 36 heures)

Base légale pour le device_id: intérêt légitime (article 6.1.f du RGPD) — prévention des abus du plan gratuit et gestion équitable des quotas.

3.5 Domaines personnalisés

L'extension vous permet d'ajouter des domaines HTTPS personnalisés sur lesquels activer la protection. L'ajout d'un domaine nécessite l'octroi d'une permission d'hôte supplémentaire dans votre navigateur. La liste des domaines ajoutés est stockée localement dans chrome.storage.local et n'est pas transmise à nos serveurs.

4. Données Collectées par le Site Web

4.1 Lors de l'achat ou de l'invitation Team

Quand vous souscrivez à une offre payante, nous collectons :

  • Adresse email — pour la création du compte, la connexion par code à 6 chiffres et les communications liées à l'abonnement
  • Informations de paiement — traitées directement par Stripe, nous n'y avons pas accès

Pour l'offre Team, l'administrateur peut inviter des collaborateurs en fournissant leur adresse email. Ces emails sont stockés côté serveur et un code de connexion leur est envoyé via Resend. Base légale: intérêt légitime de l'administrateur (article 6.1.f du RGPD) et exécution du contrat pour le membre invité (article 6.1.b).

Base légale (achat): exécution du contrat (article 6.1.b du RGPD)

Durée de conservation: durée de l'abonnement + 3 ans (obligation légale de conservation des factures)

4.2 Programme partenaire

Lors de l'inscription au programme partenaire, nous collectons :

  • Nom, email, code partenaire — pour identifier le partenaire et le rattacher à ses filleuls
  • Secret d'authentification — pour sécuriser l'accès au compte partenaire
  • Compte Stripe Connect — identifiant Stripe du compte partenaire pour le versement automatique des commissions
  • Historique de commissions — montant, date, filleul référencé

Base légale: exécution du contrat de partenariat (article 6.1.b du RGPD)

Durée de conservation: durée du partenariat + 3 ans (obligation comptable)

4.3 Cookies et analytics

Le site utilise Umami, un outil d'analytics respectueux de la vie privée. Umami ne dépose aucun cookie, ne collecte aucune donnée personnelle identifiable, et ne suit pas les utilisateurs entre les sites. Les données collectées se limitent aux pages vues et aux événements de navigation (clics sur les boutons principaux), de manière totalement anonyme.

Nous n'utilisons pas de cookies publicitaires ni de traceurs tiers.

5. Partage des Données

Nous ne vendons jamais vos données. Nous les partageons uniquement avec :

  • Stripe (paiement) — pour traiter vos transactions et verser les commissions partenaires
  • Cloudflare Workers + KV (backend API) — pour l'authentification, la gestion des quotas et l'historique de détections
  • Cloudflare CDN — pour servir le fichier de configuration de l'extension
  • Vercel — pour héberger le site web
  • Resend — pour l'envoi des emails transactionnels (codes de connexion)
  • Umami Cloud — pour les statistiques anonymes de fréquentation du site (aucun cookie, aucune donnée personnelle)

Ces prestataires sont conformes au RGPD et ont signé des clauses contractuelles standard (SCC).

6. Transferts Hors UE

Certains de nos prestataires (Stripe, Vercel, Cloudflare, Resend) sont basés aux États-Unis. Les transferts sont encadrés par :

  • Le Data Privacy Framework (DPF) pour les prestataires certifiés
  • Les clauses contractuelles types (SCC) de la Commission européenne

7. Vos Droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie de vos données
  • Droit de rectification — corriger des données inexactes
  • Droit à l'effacement — demander la suppression de vos données
  • Droit à la portabilité — recevoir vos données dans un format structuré
  • Droit d'opposition — vous opposer au traitement
  • Droit à la limitation — limiter le traitement dans certains cas

Pour exercer ces droits, contactez : dpo@sentinelle-pii.fr

Nous répondrons sous 30 jours maximum.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

  • Chiffrement HTTPS sur tous les échanges
  • Accès restreint aux données
  • Mises à jour de sécurité régulières
  • Authentification forte pour les accès administratifs

9. Mineurs

Le service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données de mineurs.

10. Modifications

Nous pouvons modifier cette politique à tout moment. Les modifications seront publiées sur cette page avec la date de mise à jour. Pour les changements significatifs, nous vous informerons par email.

11. Réclamation

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL :

Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy, TSA 80715
75334 PARIS CEDEX 07
www.cnil.fr

12. Contact

Pour toute question relative à cette politique :