Résidence des données et confidentialité
Maintenu par : Aether365 Team Public : Délégués à la protection des données et équipes de conformité Périmètre : Où Aether365 stocke les données et flux de données entre les régions
Où vos données sont stockées
Aether365 fonctionne sur deux plans de données indépendants : UE (Ireland, Ireland) et US (Virginie du Nord, États-Unis). Chaque tenant réside entièrement dans une seule région - les données ne sont jamais répliquées entre elles.
Vous choisissez votre région de données lors de votre première connexion :
- Après avoir terminé l'inscription, un écran Choisissez votre région de données s'affiche.
- Sélectionnez Europe (UE) ou États-Unis (US).
- Confirmez. Le choix est définitif - il ne peut pas être modifié ultérieurement.
La région choisie est enregistrée en tant que claim region sur votre jeton de connexion et sur la ligne du tenant. Chaque appel API de votre application est routé vers l'endpoint API de la région correspondante, et les actions administratives sur votre tenant sont limitées à la base de données de cette région.
| Type de données | Service de stockage | Région |
|---|---|---|
| Résultats d'analyse et résultats de tests | Base de données (PostgreSQL) | Votre région choisie |
| Métadonnées du tenant et du compte | Base de données (PostgreSQL) | Votre région choisie |
| Fichiers de résultats d'analyse | Object storage | Votre région choisie |
| Secrets applicatifs (identifiants) | Encrypted secrets vault | Votre région choisie |
| Journaux d'accès | Platform logging service | Votre région choisie |
| Identité (pool d'utilisateurs identity service) | Identity service | UE (pool global unique, claim uniquement) |
Quelles données nous stockons
Données collectées et pourquoi
| Catégorie | Données | Finalité |
|---|---|---|
| Données de compte | Adresse e-mail, identifiant du tenant Microsoft, niveau de plan | Identité, facturation et contrôle d'accès |
| Instantanés de configuration | Valeurs lues depuis Microsoft Graph lors des analyses | Évaluation des contrôles de sécurité |
| Résultats d'analyse | Statut réussi/échoué/ignoré par contrôle, valeurs détectées, scores | Fourniture du rapport de conformité |
| Métadonnées de connexion | Identifiant du tenant Microsoft, horodatage de connexion | Gestion des connexions de tenants |
| Paramètres de notification | Adresses e-mail, URL de webhooks Teams | Distribution des notifications d'analyse |
| Entrées du journal d'audit | Action, utilisateur, horodatage, IP | Fonctionnalité de journal d'audit entreprise |
Données que nous ne collectons pas
- Contenu des e-mails, données de calendrier ou tout contenu généré par les utilisateurs depuis Microsoft 365
- Mots de passe ou identifiants des utilisateurs Microsoft
- Jetons d'accès Microsoft Graph (utilisés de manière éphémère pendant les analyses, jamais stockés)
- Toute donnée des services Microsoft 365 non requise pour évaluer les contrôles de sécurité
- Toute donnée transmise à des services d'AI ou d'apprentissage automatique : vos données de configuration et d'analyse ne sont jamais utilisées pour entraîner des modèles d'AI ni traitées par des outils d'AI tiers
Rétention des données
Les données d'analyse sont conservées pendant une période de rétention définie, après laquelle elles sont définitivement supprimées de la base de données et de object storage. La suppression est irréversible. Vous pouvez configurer une période de rétention plus courte dans Paramètres > Rétention. Contactez support@aether365.io pour discuter de périodes de rétention personnalisées.
Suppression des données
Supprimer une analyse
Vous pouvez supprimer des analyses individuelles depuis la page Analyses. Cela supprime définitivement l'enregistrement de l'analyse et tous les résultats de tests associés de la base de données et de object storage.
Supprimer votre compte
Pour demander la suppression de votre compte, contactez hello@aether365.io. Nous allons :
- Confirmer votre identité
- Supprimer toutes les données d'analyse, métadonnées de compte et paramètres de notification dans un délai de 30 jours
- Envoyer un e-mail de confirmation de suppression
La suppression de compte est irréversible.
Demandes des personnes concernées
Pour exercer vos droits en vertu du RGPD (accès, rectification, effacement, portabilité), contactez privacy@aether365.io. Nous répondons aux demandes des personnes concernées dans un délai de 30 jours.
Sous-traitants
Aether365 fait appel aux sous-traitants suivants pour fournir le service :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Infrastructure cloud | Hébergement, stockage, calcul, envoi d'e-mails | UE (Ireland, Ireland) |
| Microsoft Azure / Entra ID | Authentification (OpenID Connect) | UE |
| Stripe | Traitement des paiements | US / UE |
Nous ne vendons ni ne partageons vos données avec des tiers à des fins publicitaires ou marketing.
Accord de traitement des données
Un Accord de Traitement des Données (DPA) est disponible pour les clients des plans Pro et Enterprise. Demandez le DPA en envoyant un e-mail à privacy@aether365.io.