Chez CRA-Direct, nous accordons une importance primordiale à la confidentialité et à la sécurité de vos données professionnelles. En tant qu'acteur dédié à la conformité réglementaire de cybersécurité (Cyber Resilience Act), nous appliquons les standards de protection les plus stricts.
1. Éditeur et Responsable du traitement
Le site internet et la plateforme accessibles à l'adresse https://cra-direct.fr (ci-après désignés collectivement la « Plateforme ») sont édités par CRA Direct (ci-après « CRA Direct » ou « nous »), SAS en cours d'immatriculation, ayant son siège social en France, et dont l'adresse de contact principale est contact@cra-direct.fr.
Au sens du Règlement Général sur la Protection des Données (RGPD n°2016/679) et de la Loi Informatique et Libertés du 6 janvier 1978 modifiée :
- CRA Direct agit en qualité de Responsable du traitement pour les données personnelles collectées lors de votre navigation sur le site, lors de la création de votre compte utilisateur ou lors de l'utilisation de nos modules de diagnostic.
- CRA Direct agit en qualité de Sous-traitant (au sens de l'Article 28 du RGPD) pour le traitement des données techniques importées par nos clients au sein de leur espace de travail sécurisé (ex. fichiers SBOM, rapports internes de vulnérabilités, correctifs logiciels). Le client demeure dans ce cadre le seul Responsable de traitement de ses données métiers et applicatives.
2. Données Personnelles Collectées
Nous collectons uniquement les informations strictement nécessaires à la fourniture de nos services de conformité et à l'administration de vos espaces de travail. Les types de données suivants sont traités :
A. Données d'inscription et de compte utilisateur
Ces données sont directement fournies par vos soins lors de la création de votre accès plateforme ou lors d'une demande de démonstration :
- Nom, prénom et coordonnées professionnelles (adresse e-mail professionnelle, numéro de téléphone).
- Rôle ou fonction au sein de l'entreprise cliente (ex. RSSI, Directeur Technique, Responsable Conformité).
- Mot de passe d'accès (chiffré à l'aide d'algorithmes à sens unique non réversibles).
B. Données d'entreprise et d'évaluation (Diagnostics)
- Dénomination sociale de votre entreprise, adresse du siège social, pays d'établissement, numéro d'identification commerciale ou de TVA intracommunautaire.
- Informations sur vos produits matériels ou logiciels devant faire l'objet d'une analyse de conformité au Cyber Resilience Act (CRA) : nom du produit, version, catégorie CRA associée (standard, importante de classe I ou II, ou critique).
C. Données d'infrastructure et de conformité continue (SBOM & Vulnérabilités)
Ces informations techniques sont indispensables pour assurer les analyses de vulnérabilités et la génération de déclarations réglementaires :
- Fichiers de nomenclatures logicielles (SBOM - Software Bill of Materials) téléversés sur la Plateforme.
- Historique des scans de vulnérabilités, données d'analyse CVE (Common Vulnerabilities and Exposures), statuts de remédiation et rapports de triage (VEX - Vulnerability Exploitability eXchange).
- Éléments de preuve technique collectés à destination de l'audit et ébauches de notifications obligatoires destinées à la plateforme européenne de signalement (SRP - Single Reporting Platform / ENISA).
D. Données de connexion et de traçabilité
Pour satisfaire aux exigences d'audit réglementaire et assurer la sécurité de la Plateforme :
- Adresse IP de connexion, journaux de sécurité (logs), dates et heures d'accès aux différentes fonctionnalités, type de navigateur utilisé et historique des actions d'administration effectuées sur la plateforme.
3. Finalités et Bases Légales du Traitement
Vos données personnelles sont traitées conformément aux dispositions légales, sur la base de fondements juridiques précis et pour des finalités explicitées dans le tableau ci-dessous :
| Finalité du traitement | Base légale (RGPD) |
|---|---|
| Gestion des inscriptions, création et maintenance des comptes utilisateurs sur la plateforme | Exécution d'un contrat (Article 6.1.b) Nécessaire à la fourniture des services souscrits. |
| Réalisation des diagnostics de maturité CRA et édition des recommandations personnalisées | Exécution d'un contrat (Article 6.1.b) Services sollicités par l'utilisateur. |
| Analyses des SBOMs, surveillance continue des vulnérabilités logicielles et génération de la documentation technique d'audit | Exécution d'un contrat (Article 6.1.b) Exécution des fonctionnalités souscrites de la plateforme. |
| Sécurisation de la plateforme, détection des intrusions, maintien de l'intégrité et gestion des pistes d'audit obligatoires | Intérêt légitime (Article 6.1.f) Garantir la sécurité de notre infrastructure B2B et la traçabilité des accès. |
| Envoi d'alertes par e-mail en cas de vulnérabilité critique ou d'obligation de signalement imminent sous 24h/72h | Exécution d'un contrat (Article 6.1.b) Prestation de service d'alerte de conformité. |
| Envoi de lettres d'information, d'actualités réglementaires et d'offres commerciales | Consentement (Article 6.1.a) ou Intérêt légitime (B2B) Retrait possible à tout moment via un lien de désinscription. |
| Gestion de la comptabilité générale et de la facturation des abonnements | Obligation légale (Article 6.1.c) Conformité avec les règles comptables et fiscales françaises. |
4. Destinataires et Hébergement des Données
CRA Direct applique une politique stricte de non-commercialisation de vos données. Vos informations et fichiers techniques ne sont jamais vendus, loués ou transmis à des tiers à des fins publicitaires.
Les destinataires habilités de vos données sont exclusivement :
- Le personnel autorisé de CRA Direct, soumis à un engagement de confidentialité absolu (équipes de support technique, ingénieurs sécurité et administration).
- Nos sous-traitants techniques de confiance, nécessaires au fonctionnement de la Plateforme (fournisseurs d'infrastructure).
Localisation physique et Souveraineté : L'ensemble de nos serveurs de base de données, serveurs applicatifs et espaces de stockage des SBOMs est situé en Union Européenne (infrastructures hautement sécurisées situées en France et en Allemagne). Nos serveurs sont configurés pour empêcher toute interception extraterritoriale et garantir le respect des exigences de l'Article 25 du RGPD (protection dès la conception).
5. Durée de Conservation des Données
Nous conservons vos données uniquement pendant la durée nécessaire à l'accomplissement des finalités poursuivies ou pour satisfaire à nos obligations légales de conservation :
- Données de compte et de diagnostic : Conservées pendant toute la durée de la relation contractuelle (abonnements actifs). Suite à la résiliation du compte, elles sont archivées pendant 3 ans à des fins probatoires et de gestion des réclamations avant suppression définitive.
- Fichiers SBOM et données techniques de vulnérabilités : Supprimés sous 30 jours après la clôture définitive ou la résiliation effective de l'espace de travail du client, sauf en cas d'instruction contraire expresse ou de procédure légale en cours.
- Logs d'activité et données de connexion : Conservés pendant une durée glissante de 12 mois maximum, puis supprimés.
- Pièces comptables et factures : Conservées pendant 10 ans à compter de la clôture de l'exercice concerné, conformément au Code de commerce français.
6. Absence de Transferts Hors de l'Union Européenne
Dans le cadre de l'exploitation de la plateforme CRA-Direct, aucun transfert de données personnelles ou de SBOMs n'est réalisé en dehors de l'Espace Économique Européen (EEE).
Les entreprises soumises aux audits CRA devant faire la démonstration d'une chaîne de confiance souveraine, CRA Direct exclut tout recours à des sous-traitants cloud soumis à des lois de surveillance extraterritoriales pour le traitement et le stockage des données sensibles de vulnérabilités.
7. Vos Droits (RGPD)
Conformément à la réglementation applicable, vous disposez d'un contrôle total sur vos données à caractère personnel. Vous bénéficiez des droits suivants :
- Droit d'accès (Art. 15 RGPD) : Obtenir la confirmation que vos données sont traitées et en recevoir une copie complète.
- Droit de rectification (Art. 16 RGPD) : Demander la correction d'informations inexactes, incomplètes ou obsolètes.
- Droit à l'effacement / Droit à l'oubli (Art. 17 RGPD) : Demander la suppression définitive de vos données personnelles sous réserve de motifs légaux contraires.
- Droit à la limitation du traitement (Art. 18 RGPD) : Demander de geler temporairement l'utilisation de certaines données durant l'examen d'une contestation.
- Droit à la portabilité (Art. 20 RGPD) : Recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine pour les transmettre à un autre prestataire.
- Droit d'opposition (Art. 21 RGPD) : Vous opposer à tout moment au traitement de vos données pour des raisons tenant à votre situation particulière, ou sans motif pour la prospection commerciale.
- Directives post-mortem : Définir des instructions spécifiques relatives au sort de vos données personnelles après votre décès (conformément à l'Article 85 de la Loi Informatique et Libertés).
Vous pouvez à tout moment exercer ces droits en nous adressant un courrier électronique détaillé à l'adresse privacy@cra-direct.fr ou en utilisant les options d'exportation de données intégrées dans l'espace client de la Plateforme.
Si vous estimez, après nous avoir contactés, que vos droits RGPD ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française, la CNIL (Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris - www.cnil.fr).
8. Sécurité et Intégrité des Données
En tant que plateforme de gestion des obligations du Cyber Resilience Act, CRA Direct applique des mesures de sécurité organisationnelles et techniques de niveau industriel :
- Chiffrement fort : Toutes les données transitant sur nos réseaux sont chiffrées à l'aide de protocoles TLS 1.3 de pointe. Les fichiers SBOM et les données de diagnostic sensibles stockés au repos sont chiffrés à l'aide de l'algorithme AES-256.
- Gestion stricte des identités : L'authentification des utilisateurs est protégée par des politiques de mots de passe complexes et prend en charge l'authentification multifacteur (MFA).
- Isolation logique (Multi-tenant) : Les espaces de travail de chaque organisation sont cloisonnés de manière étanche au niveau applicatif et de la base de données (Row-Level Security) pour empêcher toute fuite de données inter-entreprises.
- Surveillance et audit : Les systèmes sont soumis à une journalisation complète et continue. Des audits de sécurité réguliers et des tests d'intrusion sont menés pour évaluer la résistance de nos barrières de sécurité.
9. Contact et Délégué à la Protection des Données (DPO)
CRA Direct a désigné un Délégué à la Protection des Données (DPO) chargé de veiller au respect des principes de protection de la vie privée au sein de toutes nos opérations.
Pour toute demande d'information, question relative à la présente charte, ou pour exercer vos droits d'accès et de rectification, vous pouvez contacter notre DPO par voie électronique à l'adresse suivante :
E-mail : privacy@cra-direct.fr
10. Modifications de cette Politique
La présente politique de confidentialité peut être modifiée périodiquement afin de refléter l'évolution de nos pratiques opérationnelles, l'intégration de nouvelles fonctionnalités, ou les ajustements législatifs et réglementaires du Cyber Resilience Act européen.
Toute modification significative fera l'objet d'une notification préalable par e-mail ou d'une alerte visible lors de votre connexion à la Plateforme. Nous vous invitons à consulter régulièrement cette page pour vous tenir informé de la protection de vos données.