Politique de confidentialité

Cette politique s’applique à l’ensemble des formulaires de contact.

Traitements de données

Finalités
Traitement lié au service de messagerie.
Il permet :

  • La création et gestion du compte SubRosa (Utilisateur, E-mail, Statut, Rôle, 2FA, Date d’inscription, Dernière connexion)
  • La connexion des boîtes existantes (OAuth Google/Microsoft, IMAP/SMTP Yahoo et autres)
  • La gestion des identités et clés cryptographiques (chiffrées) par adresse
  • La gestion des utilisateurs non enrôlés
  • Le partage d’accès à une boîte (mécanisme multi-utilisateurs)
  • La gestion de l’abonnement et facturation (Perso/Pro)
  • La sécurité opérationnelle : prévention des abus, limitation de débit, journalisation des opérations sensibles

Gestion des demandes relatives à la plateforme SubRosaMail.
Il permet :

  • La réception des demandes de contact ou des questions relatives à la plateforme SubRosaMail ;
  • La gestion des suites données aux demandes et aux questions reçues ;
  • La réception des inscriptions à la newsletter réalisées via le site subrosamail.com ;
  • La réception des inscriptions aux évènements organisés par SubRosaMail ;
  • La réalisation de sondages et d’enquêtes.

Base légale
Article 6 alinéa 1 du règlement général sur la protection des données RGPD
Ces traitements de données relève de la gestion des activités opérationnelles, commerciales et de recrutement de SubrosaMail.

Données traitées

Données traitées pour le traitement lié au service de messagerie

SubRosaMail ne stocke aucun contenu de mail chiffré en clair, et les clés ne sont déverrouillables que par l’utilisateur (serveur aveugle).

  • Identité et compte
    Nom, prénom, nom d’affichage, identifiant (username), adresse e-mail principale, langue, fuseau horaire (détecté), date de création, statut de vérification de l’e-mail.
    → Le mot de passe n’est jamais stocké ni transmis : seuls une preuve et un sel sont conservés.
  • Boîtes mail connectées
    Adresse(s) connectée(s), nom d’affichage du fournisseur, type de service (Google/Microsoft/Yahoo/IMAP), jetons OAuth (jeton d’accès, jeton de rafraîchissement, expiration, état actif) et/ou identifiants IMAP/SMTP (serveurs, ports, identifiant, mot de passe d’application stocké chiffré).
  • Données cryptographiques
    Identités par adresse (état en attente/réclamée), clés publiques, clés privées chiffrées, clés de compte (publique + privée chiffrée), listes de contrôle d’accès (qui accède à quelle adresse, rôle propriétaire/co-user), demandes d’accès partagé, code de récupération chiffré et sels. (Tout est inutilisable sans le mot de passe de l’utilisateur.)
  • Contenu des e-mails
    → Mails chiffrés : aucun contenu stocké ni lisible côté serveur, objet, corps et pièces jointes vivent uniquement dans le fichier resté dans la boîte du fournisseur. Seuls « À / De » restent en clair pour assurer le routage.
    → Mails non chiffrés : ils transitent par le serveur le temps de l’affichage mais ne sont pas stockés (le webmail les lit chez le fournisseur).
  • Données techniques et de session
    Cookies de session (déverrouillage par clé à seuil), cookie de fuseau horaire, identifiant de session (contenu chiffré), horodatages de connexion, adresse IP et journaux serveur, en-têtes du navigateur.
  • Données de sécurité
    Preuve d’authentification, compteurs de tentatives (anti-force brute), journaux des opérations sensibles (enrôlement, réclamation, octroi co-user, rotation, révocation, récupération).
  • Données d’abonnement et de paiement
    Offre choisie, statut et historique d’abonnement. Les transactions sont traitées par un prestataire certifié ; aucune donnée bancaire n’est stockée par SubRosaMail.
  • Données communautaire
    Statut communautaire, compteurs d’activité.

Données traitées pour la gestion des demandes relatives à la plateforme SubRosaMail

  • Identité
  • Coordonnées (adresse électronique)
  • Organisation
  • Numéro de téléphone
  • Date et objet de la demande
  • Suites apportées
  • Source des données

Les données sont transmises par l’usager de la plateforme subrosamail.com qui souhaite adresser une demande ou une question.

Caractère obligatoire du recueil des données
Les formulaires de contact présents sur la plateforme SubRosaMail prévoient un recueil obligatoire des données pour la bonne prise en compte de la demande.

Prise de décision automatisée
Le traitement ne prévoit pas de prise de décision automatisée.

 

Personnes concernées

Les traitements de données concerne les utilisateurs de la plateforme SubrosaMail et les personnes qui souhaitent adresser une demande ou une question par le biais du site web.

Destinataires de données

Catégories de destinataires
Sont destinataires des données :

  • OVH (hébergement),
  • Les services de messageries fournisseurs (Google, Microsoft, Yahoo)
  • Le prestataire de paiement (Stripe)
  • La direction marketing du SubRosaMail
  • Le cas échéant, les autres services de SubRosaMail amenés à traiter une demande ou répondre à une question.

Transferts des données hors UE
Nous privilégions principalement des prestataires hébergeant leurs données au sein de l’Union européenne. Le cas échéant, si ces prestataires opèrent dans un pays qui n’est pas considéré comme offrant un niveau de protection adéquate par la Commission Européenne, nous mettons en place les Clauses Contractuelles Types approuvées par ladite Commission, et nous incluons également un Data Processing Agreement (« DPA ») dans le cadre de nos relations contractuelles avec ces prestataires.

Durée de conservation des données
  • Compte utilisateur (identité, e-mail, réglages) : conservées toute la vie du compte jusqu’à suppression du compte 
  • Compte jamais vérifié : suppression après 30 jours
  • Après demande de suppression du compte : effacement sous 30 jours
  • Jetons OAuth et identifiants IMAP/SMTP : supprimés immédiatement à la déconnexion de la boîte ou à la clôture du compte
  • Identités et clés cryptographiques : conservées tant que l’adresse est rattachée ; clés legacy gardées pour relire les anciens mails
  • Contenu des mails chiffrés : aucun stockage côté serveur
  • Logs serveur et adresses IP : 12 mois
  • Journaux des opérations sensibles (enrôlement, octroi d’accès, révocation, récupération) : 12 mois
  • Données de facturation et d’abonnement : 10 ans à l’issue de la relation commerciale (obligation comptable légale)
  • Données bancaires : non stockées (gérées par le prestataire de paiement certifié)
  • Données des formulaires de contact et marketing : 2 ans
  • Newsletter et consentements : jusqu’au retrait du consentement
Sécurité
Des dispositifs renforcés en termes de sécurité sont mis en œuvre afin de permettre une collecte et un traitement des données personnelles dans les conditions garantissant leur confidentialité, leur intégrité et de manière plus générale leur sécurité dans le respect des dispositions de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
Vos droits sur les données vous concernant
Conformément aux dispositions de la Loi Informatique et Libertés n°78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »), vous pouvez exercer vos droits sur vos données sur simple demande auprès SubRosaMail, à l’adresse suivante : privacy@subrosamail.com.
Remarques et amélioration continue
Nous avons pour ambition d’offrir une politique de confidentialité la plus claire possible à nos visiteurs. Si certaines parties de notre politique de confidentialité vous semble améliorable, nous vous remercions par avance des remarques que vous pourriez nous envoyer à l’adresse suivante : privacy@subrosamail.com.