Aller au contenu principal
own2pwn

Politique de confidentialité

Dernière mise à jour : Mai 2026

1. Introduction

own2pwn (ci-après « own2pwn », « nous », « notre ») accorde une importance primordiale à la protection de vos données personnelles et au respect de votre vie privée.

La présente Politique vous informe sur la manière dont nous collectons, utilisons, partageons et protégeons vos données personnelles dans le cadre de l'utilisation du site own2pwn.fr et de nos Services (EASM, AI-Native AppSec, prestations de pentest).

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

2. Responsable du traitement

  • Nom commercial : own2pwn
  • Exploitant : Maxime JEROME — Entrepreneur individuel
  • SIREN : 981 834 856 — RCS Cannes
  • Email : contact@own2pwn.fr

Délégué à la Protection des Données (DPO) :

3. Données collectées

3.1 Données de compte

Lors de la création d'un compte sur nos plateformes SaaS :

  • Nom, prénom
  • Email professionnel
  • Mot de passe (stocké sous forme chiffrée via Argon2)
  • Organisation / employeur
  • Rôle professionnel (optionnel)

3.2 Données soumises aux Services

Dans le cadre de l'utilisation de nos produits :

  • EASM : domaines racines à surveiller, périmètres IP, configurations de scan
  • AI-Native AppSec : code source, binaires, configurations, résultats de scans, périmètres applicatifs
  • Prestations de pentest : informations de contexte fournies par le Client (architecture, comptes de test, documentation)

Ces données peuvent contenir incidemment des données personnelles (emails, noms d'utilisateur, identifiants) présentes dans les actifs analysés.

3.3 Données de paiement

Les paiements sont traités par Stripe. Nous ne conservons pas vos données bancaires complètes, uniquement :

  • Les 4 derniers chiffres de votre carte
  • Type de carte
  • Date d'expiration
  • Historique des transactions

3.4 Données techniques

  • Adresse IP
  • Type de navigateur et version
  • Système d'exploitation
  • Pages visitées et durée
  • Cookies (voir section dédiée et notre politique de cookies)

4. Finalités du traitement

4.1 Fourniture des Services

  • Création et gestion des comptes
  • Exécution des scans, analyses et prestations commandées
  • Génération et livraison des rapports
  • Notifications et alertes de sécurité

Base légale : Exécution du contrat (CGU / CGV acceptées).

4.2 Facturation et paiement

  • Traitement des paiements et des abonnements
  • Émission de factures
  • Prévention de la fraude

Base légale : Exécution du contrat, obligations légales (comptabilité).

4.3 Amélioration des Services

  • Analyse anonymisée de l'usage
  • Détection et correction de bugs
  • Statistiques d'utilisation agrégées

Base légale : Intérêt légitime.

Important : nous n'utilisons jamais les contenus que vous soumettez aux Services (code source, scans, rapports) pour entraîner nos modèles d'IA, sauf consentement écrit explicite et formalisé.

4.4 Communication

  • Emails transactionnels (inscription, réinitialisation de mot de passe, notifications de scan)
  • Notifications importantes (mises à jour des CGU, incidents de sécurité)
  • Newsletter technique (avec consentement explicite, désabonnement possible à tout moment)

Base légale : Exécution du contrat (transactionnels), consentement (newsletter).

4.5 Sécurité et conformité

  • Logs d'audit pour la sécurité de nos infrastructures
  • Détection d'activités suspectes (abus, compromission)
  • Respect des obligations légales et réglementaires

Base légale : Obligations légales, intérêt légitime (sécurité).

5. Partage des données

Vos données ne sont jamais vendues à des tiers. Elles peuvent être partagées uniquement dans les cas suivants :

5.1 Prestataires de services

Nous travaillons avec des prestataires de confiance, tous soumis à des obligations de confidentialité :

  • Anthropic : modèles IA utilisés pour certaines analyses contextuelles (AI-Native AppSec)
  • Stripe : traitement des paiements
  • Hetzner / OVH : hébergement (serveurs en France et UE)
  • Resend : envoi d'emails transactionnels
  • Plausible Analytics : mesure d'audience cookieless et anonymisée du site own2pwn.fr (uniquement avec votre consentement)

Tous ces prestataires sont conformes au RGPD et situés dans l'UE ou disposent de garanties appropriées (clauses contractuelles types de la Commission Européenne).

5.2 Obligations légales

Nous pouvons divulguer des données si la loi l'exige (réquisition judiciaire, injonction d'une autorité compétente).

5.3 Espaces de travail partagés

Si vous utilisez les fonctionnalités d'organisation (espaces multi-utilisateurs), les membres de votre organisation peuvent accéder aux rapports et scans partagés en son sein.

6. Conservation des données

  • Données de compte : pendant toute la durée de l'abonnement + 3 ans après clôture (obligations comptables et fiscales)
  • Rapports et scans : jusqu'à suppression manuelle ou clôture du compte
  • Données de facturation : 10 ans (obligation légale)
  • Logs techniques : 12 mois maximum
  • Cookies : 13 mois maximum

7. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

  • Chiffrement en transit : HTTPS / TLS 1.2+ sur toutes les communications
  • Chiffrement au repos : AES-256-GCM pour les données sensibles (rapports, secrets clients)
  • Authentification sécurisée : mots de passe chiffrés avec Argon2, 2FA optionnelle (TOTP)
  • Isolation multi-tenant : cloisonnement strict des données entre clients
  • Serveurs sécurisés : hébergement en France / UE, pare-feu, protection DDoS
  • Accès restreint : principe du moindre privilège, logs d'accès, revue périodique
  • Sauvegardes : sauvegardes chiffrées quotidiennes, restaurables
  • Audits de sécurité : pentests internes et externes réguliers, mises à jour régulières

En cas de violation de données, nous vous notifierons conformément au RGPD dans les 72h.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie des données que nous détenons sur vous
  • Droit de rectification : corriger vos données inexactes ou incomplètes
  • Droit à l'effacement : demander la suppression de vos données, sauf obligation légale de conservation
  • Droit à la limitation : demander le gel temporaire du traitement
  • Droit à la portabilité : récupérer vos données dans un format structuré (JSON, CSV)
  • Droit d'opposition : vous opposer à certains traitements basés sur notre intérêt légitime
  • Droit de retirer votre consentement : à tout moment, lorsque le traitement est fondé sur le consentement
  • Directives post-mortem : définir le sort de vos données après votre décès

8.1 Comment exercer vos droits

Contactez notre DPO :

  • Email : dpo@own2pwn.fr
  • Précisez votre nom, prénom, email de compte et le droit que vous souhaitez exercer

Nous répondons à votre demande dans un délai d'un mois maximum.

8.2 Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :

  • Site : www.cnil.fr
  • Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
  • Téléphone : 01 53 73 22 22

9. Cookies

Le Site utilise des cookies strictement nécessaires à son fonctionnement et, avec votre consentement, des cookies de mesure d'audience anonymisée. Nous n'utilisons pas de cookies publicitaires ou de tracking tiers.

Pour plus de détails, consultez notre politique de cookies.

10. Transferts hors UE

Vos données sont hébergées en France et au sein de l'Union Européenne. Certains de nos prestataires (Anthropic pour les modèles IA) sont basés aux États-Unis mais disposent de garanties appropriées conformes au RGPD (clauses contractuelles types de la Commission Européenne).

11. Sous-traitance (art. 28 RGPD)

Lorsque own2pwn traite des données personnelles pour le compte d'un Client (par exemple des données personnelles présentes dans un scan AppSec ou un livrable de pentest), own2pwn agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Un Data Processing Agreement (DPA) est conclu entre les parties sur demande.

12. Mineurs

Les Services sont destinés à des professionnels. Nous ne collectons pas sciemment de données de personnes de moins de 16 ans.

13. Modifications de la politique

Nous pouvons modifier cette Politique. Toute modification substantielle vous sera notifiée par email ou via les Services. La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact