Politique de Confidentialité

Ce résumé fournit un aperçu rapide de notre Politique de Confidentialité. Pour des détails complets, veuillez lire l'intégralité de la politique ci-dessous.

Qui nous sommes : Enigma Labs BV est une entreprise néerlandaise de cybersécurité fournissant des services de détection des menaces et de surveillance réseau B2B. Nous sommes enregistrés à Amsterdam (KvK 99568322).

Quelles données nous collectons : Nous collectons les informations de contact professionnelles, les détails du compte, les journaux de sécurité, les métadonnées réseau et les données nécessaires à la fourniture de nos services de cybersécurité. Nous ne collectons pas de données auprès des consommateurs ou des enfants.

Pourquoi nous les collectons : Nous utilisons vos données pour fournir nos services, maintenir la sécurité, respecter nos obligations légales et améliorer notre plateforme.

Vos droits : En vertu du RGPD, vous disposez de droits d'accès, de rectification, de suppression et de portabilité de vos données, ainsi que du droit de vous opposer à certains traitements. Vous pouvez exercer ces droits en nous contactant.

Transferts de données : Nous pouvons transférer des données en dehors de l'Espace Économique Européen en utilisant des garanties approuvées telles que les Clauses Contractuelles Types.

Comment nous contacter : Pour les questions relatives à la confidentialité, envoyez un e-mail à privacy@enigmalabs.nl. Pour les questions de protection des données, contactez notre DPD à dpo@enigmalabs.nl.

1.1 Qui Nous Sommes

Enigma Labs BV (« nous », « notre », « nos » ou la « Société ») est une Besloten Vennootschap (société à responsabilité limitée néerlandaise) enregistrée aux Pays-Bas. Nous fournissons des solutions de cybersécurité B2B, y compris la détection des menaces assistée par IA, la surveillance réseau, l'évaluation des vulnérabilités et les services de gestion de la conformité.

Coordonnées de la Société :

| Champ | Détails | |-------|---------| | Dénomination Sociale | Enigma Labs BV | | Adresse du Siège | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas | | Numéro KvK | 99568322 | | Site Web | https://enigmalabs.nl | | Contact Protection des Données | privacy@enigmalabs.nl |

1.2 Champ d'Application de cette Politique

Cette Politique de Confidentialité explique comment nous collectons, utilisons, stockons et protégeons les données personnelles lorsque vous :

• Visitez notre site web à l'adresse https://enigmalabs.nl
• Utilisez notre plateforme et nos services de cybersécurité
• Communiquez avec nous concernant nos services
• Concluez une relation contractuelle avec nous

Cette politique s'applique à toutes les données personnelles que nous traitons en tant que Responsable du Traitement en vertu du Règlement Général sur la Protection des Données (RGPD). Pour les données que nous traitons pour le compte de nos clients entreprises, nous agissons en tant que Sous-Traitant (voir Section 14).

1.3 Cadre Réglementaire

Cette Politique de Confidentialité est conçue pour être conforme à :

• Le Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données ou « RGPD »)
• La Loi Néerlandaise de Mise en Œuvre du RGPD (Uitvoeringswet AVG)
• Les lignes directrices émises par le Comité Européen de la Protection des Données (CEPD)
• Les orientations de l'Autorité Néerlandaise de Protection des Données (Autoriteit Persoonsgegevens)

Nous collectons différentes catégories de données personnelles en fonction de notre relation avec vous et des services que vous utilisez.

2.1 Informations que Vous Fournissez Directement

Informations de Compte et de Contact :

• Nom complet et titre professionnel
• Adresse e-mail professionnelle et numéro de téléphone
• Nom de l'entreprise et département
• Adresse de facturation et informations de paiement
• Identifiants de compte (nom d'utilisateur, mot de passe chiffré)

Données de Communication :

• Correspondance par e-mail et tickets d'assistance
• Notes de réunion et enregistrements d'appels (avec consentement)
• Commentaires et réponses aux enquêtes
• Informations fournies lors des demandes commerciales

Informations Contractuelles :

• Accords signés et bons de commande
• Numéros de bon de commande et détails de facturation
• Listes d'utilisateurs autorisés et permissions d'accès

2.2 Informations Collectées Automatiquement

Données Techniques et d'Utilisation :

• Adresses IP et identifiants d'appareils
• Type, version et langue du navigateur
• Système d'exploitation et plateforme
• Source de référence et pages de sortie
• Pages consultées et fonctionnalités accédées
• Date, heure et durée des visites
• Journaux d'erreurs et données de performance du système

Données de Sécurité et Réseau :

Lorsque vous utilisez notre plateforme de cybersécurité, nous traitons :

• Métadonnées de trafic réseau (en-têtes de paquets, journaux de connexion)
• Journaux d'événements de sécurité et alertes
• Journaux d'authentification et d'accès
• Indicateurs de renseignement sur les menaces
• Résultats de scans de vulnérabilités
• Données de configuration du système

Note : Notre surveillance sans agent est conçue pour analyser les modèles réseau et les métadonnées plutôt que le contenu. Nous ne collectons pas intentionnellement de données personnelles intégrées dans le trafic réseau sauf si nécessaire pour la détection des menaces et avec une base juridique appropriée.

2.3 Informations Provenant de Tiers

Nous pouvons recevoir des données personnelles de :

• Partenaires commerciaux et revendeurs
• Répertoires publics et réseaux professionnels (par exemple, LinkedIn)
• Agences de crédit (pour la due diligence)
• Agences réglementaires et forces de l'ordre (lorsque la loi l'exige)

2.4 Catégories Particulières de Données Personnelles

Nous ne collectons pas intentionnellement de catégories particulières de données personnelles telles que définies à l'Article 9 du RGPD (par exemple, origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, données biométriques). Si de telles données sont collectées involontairement par le biais de la surveillance de sécurité, nous mettons en œuvre des contrôles d'accès stricts et des procédures de suppression.

Nous traitons les données personnelles aux fins suivantes, chacune avec une base juridique spécifique en vertu du RGPD :

3.1 Fourniture de Services et Exécution Contractuelle

Objectif : Fournir nos services de cybersécurité, maintenir votre compte et remplir nos obligations contractuelles.

Activités :

• Provisionnement et configuration de la plateforme
• Authentification des utilisateurs et gestion des accès
• Traitement de la surveillance réseau et de la détection des menaces
• Génération de rapports et alertes de sécurité
• Fourniture d'assistance client et d'assistance technique
• Traitement des paiements et factures

Base Juridique : Article 6(1)(b) du RGPD — Le traitement est nécessaire à l'exécution d'un contrat auquel vous êtes partie.

3.2 Conformité Légale et Réglementaire

Objectif : Se conformer aux lois, réglementations et obligations légales applicables.

Activités :

• Maintien des registres financiers et comptables
• Réponse aux demandes légales et aux ordonnances judiciaires
• Coopération avec les enquêtes réglementaires
• Dépôt des rapports requis auprès des autorités
• Respect des lois sur la cybersécurité et la protection des données
• Prévention de la fraude et des activités illégales

Base Juridique : Article 6(1)(c) du RGPD — Le traitement est nécessaire au respect d'une obligation légale à laquelle nous sommes soumis.

3.3 Intérêts Commerciaux Légitimes

Objectif : Exploiter, sécuriser et améliorer notre entreprise et nos services.

Activités :

• Assurer la sécurité du réseau et de l'information
• Prévenir les accès non autorisés et les cyberattaques
• Surveiller les performances et la fiabilité du service
• Réaliser des analyses de données pour améliorer notre plateforme
• Développer de nouvelles fonctionnalités et capacités
• Gérer les opérations commerciales et les rapports internes
• Faire respecter nos conditions et protéger nos droits légaux
• Prévenir la fraude et les abus

Base Juridique : Article 6(1)(f) du RGPD — Le traitement est nécessaire aux fins de nos intérêts légitimes, sauf lorsque ces intérêts sont supplantés par vos droits et libertés fondamentaux.

Évaluation des Intérêts Légitimes :

Nos intérêts légitimes comprennent le maintien d'une plateforme de cybersécurité sécurisée et fiable, l'amélioration de nos services pour mieux protéger nos clients, et l'exploitation d'une entreprise durable. Nous avons effectué un test d'équilibrage pour garantir que ces intérêts ne portent pas atteinte de manière injustifiée à vos droits à la vie privée. Vous avez le droit de vous opposer au traitement fondé sur des intérêts légitimes (voir Section 10).

3.4 Marketing et Développement Commercial (avec Consentement)

Objectif : Communiquer sur nos produits, services et évolutions du secteur.

Activités :

• Envoi de newsletters et mises à jour produit
• Invitation à des événements et webinaires
• Partage de leadership éclairé et d'informations sur la sécurité
• Réalisation d'études de marché

Base Juridique : Article 6(1)(a) du RGPD — Consentement. Vous pouvez retirer votre consentement à tout moment en cliquant sur « se désabonner » dans nos e-mails ou en contactant privacy@enigmalabs.nl.

3.5 Intérêts Vitaux et Intérêt Public

Dans des circonstances rares, nous pouvons traiter des données personnelles pour protéger des intérêts vitaux (par exemple, prévenir un préjudice imminent) ou pour des tâches effectuées dans l'intérêt public liées au partage d'informations sur les menaces de cybersécurité.

Conformément à l'Article 6 du RGPD, nous nous appuyons sur les bases juridiques suivantes pour le traitement des données personnelles :

4.1 Consentement (Article 6(1)(a))

Nous obtenons un consentement explicite pour :

• Communications marketing
• Cookies et technologies de suivi non essentiels
• Traitement de catégories particulières de données personnelles (le cas échéant)

Le consentement doit être donné librement, de manière spécifique, éclairée et univoque. Vous avez le droit de retirer votre consentement à tout moment sans affecter la licéité du traitement basé sur le consentement avant son retrait.

4.2 Exécution Contractuelle (Article 6(1)(b))

Le traitement est nécessaire à l'exécution d'un contrat lorsque :

• Fourniture de notre plateforme et services de cybersécurité
• Gestion de votre compte et accès utilisateurs
• Fourniture d'assistance client
• Traitement des paiements

4.3 Obligation Légale (Article 6(1)(c))

Nous traitons des données pour nous conformer à des obligations légales, notamment :

• Exigences fiscales et comptables
• Lois sur la conservation des données
• Obligations de déclaration réglementaire
• Ordonnances judiciaires et procédures légales

4.4 Intérêts Vitaux (Article 6(1)(d))

Peut s'appliquer dans des situations d'urgence impliquant la protection de la vie.

4.5 Intérêt Public (Article 6(1)(e))

Peut s'appliquer pour des tâches liées au partage d'informations sur la cybersécurité dans l'intérêt public.

4.6 Intérêts Légitimes (Article 6(1)(f))

Nos intérêts légitimes comprennent :

• Sécurité de l'Information : Protéger nos systèmes, réseau et données contre les accès non autorisés, les attaques et les violations
• Amélioration des Services : Analyser les modèles d'utilisation pour améliorer les fonctionnalités de la plateforme et l'expérience utilisateur
• Opérations Commerciales : Gérer notre entreprise, effectuer des audits et assurer la continuité des activités
• Protection Juridique : Établir, exercer ou défendre des réclamations légales
• Prévention de la Fraude : Détecter et prévenir les activités frauduleuses

Nous effectuons une Évaluation des Intérêts Légitimes (EIL) pour les activités de traitement s'appuyant sur cette base pour garantir que nos intérêts sont équilibrés par rapport à vos droits à la vie privée.

5.1 Catégories de Destinataires

Nous pouvons partager des données personnelles avec les catégories de destinataires suivantes :

Fournisseurs de Services et Sous-Traitants :

• Fournisseurs d'infrastructure cloud (hébergement et stockage)
• Processeurs de paiement
• Plateformes de gestion de la relation client (CRM)
• Fournisseurs de services de messagerie et de communication
• Outils d'analyse et de surveillance
• Fournisseurs de support et de maintenance informatique

Conseillers Professionnels :

• Conseillers juridiques
• Comptables et auditeurs
• Fournisseurs d'assurance
• Consultants et cabinets de services professionnels

Partenaires Commerciaux :

• Revendeurs et distributeurs autorisés
• Partenaires d'intégration technologique
• Partenaires de marketing conjoint (avec consentement)

Autorités Réglementaires et Juridiques :

• Autorité Néerlandaise de Protection des Données (Autoriteit Persoonsgegevens)
• Forces de l'ordre
• Tribunaux et juridictions
• Organismes de réglementation ayant compétence sur nos opérations

5.2 Gestion des Sous-Traitants

Nous engageons des Sous-Traitants pour nous aider à fournir nos services. Ceux-ci incluent des fournisseurs d'hébergement cloud, des services de traitement des paiements, des services de livraison d'e-mails et des plateformes d'assistance client. Tous les Sous-Traitants sont liés par des obligations contractuelles pour protéger les données personnelles conformément aux exigences du RGPD.

Une liste complète et actualisée des Sous-Traitants est disponible sur demande à privacy@enigmalabs.nl. Nous informons les clients de tout changement envisagé de Sous-Traitants avec un préavis d'au moins 30 jours.

5.3 Aucune Vente de Données Personnelles

Nous ne vendons pas de données personnelles à des tiers. Nous ne nous engageons pas dans le courtage de données ou la monétisation des informations personnelles.

5.4 Transferts d'Entreprise

En cas de fusion, acquisition, réorganisation ou vente d'actifs, les données personnelles peuvent être transférées à l'entité acquéreuse. Nous veillerons à ce que le destinataire s'engage à protéger vos données personnelles conformément à cette Politique de Confidentialité et à la législation applicable. Vous serez informé de tout changement de propriété.

5.5 Divulgations Légales

Nous pouvons divulguer des données personnelles lorsque la loi l'exige, notamment :

• Pour nous conformer à une procédure légale (assignations, ordonnances judiciaires)
• Pour répondre aux demandes des autorités publiques
• Pour faire respecter nos conditions et accords
• Pour protéger nos droits, biens ou sécurité
• Pour prévenir la fraude ou l'activité illégale

6.1 Transferts au sein de l'EEE

Les données personnelles transférées au sein de l'Espace Économique Européen (EEE) sont protégées par le RGPD sans nécessiter de garanties supplémentaires.

6.2 Transferts en dehors de l'EEE

Nous pouvons transférer des données personnelles vers des pays en dehors de l'EEE, notamment :

• États-Unis (pour l'infrastructure cloud et les outils SaaS)
• Royaume-Uni (post-Brexit, en vertu d'une décision d'adéquation)
• Autres juridictions où nos Sous-Traitants opèrent

6.3 Garanties pour les Transferts Internationaux

Pour les transferts vers des pays sans décision d'adéquation de l'UE, nous mettons en œuvre des garanties appropriées :

Clauses Contractuelles Types (CCT) :

Nous utilisons les Clauses Contractuelles Types approuvées par la Commission de l'UE (2021/914) pour les transferts vers des pays tiers. Ces termes contractuels fournissent des garanties appropriées pour la protection des données personnelles.

Décisions d'Adéquation :

Nous nous appuyons sur les décisions d'adéquation adoptées par la Commission Européenne pour les transferts vers des pays jugés fournir une protection adéquate (par exemple, le Royaume-Uni et d'autres juridictions ayant le statut d'adéquation).

Règles d'Entreprise Contraignantes (BCR) :

Le cas échéant, nous pouvons mettre en œuvre des Règles d'Entreprise Contraignantes pour les transferts intra-groupe.

Garanties Techniques Supplémentaires :

• Chiffrement des données en transit (TLS 1.2 ou supérieur)
• Chiffrement des données au repos (AES-256)
• Contrôles d'accès et mesures d'authentification
• Évaluations régulières de la sécurité des Sous-Traitants

6.4 Transferts vers les États-Unis

Pour les transferts vers les États-Unis :

• Nous avons mis en œuvre des Clauses Contractuelles Types avec nos Sous-Traitants basés aux États-Unis
• Nous effectuons des Évaluations d'Impact des Transferts (EIT) pour les transferts vers les États-Unis
• Nous surveillons les évolutions juridiques concernant les lois américaines de surveillance (FISA 702, EO 12333)
• Nous mettons en œuvre des mesures supplémentaires lorsque nécessaire pour garantir un niveau de protection essentiellement équivalent

Vous pouvez demander une copie de nos Clauses Contractuelles Types et de nos Évaluations d'Impact des Transferts en contactant dpo@enigmalabs.nl.

7.1 Principes de Conservation

Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour remplir les finalités pour lesquelles elles ont été collectées, notamment :

• Remplir les obligations contractuelles
• Se conformer aux exigences légales et réglementaires
• Résoudre les litiges et faire respecter les accords
• Maintenir la sécurité et prévenir la fraude

7.2 Périodes de Conservation Spécifiques

| Catégorie de Données | Période de Conservation | Fondement | |----------------------|-------------------------|-----------| | Informations de compte et de contact | Durée du contrat + 7 ans | Obligation légale (fiscalité/comptabilité) | | Registres de facturation et de paiement | 7 ans | Exigence de la loi fiscale néerlandaise | | Journaux de sécurité et pistes d'audit | 1-3 ans | Intérêt légitime (sécurité) | | Données de surveillance réseau | 90 jours - 1 an | Exécution contractuelle, sécurité | | Données de communications marketing | Jusqu'au retrait du consentement + 2 ans | Consentement, intérêt légitime | | Tickets d'assistance et correspondance | 3 ans après la clôture du dossier | Exécution contractuelle, protection juridique | | Données de cookies et d'analyse | 13-26 mois | Consentement, intérêt légitime | | Données de renseignement sur les menaces | Indéfiniment (anonymisées) | Intérêt légitime (sécurité) |

7.3 Critères de Conservation

La période de conservation spécifique dépend de :

• Nature des données : Les données sensibles bénéficient de périodes de conservation plus courtes
• Finalité du traitement : Les données sont conservées uniquement aussi longtemps que nécessaire à leur finalité originale
• Exigences légales : Périodes de conservation obligatoires en vertu de la loi applicable
• Obligations contractuelles : Conservation requise par les accords clients
• Litiges potentiels : Conservation prolongée lorsqu'un litige est anticipé

7.4 Suppression et Anonymisation des Données

À la fin de la période de conservation, nous :

• Supprimons de manière sécurisée les données personnelles en utilisant des méthodes conformes aux normes de l'industrie
• Ou anonymisons les données pour qu'elles ne puissent plus identifier les personnes
• Conservons la preuve de suppression à des fins d'audit

Lors de la résiliation du contrat, les clients peuvent demander le retour ou la suppression de leurs données conformément à notre Contrat de Sous-Traitance (CST).

8.1 Engagement en Matière de Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre l'accès, la modification, la divulgation ou la destruction non autorisés. Cependant, aucune méthode de transmission ou de stockage de données ne peut être garantie comme totalement sécurisée. Bien que nous nous efforcions d'utiliser des moyens commercialement acceptables pour protéger vos données personnelles, nous fournissons des mesures de sécurité « en l'état » et ne pouvons garantir une sécurité absolue.

8.2 Mesures Techniques

Chiffrement :

• Données en transit : TLS 1.2 ou supérieur pour toutes les transmissions de données
• Données au repos : chiffrement AES-256 pour les données stockées
• Gestion des clés : Modules de Sécurité Matériels (HSM) pour la protection des clés

Contrôles d'Accès :

• Contrôle d'accès basé sur les rôles (RBAC)
• Authentification multi-facteurs (MFA) pour tous les accès administratifs
• Principe du moindre privilège
• Révisions et recertifications régulières des accès

Sécurité du Réseau :

• Pare-feu et systèmes de détection/prévention d'intrusion
• Segmentation et isolation du réseau
• Protection DDoS
• Scans réguliers de vulnérabilités et tests d'intrusion

Sécurité du Système :

• Correctifs et mises à jour de sécurité réguliers
• Anti-malware et protection des points de terminaison
• Cycle de vie du développement logiciel sécurisé (SDLC)
• Révisions de code et tests de sécurité

8.3 Mesures Organisationnelles

Politiques et Procédures :

• Politique de Sécurité de l'Information (alignée sur ISO 27001)
• Politique d'Utilisation Acceptable
• Plan de Réponse aux Incidents
• Plan de Continuité des Activités et de Reprise après Sinistre

Sécurité du Personnel :

• Vérifications d'antécédents pour les employés ayant accès aux données
• Accords de confidentialité
• Formations régulières de sensibilisation à la sécurité
• Exercices de simulation de phishing

Sécurité Physique :

• Installations de centres de données sécurisées avec contrôles d'accès
• Contrôles et surveillance environnementaux
• Procédures d'élimination des équipements

8.4 Notification de Violation de Données

En cas de violation de données personnelles :

• Nous notifierons l'Autorité Néerlandaise de Protection des Données dans les 72 heures suivant la prise de connaissance de la violation, lorsque cela est faisable
• Si la violation est susceptible d'entraîner un risque élevé pour vos droits et libertés, nous notifierons les personnes concernées sans délai injustifié
• Pour les clients entreprises, nous notifierons le contact désigné dans les 48 heures suivant une violation confirmée affectant leurs données
• Nous maintenons un registre interne des violations documentant toutes les violations et notre réponse

8.5 Limitation de Responsabilité

Bien que nous mettions en œuvre des mesures de sécurité raisonnables adaptées au risque, nous ne pouvons être tenus responsables pour :

• L'accès non autorisé résultant de circonstances indépendantes de notre contrôle raisonnable
• Les violations de sécurité causées par des services tiers indépendants de notre contrôle
• Les pertes résultant de votre incapacité à maintenir la confidentialité de vos identifiants
• Les circonstances constituant un cas de force majeure (voir Section 16.4)

Vos obligations concernant l'exactitude des données et la sécurité des identifiants sont détaillées dans nos Conditions Générales d'Utilisation. Notre responsabilité pour les violations de données est limitée dans la mesure permise par la loi applicable et soumise aux limitations de nos Conditions Générales d'Utilisation.

En vertu du Règlement Général sur la Protection des Données, vous disposez des droits suivants concernant vos données personnelles :

9.1 Droit d'Accès (Article 15)

Vous avez le droit d'obtenir :

• La confirmation que nous traitons vos données personnelles
• L'accès à vos données personnelles
• Des informations sur le traitement (finalités, catégories, destinataires, périodes de conservation)
• Une copie de vos données personnelles (dans un format électronique couramment utilisé)

Comment l'exercer : Soumettre une demande écrite à privacy@enigmalabs.nl avec une preuve d'identité.

Délai de réponse : Dans un mois suivant la réception (extensible à trois mois pour les demandes complexes).

Frais : Gratuit pour la première copie ; frais raisonnables pour les copies supplémentaires.

9.2 Droit de Rectification (Article 16)

Vous avez le droit de demander la correction des données personnelles inexactes et le complément des données incomplètes.

Comment l'exercer : Contactez privacy@enigmalabs.nl ou mettez à jour vos informations de compte directement via notre plateforme lorsque cela est possible.

Délai de réponse : Sans délai injustifié, généralement dans un mois.

9.3 Droit à l'Effacement / « Droit à l'Oubli » (Article 17)

Vous avez le droit de demander la suppression de vos données personnelles lorsque :

• Les données ne sont plus nécessaires à leur finalité originale
• Vous retirez votre consentement (lorsque le consentement était la base juridique)
• Vous vous opposez au traitement et nous n'avons pas de motifs légitimes impérieux
• Les données ont été traitées illégalement
• La suppression est requise par la loi

Exceptions : Ce droit ne s'applique pas lorsque le traitement est nécessaire pour :

• Exercer le droit à la liberté d'expression
• Se conformer à une obligation légale
• Accomplir une mission effectuée dans l'intérêt public
• Établir, exercer ou défendre des réclamations légales

Comment l'exercer : Soumettre une demande écrite à privacy@enigmalabs.nl avec une preuve d'identité et les motifs de suppression.

9.4 Droit à la Limitation du Traitement (Article 18)

Vous avez le droit de demander la limitation du traitement lorsque :

• Vous contestez l'exactitude des données (pendant la période de vérification)
• Le traitement est illégal mais vous vous opposez à la suppression
• Nous n'avons plus besoin des données mais vous en avez besoin pour des réclamations légales
• Vous vous êtes opposé au traitement en attendant la vérification de nos motifs légitimes

Effet : Pendant la limitation, nous ne conserverons que les données et ne les traiterons qu'avec votre consentement ou pour des réclamations légales.

9.5 Droit à la Portabilité des Données (Article 20)

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement lorsque :

• Le traitement est basé sur le consentement ou l'exécution d'un contrat
• Le traitement est effectué par des moyens automatisés

Comment l'exercer : Contactez privacy@enigmalabs.nl en spécifiant votre format préféré (JSON, CSV, XML).

9.6 Droit d'Opposition (Article 21)

Vous avez le droit de vous opposer au traitement basé sur :

• Intérêts légitimes (Article 6(1)(f)) : Nous devons cesser le traitement à moins de démontrer des motifs légitimes impérieux qui prévalent sur vos intérêts
• Marketing direct : Nous devons cesser immédiatement le traitement à des fins de marketing
• Recherche ou finalités statistiques : Sauf si le traitement est nécessaire pour des tâches d'intérêt public

Comment l'exercer : Contactez privacy@enigmalabs.nl ou cliquez sur « se désabonner » dans les e-mails marketing.

9.7 Droits Relatifs à la Prise de Décision Automatisée (Article 22)

Vous avez le droit de ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé (y compris le profilage) qui produisent des effets juridiques ou vous affectent de manière significative, sauf si :

• Nécessaire à l'exécution d'un contrat
• Autorisé par la loi avec des garanties appropriées
• Basé sur votre consentement explicite

Notre détection des menaces assistée par IA implique une analyse automatisée mais ne prend pas de décisions entièrement automatisées ayant des effets juridiques ou significatifs sur les personnes. Nous ne pratiquons pas de profilage produisant des effets juridiques sur les personnes. Un examen humain est toujours disponible pour les alertes de sécurité affectant l'accès utilisateur.

9.8 Droit de Retirer son Consentement

Lorsque le traitement est basé sur le consentement, vous pouvez retirer votre consentement à tout moment. Le retrait n'affecte pas la licéité du traitement antérieur.

Comment l'exercer : Contactez privacy@enigmalabs.nl ou ajustez vos préférences dans les paramètres de votre compte.

9.9 Droit de Déposer une Plainte

Vous avez le droit de déposer une plainte auprès d'une autorité de contrôle si vous pensez que notre traitement viole le RGPD.

Autorité de Contrôle Néerlandaise :

| Champ | Détails | |-------|---------| | Nom | Autoriteit Persoonsgegevens (AP) | | Adresse | Bezuidenhoutseweg 30, 2594 AV Den Haag, Pays-Bas | | Téléphone | +31 70 888 8500 | | Site Web | https://autoriteitpersoonsgegevens.nl | | E-mail | info@autoriteitpersoonsgegevens.nl |

Vous pouvez également déposer une plainte auprès de l'autorité de contrôle de votre pays de résidence, de votre lieu de travail ou du lieu de la prétendue infraction.

9.10 Exercer Vos Droits

Pour exercer l'un de ces droits :

1. Soumettre une demande écrite à privacy@enigmalabs.nl ou dpo@enigmalabs.nl
2. Inclure une preuve d'identité (copie de la pièce d'identité avec les informations sensibles masquées)
3. Spécifier le droit que vous exercez et fournir les détails pertinents
4. Nous accuserons réception de votre demande dans les 5 jours ouvrables
5. Nous répondrons de manière substantielle dans un mois (extensible à trois mois pour les demandes complexes)
6. Nous pouvons facturer des frais raisonnables pour les demandes manifestement infondées ou excessives

10.1 Utilisation des Cookies

Notre site web et notre plateforme utilisent des cookies et des technologies similaires pour améliorer l'expérience utilisateur, analyser l'utilisation et diffuser du contenu ciblé.

10.2 Types de Cookies

Cookies Essentiels (Strictement Nécessaires) :

• Finalité : Activer les fonctionnalités de base (authentification, sécurité, gestion de session)
• Base juridique : Intérêt légitime (Article 6(1)(f))
• Ne peuvent pas être désactivés sans affecter la fonctionnalité du service

Cookies d'Analyse :

• Finalité : Comprendre l'utilisation du site web et améliorer les services
• Base juridique : Consentement (Article 6(1)(a))
• Les données sont agrégées et anonymisées dans la mesure du possible

Cookies de Fonctionnalité :

• Finalité : Mémoriser les préférences et paramètres
• Base juridique : Consentement (Article 6(1)(a))
• Exemples : Préférences de langue, paramètres d'affichage

Cookies Marketing :

• Finalité : Diffuser des publicités pertinentes et suivre l'efficacité des campagnes
• Base juridique : Consentement (Article 6(1)(a))
• Peuvent inclure des pixels de suivi et des cookies de réseaux sociaux

10.3 Gestion des Cookies

Vous pouvez gérer vos préférences de cookies via :

• Notre bannière de consentement aux cookies (apparaît lors de la première visite)
• Les paramètres du navigateur pour bloquer ou supprimer les cookies
• Les outils de désinscription tiers

Paramètres des Navigateurs :

• Chrome : Paramètres → Confidentialité et Sécurité → Cookies
• Firefox : Préférences → Confidentialité et Sécurité → Cookies
• Safari : Préférences → Confidentialité → Cookies
• Edge : Paramètres → Cookies et Autorisations de Site

10.4 Politique des Cookies

Pour des informations détaillées sur les cookies spécifiques que nous utilisons, leurs finalités et leurs périodes de conservation, veuillez consulter notre Politique des Cookies.

10.5 Signaux « Do Not Track »

Nous ne répondons actuellement pas aux signaux « Do Not Track » des navigateurs. Cependant, vous pouvez vous désinscrire du suivi via les mécanismes décrits ci-dessus.

11.1 Liens Externes

Notre site web et nos communications peuvent contenir des liens vers des sites web, services ou ressources de tiers. Cette Politique de Confidentialité ne s'applique pas à ces tiers.

11.2 Clause de Non-Responsabilité

Nous ne sommes pas responsables de :

• Les pratiques de confidentialité des sites web tiers
• Le contenu ou la sécurité des sites externes
• Toute donnée personnelle que vous fournissez à des tiers

L'accès aux services tiers se fait à votre seule discrétion et risque. Nous vous recommandons de consulter les politiques de confidentialité de tout site tiers que vous visitez.

11.3 Services Tiers Intégrés

Notre plateforme peut s'intégrer à des services tiers (par exemple, fournisseurs SSO, stockage cloud). Votre utilisation de ces intégrations est soumise aux conditions et à la politique de confidentialité du tiers.

12.1 Non Destiné aux Enfants

Nos services sont conçus pour et destinés aux entreprises et organisations. Nous ne collectons pas sciemment de données personnelles auprès de personnes de moins de 16 ans.

12.2 Vérification de l'Âge

En utilisant nos services, vous déclarez avoir au moins 16 ans et avoir l'autorité d'engager votre organisation envers nos conditions.

12.3 Découverte de Données de Mineurs

Si nous prenons conscience que nous avons collecté des données personnelles d'un enfant de moins de 16 ans sans le consentement parental, nous :

• Prendrons immédiatement des mesures pour supprimer les informations
• Résilierons tout compte associé
• Informerons l'organisation cliente concernée

Si vous pensez que nous avons pu collecter des données d'un enfant de moins de 16 ans, veuillez nous contacter immédiatement à privacy@enigmalabs.nl.

13.1 Distinction entre Responsable du Traitement et Sous-Traitant

Distinction Juridique Importante :

• Lorsque nous agissons en tant que Responsable du Traitement : Pour les données que nous collectons directement auprès de vous (par exemple, informations de compte, utilisation du site web, communications directes), Enigma Labs BV est le Responsable du Traitement responsable de cette Politique de Confidentialité.

• Lorsque nous agissons en tant que Sous-Traitant : Pour les données personnelles que nos clients téléchargent ou traitent via notre plateforme (par exemple, données des employés pour la gestion des identités, données de trafic réseau), Enigma Labs BV agit en tant que Sous-Traitant et nos clients sont les Responsables du Traitement.

13.2 Obligations du Sous-Traitant

Lorsque nous agissons en tant que Sous-Traitant, nous :

• Traitons les données personnelles uniquement sur instructions documentées du Responsable du Traitement
• Garantissons l'engagement de confidentialité du personnel
• Mettons en œuvre des mesures de sécurité appropriées
• N'engageons des Sous-Traitants ultérieurs qu'avec l'autorisation du Responsable du Traitement
• Assistons les Responsables du Traitement dans la réponse aux demandes des personnes concernées
• Assistons les Responsables du Traitement dans leurs obligations de sécurité et de notification des violations
• Supprimons ou retournons les données à la fin du contrat
• Fournissons des informations pour les démonstrations de conformité

13.3 Contrat de Sous-Traitance (CST)

Les clients entreprises doivent signer notre Contrat de Sous-Traitance (CST), qui :

• Documente nos obligations de Sous-Traitant en vertu de l'Article 28 du RGPD
• Spécifie l'objet, la durée, la nature/finalité du traitement
• Définit les types de données personnelles et les catégories de personnes concernées
• Liste les Sous-Traitants ultérieurs autorisés
• Inclut les Clauses Contractuelles Types pour les transferts internationaux

Pour demander une copie de notre CST, contactez privacy@enigmalabs.nl ou votre représentant de compte.

13.4 Responsabilités du Client

En tant que Responsables du Traitement, nos clients sont responsables de :

• Obtenir une base juridique pour le traitement des données des utilisateurs finaux
• Fournir des avis de confidentialité à leurs employés et utilisateurs finaux
• Répondre aux demandes des personnes concernées concernant leurs données
• S'assurer que leurs instructions de traitement sont conformes à la loi applicable

13.5 Registre des Activités de Traitement

Nous maintenons un Registre des Activités de Traitement conformément à l'Article 30 du RGPD, disponible pour les autorités de contrôle sur demande.

14.1 Mises à Jour de la Politique

Nous pouvons mettre à jour cette Politique de Confidentialité de temps à autre pour refléter :

• Des changements dans nos pratiques commerciales
• De nouveaux produits ou services
• Des développements juridiques et réglementaires
• Des changements dans la technologie ou les pratiques de sécurité

14.2 Notification des Modifications

• Modifications substantielles : Nous vous informerons par e-mail ou avis visible sur notre site web au moins 30 jours avant que les modifications ne prennent effet.
• Modifications non substantielles : Nous pouvons mettre à jour la politique sans préavis ; la date de « Dernière Mise à Jour » reflétera le changement.

14.3 Contrôle de Version

Cette Politique de Confidentialité inclut un contrôle de version via :

• Numéro de version (voir frontmatter)
• Date d'entrée en vigueur
• Date de dernière mise à jour

Les versions précédentes sont disponibles sur demande.

14.4 Acceptation des Modifications

L'utilisation continue de nos services après l'entrée en vigueur des modifications constitue l'acceptation de la Politique de Confidentialité révisée. Si vous n'êtes pas d'accord avec les modifications, vous devez cesser d'utiliser nos services.

15.1 Droit Applicable

Cette Politique de Confidentialité et tout litige en découlant seront régis et interprétés conformément aux lois des Pays-Bas, sans égard aux principes de conflit de lois.

15.2 Juridiction

Tout litige découlant de cette Politique de Confidentialité sera soumis à la juridiction exclusive des tribunaux d'Amsterdam, Pays-Bas.

15.3 Résolution Alternative des Litiges

Nous encourageons la résolution amiable des litiges. Avant d'engager des procédures judiciaires, veuillez nous contacter à privacy@enigmalabs.nl pour tenter une résolution. Nous accuserons réception de toute plainte relative à la confidentialité dans les 5 jours ouvrables et fournirons une réponse substantielle dans les 30 jours.

15.4 Force Majeure

Nous ne serons pas responsables de tout manquement ou retard dans l'exécution de nos obligations en vertu de cette Politique de Confidentialité lorsque ce manquement ou retard résulte de circonstances indépendantes de notre contrôle raisonnable, y compris mais sans s'y limiter :

• Cas de force majeure, catastrophes naturelles ou pandémies
• Guerre, terrorisme ou troubles civils
• Actions ou réglementations gouvernementales
• Pannes Internet ou de télécommunications
• Cyberattaques ou incidents de sécurité indépendants de notre contrôle raisonnable

15.5 Divisibilité

Si une disposition de cette Politique de Confidentialité est jugée invalide, illégale ou inapplicable par une juridiction compétente, cette disposition sera séparée et les dispositions restantes continueront à plein effet.

15.6 Intégralité de l'Accord

Cette Politique de Confidentialité, ainsi que nos Conditions Générales d'Utilisation et notre Contrat de Sous-Traitance (le cas échéant), constituent l'intégralité de l'accord entre vous et Enigma Labs BV concernant le traitement des données personnelles et remplacent tous les accords et ententes antérieurs.

15.7 Renonciation

Aucune renonciation à une disposition de cette Politique de Confidentialité ne sera effective à moins d'être écrite et signée par la partie renonçante. Le fait de ne pas exercer un droit ne constitue pas une renonciation à ce droit.

16.1 Demandes de Confidentialité

Pour les questions générales de confidentialité, les demandes des personnes concernées ou les préoccupations concernant cette Politique de Confidentialité :

| Méthode de Contact | Détails | |--------------------|---------| | E-mail | privacy@enigmalabs.nl | | Adresse Postale | Enigma Labs BV, À l'attention de : Équipe Confidentialité, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas |

16.2 Délégué à la Protection des Données (DPD)

Nous avons nommé volontairement un Délégué à la Protection des Données (DPD) responsable de la supervision de notre stratégie de protection des données et de notre conformité.

| Méthode de Contact | Détails | |--------------------|---------| | E-mail | dpo@enigmalabs.nl | | Adresse Postale | Enigma Labs BV, À l'attention de : Délégué à la Protection des Données, Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas |

Le DPD peut être contacté directement pour :

• Des questions sur nos pratiques de protection des données
• Des préoccupations sur la façon dont nous traitons les données personnelles
• Des demandes des personnes concernées
• Des notifications de violations de données
• Des demandes réglementaires

16.3 Autorité de Contrôle

Vous avez le droit de déposer une plainte auprès de l'Autorité Néerlandaise de Protection des Données :

Autoriteit Persoonsgegevens (AP)

| Champ | Détails | |-------|---------| | Adresse | Bezuidenhoutseweg 30, 2594 AV Den Haag, Pays-Bas | | Téléphone | +31 70 888 8500 | | Site Web | https://autoriteitpersoonsgegevens.nl | | E-mail | info@autoriteitpersoonsgegevens.nl |

16.4 Support Général

Pour les demandes d'assistance non liées à la confidentialité :

| Méthode de Contact | Détails | |--------------------|---------| | E-mail | support@enigmalabs.nl | | Site Web | https://enigmalabs.nl/support |

| Champ | Détails | |-------|---------| | Titre du Document | Politique de Confidentialité | | Société | Enigma Labs BV | | Forme Juridique | Besloten Vennootschap (société à responsabilité limitée néerlandaise) | | Adresse du Siège | Korte Lijnbaanssteeg 1, 1012SL Amsterdam, Pays-Bas | | Numéro KvK | 99568322 | | Site Web | https://enigmalabs.nl | | URL de la Politique | https://enigmalabs.nl/privacy | | Contact E-mail (Confidentialité) | privacy@enigmalabs.nl | | E-mail DPD | dpo@enigmalabs.nl | | Juridiction | Pays-Bas / Union Européenne | | Loi Applicable | RGPD (UE) 2016/679, Uitvoeringswet AVG néerlandaise | | Date d'Entrée en Vigueur | 22 janvier 2026 | | Dernière Mise à Jour | 28 janvier 2026 | | Version | 1.1 |

Historique des Versions

| Version | Date | Modifications | |---------|------|---------------| | 1.0 | 15 janvier 2026 | Publication initiale | | 1.1 | 22 janvier 2026 | Clarifications concernant les Sous-Traitants et les transferts de données |

Documents Associés

| Document | URL | Description | |----------|-----|-------------| | Conditions Générales d'Utilisation | https://enigmalabs.nl/terms | Conditions d'utilisation des services | | Politique des Cookies | https://enigmalabs.nl/cookies | Comment nous utilisons les cookies sur notre site web | | Contrat de Sous-Traitance (CST) | https://enigmalabs.nl/dpa | Obligations de traitement des données pour les clients entreprises | | Liste des Sous-Traitants | https://enigmalabs.nl/legal/sub-processors | Liste actuelle des Sous-Traitants approuvés |

Cette Politique de Confidentialité a été élaborée conformément au Règlement Général sur la Protection des Données (RGPD) et à la législation néerlandaise sur la protection des données. Elle vise à fournir une transparence sur nos activités de traitement des données tout en protégeant les intérêts légitimes d'Enigma Labs BV et de nos clients. Pour toute question, veuillez nous contacter à privacy@enigmalabs.nl ou dpo@enigmalabs.nl.

© 2026 Enigma Labs BV. Tous droits réservés.