ERMITS logo
ERMITS Gestion des Risques d'Entreprise Solutions de Technologie de l'Information

Politique de confidentialité principale

Date d’entrée en vigueur :31 octobre 2025

Dernière mise à jour :13 décembre 2025

Table des matières

ERMITS LLC (« ERMITS », « nous », « notre », « nos ») s’engage à protéger votre vie privée au moyen d’une architecture « Privacy-First » visant à vous laisser le contrôle de vos données. La présente Politique de confidentialité explique comment nous collectons, utilisons, partageons, protégeons et supprimons les informations lorsque vous utilisez nos Services dans l’ensemble des gammes de produits ERMITS.

En utilisant nos Services, vous acceptez les pratiques décrites dans cette politique. Si vous n’acceptez pas cette politique, n’utilisez pas les Services.

1. CHAMP D’APPLICATION

1.1 Services couverts

La présente Politique de confidentialité s’applique à l’ensemble des produits et services ERMITS, y compris notamment :

CyberSoluce™

  • plateforme enrichie d’inventaire d’actifs ;
  • visibilité des dépendances et des actifs ;
  • signaux de focalisation et d’attention opérationnelle ;
  • orientation vers des services ERMITS appropriés.

SocialCaution

  • plateforme personnalisée de confidentialité ;
  • détection de persona assistée par IA ;
  • indice d’exposition à la vie privée et notation du risque ;
  • catalogue de services avec profils de risque.

TechnoSoluce™

  • analyseur de SBOM (Software Bill of Materials) ;
  • analyse de vulnérabilités et de chaîne logicielle ;
  • traitement du SBOM côté client.

CyberCertitude™

  • suite d’implémentation CMMC 2.0 niveau 1 ;
  • plateforme de conformité CMMC 2.0 niveau 2 ;
  • outils d’évaluation NIST SP 800-171 ;
  • boîte à outils historique fondée sur localStorage.

VendorSoluce™

  • plateforme de gestion des risques de la chaîne d’approvisionnement ;
  • évaluation et suivi des fournisseurs ;
  • analyse du risque tiers.

CyberCorrect™

  • portail de confidentialité pour le milieu de travail ;
  • plateforme d’automatisation multi-réglementaire en matière de confidentialité.

CyberCaution™

  • RansomCheck, évaluation de préparation au rançongiciel ;
  • boîte à outils de cybersécurité ;
  • évaluations alignées CISA.

1.2 Portée géographique

Cette politique s’applique aux utilisateurs du monde entier et est conçue pour être compatible avec les principales lois applicables en matière de confidentialité et de protection des données, notamment le RGPD, le CCPA/CPRA, le PIPEDA, la LGPD et d’autres réglementations comparables lorsque cela est pertinent.

2. VUE D’ENSEMBLE DE L’ARCHITECTURE « PRIVACY-FIRST »

2.1 Principes fondamentaux

1. Traitement côté client

Lorsque cela est techniquement possible, les traitements principaux sont réalisés localement dans votre navigateur ou dans votre propre environnement. Cela inclut notamment des évaluations de sécurité, des calculs de scoring, des inventaires d’actifs, certaines analyses de confidentialité et, selon le produit, le traitement de fichiers comme les SBOM.

Vos données demeurent sous votre contrôle pendant le processus d’analyse, sauf si vous choisissez explicitement un autre mode d’hébergement ou de synchronisation.

2. Souveraineté des données

  • Mode local uniquement : toutes les données restent dans votre navigateur ou votre appareil.
  • Cloud autogéré : vous déployez la solution dans votre propre infrastructure.
  • Cloud géré par ERMITS : synchronisation chiffrée et optionnelle.
  • Déploiement hybride : traitement local avec sauvegarde chiffrée sélective.
  • Déploiement on-premises : installation dans votre propre environnement d’entreprise.

3. Chiffrement zero-knowledge

Lorsque des fonctions chiffrées gérées par le client sont activées :

  • les données peuvent être chiffrées côté client avant transmission ou synchronisation ;
  • les clés peuvent être dérivées de vos identifiants ou de mécanismes que vous contrôlez ;
  • ERMITS ne peut pas déchiffrer ni consulter le contenu chiffré lorsque le modèle zero-knowledge est effectivement activé ;
  • vous êtes responsable de la conservation de vos clés ou facteurs de déchiffrement ;
  • la perte des clés peut rendre les données irrécupérables.

4. Minimisation des données

Nous nous efforçons de collecter uniquement les données strictement nécessaires au fonctionnement, à la sécurité, à la facturation, au support ou à l’amélioration raisonnable du service.

Données généralement non collectées par défaut

  • données détaillées d’inventaire d’actifs et dépendances ;
  • contenu brut de SBOM, graphes de dépendance ou résultats détaillés d’évaluation ;
  • documentation de conformité, preuves, plans d’action ou résultats de scan sensibles ;
  • données réglementées telles que CUI, FCI, PHI ou secrets d’affaires, sauf si vous choisissez un mode de traitement qui l’implique et qui est adapté à vos obligations.

Données pouvant être collectées de manière optionnelle ou contextuelle

  • informations de compte (nom, email, organisation) ;
  • métriques pseudonymisées de performance et de télémétrie, si activées ;
  • données chiffrées synchronisées, lorsque vous activez cette fonction.

5. Transparence et contrôle

  • export des données dans des formats standards lorsque disponible ;
  • suppression volontaire des données ou des espaces de travail ;
  • choix du mode de stockage et d’hébergement ;
  • activation ou désactivation de la télémétrie lorsque le produit le permet.

3. INFORMATIONS QUE NOUS COLLECTONS

3.1 Informations que vous fournissez directement

  • données d’inscription et de compte, telles que nom, email, organisation, rôle ou préférences ;
  • données de paiement ou de facturation gérées directement par ERMITS ou par un prestataire de paiement ;
  • contenu que vous transmettez volontairement à notre support, à nos équipes commerciales ou via des formulaires de contact ;
  • paramètres, préférences, consentements et choix de configuration.

3.2 Informations que nous ne collectons pas

Selon la configuration produit, ERMITS ne collecte pas automatiquement le contenu métier détaillé traité localement, les réponses complètes d’évaluation, les pièces justificatives sensibles, les inventaires techniques complets, les fichiers SBOM bruts ou d’autres données opérationnelles détaillées lorsqu’elles restent dans votre navigateur ou votre propre environnement.

3.3 Informations collectées automatiquement

  • données techniques de connexion, journaux, horodatages, événements de sécurité et informations d’authentification ;
  • informations sur l’appareil, le navigateur, le système d’exploitation, la langue ou la zone horaire ;
  • mesures de performance, statistiques d’utilisation, erreurs applicatives ou informations analytiques lorsque ces fonctions sont activées.

3.4 Informations provenant de tiers

Nous pouvons recevoir des données provenant de prestataires d’identité, d’intégrations tierces, de plateformes de paiement, d’hébergeurs, de fournisseurs analytiques, ou d’autres services que vous choisissez de connecter.

4. COMMENT NOUS UTILISONS LES INFORMATIONS

4.1 Fourniture et exploitation des services

Nous utilisons les informations pour créer et administrer les comptes, authentifier les utilisateurs, fournir les fonctionnalités du produit, activer les synchronisations choisies, exécuter le support, gérer la facturation, répondre aux demandes et faire fonctionner les services de manière générale.

4.2 Amélioration du service et analyses

Nous pouvons utiliser des mesures techniques, des signaux d’usage agrégés, des rapports d’erreurs et des statistiques pseudonymisées afin d’améliorer la fiabilité, l’ergonomie, les performances, la sécurité et l’expérience utilisateur.

4.3 Communication

Nous utilisons vos coordonnées pour vous envoyer des confirmations de compte, des messages transactionnels, des informations de sécurité, des mises à jour importantes, des informations de facturation, des réponses de support ou, si la loi et vos choix le permettent, certaines communications commerciales.

4.4 Sécurité et prévention de la fraude

Nous utilisons certaines données pour détecter les abus, appliquer des contrôles d’accès, enquêter sur des incidents, protéger les comptes, limiter les usages malveillants et préserver la disponibilité des services.

4.5 Obligations légales et conformité

Nous pouvons traiter des informations lorsque cela est nécessaire pour respecter la loi, répondre à des obligations réglementaires, gérer des litiges, exercer ou défendre des droits, ou appliquer nos contrats.

5. PARTAGE ET DIVULGATION DES INFORMATIONS

5.1 Prestataires de services (sous-traitants)

Nous pouvons partager certaines informations avec des prestataires agissant pour notre compte, notamment pour l’hébergement, l’authentification, les paiements, le support, l’analytique, la surveillance technique, les emails transactionnels ou le traitement de la relation client, sous réserve de garanties contractuelles appropriées.

5.2 Exigences légales

Nous pouvons divulguer des informations lorsque la loi l’exige ou l’autorise, notamment pour répondre à une réquisition valide, à une décision judiciaire, à une obligation réglementaire ou à une situation d’urgence. Lorsque notre architecture ne nous permet pas techniquement de lire certaines données chiffrées, nous ne pouvons pas les fournir en clair.

5.3 Transferts d’activité

Dans le cadre d’une fusion, acquisition, réorganisation, cession d’actifs ou opération équivalente, certaines informations peuvent être transférées, sous réserve de garanties appropriées et, lorsque requis, d’une information préalable.

5.4 Partage fondé sur votre consentement

Nous pouvons partager des informations avec des tiers lorsque vous le demandez, l’autorisez ou activez volontairement une intégration qui implique un flux de données.

5.5 Données agrégées et anonymisées

Nous pouvons utiliser et partager des informations agrégées, anonymisées ou raisonnablement dépersonnalisées à des fins statistiques, d’amélioration produit, de recherche ou d’analyse commerciale, sous réserve que ces données ne permettent pas raisonnablement de vous identifier.

6. MESURES DE SÉCURITÉ DES DONNÉES

6.1 Chiffrement

Nous mettons en œuvre des mécanismes de chiffrement adaptés au contexte, y compris des protocoles de transport sécurisés et, selon le produit, des fonctions de chiffrement côté client ou des options de synchronisation chiffrée.

6.2 Contrôles d’accès

L’accès aux systèmes et données est limité au besoin d’en connaître, protégé par des mécanismes d’authentification, de journalisation, de séparation logique et, lorsque pertinent, des rôles et permissions granulaires.

6.3 Sécurité de l’infrastructure

Nous nous appuyons sur des mesures raisonnables de sécurisation de l’infrastructure, de surveillance, de mise à jour, de sauvegarde, de continuité et de gestion des vulnérabilités, adaptées à la nature des services.

6.4 Accès des employés et prestataires

L’accès des employés et prestataires est restreint, contractualisé et encadré. Lorsque l’architecture du produit repose sur un modèle zero-knowledge ou sur un traitement exclusivement local, l’accès au contenu utilisateur peut être techniquement impossible.

6.5 Réponse aux incidents de sécurité

ERMITS applique des procédures internes de détection, d’analyse, de containment, de remédiation et de notification adaptées à la nature de l’incident et aux obligations légales applicables.

7. CONSERVATION DES DONNÉES

7.1 Données de comptes actifs

Nous conservons les données de compte aussi longtemps que nécessaire pour fournir les services, gérer la relation contractuelle, prévenir les abus, résoudre les litiges et respecter les obligations légales applicables.

7.2 Conservation spécifique au produit

La durée et l’étendue de conservation dépendent du produit, du mode d’hébergement, des réglages choisis et du fait que les données demeurent locales, synchronisées, chiffrées ou autohébergées. Des données stockées uniquement localement relèvent principalement de votre propre cycle de conservation.

7.3 Comptes supprimés

Après suppression ou résiliation, nous supprimons ou anonymisons les données concernées dans un délai raisonnable, sauf lorsque leur conservation est nécessaire pour des raisons légales, comptables, de sécurité, de preuve ou de prévention de fraude.

7.4 Vérification de suppression

Lorsque cela est pertinent et techniquement possible, nous pouvons fournir une confirmation de suppression ou des informations sur le statut de suppression. Les données stockées localement dans votre navigateur, dans votre appareil ou dans votre propre cloud doivent être supprimées par vous selon votre propre gouvernance.

8. VOS DROITS EN MATIÈRE DE CONFIDENTIALITÉ

8.1 Droits généraux

Selon votre situation et le droit applicable, vous pouvez disposer des droits d’accès, de rectification, de suppression, d’opposition, de limitation du traitement, de portabilité, de retrait du consentement et de recours auprès d’une autorité compétente.

8.2 Droits supplémentaires pour les utilisateurs UE/RU/Suisse (RGPD)

Les personnes concernées relevant du RGPD peuvent disposer de droits renforcés, notamment en matière d’information, de limitation, d’opposition, de retrait du consentement et de recours auprès d’une autorité de contrôle. Les bases légales peuvent inclure l’exécution d’un contrat, le respect d’une obligation légale, l’intérêt légitime ou le consentement, selon le cas.

8.3 Droits supplémentaires pour les résidents de Californie (CCPA/CPRA)

Les résidents de Californie peuvent disposer de droits spécifiques relatifs à l’accès, à la suppression, à la correction, à la limitation de l’usage d’informations sensibles, à la non-discrimination et, le cas échéant, à l’opt-out de certaines formes de partage ou de vente, selon la qualification juridique applicable aux traitements en cause.

8.4 Exercice de vos droits

Vous pouvez exercer vos droits via les canaux de contact publiés par ERMITS. Nous pouvons demander des informations raisonnables pour vérifier votre identité, la portée de votre demande et votre habilitation à agir.

9. TRANSFERTS INTERNATIONAUX DE DONNÉES

9.1 Lieux de traitement

Selon le produit et votre configuration, les traitements peuvent avoir lieu dans votre navigateur, dans votre propre infrastructure, ou dans des régions d’hébergement choisies par ERMITS ou par des fournisseurs tiers.

9.2 Garanties applicables

Lorsque des transferts internationaux sont effectués, nous cherchons à mettre en place des garanties appropriées, telles que des engagements contractuels, des mesures techniques, des choix de résidence de données ou d’autres mécanismes reconnus par le droit applicable.

9.3 Options de résidence des données

Certains produits ou offres peuvent proposer des options de stockage local, d’autohébergement, de cloud chiffré ou de résidence régionale afin de mieux répondre à vos exigences de souveraineté ou de conformité.

10. CONFIDENTIALITÉ DES ENFANTS

10.1 Restrictions d’âge

Nos services ne sont pas destinés aux enfants lorsque la loi applicable exige un âge minimum ou un consentement parental. Sauf mention contraire explicite sur un produit donné, nous ne collectons pas sciemment de données personnelles d’enfants en violation de la loi.

10.2 Droits parentaux

Les parents ou représentants légaux peuvent nous contacter pour poser des questions, exercer des droits ou signaler un traitement présumé inapproprié impliquant un mineur.

11. CONSIDÉRATIONS DE CONFIDENTIALITÉ SPÉCIFIQUES AUX PRODUITS

Chaque produit ERMITS peut présenter des particularités de traitement, d’hébergement, d’analytique, de chiffrement ou d’intégration. Les annexes produit, descriptions techniques, matrices de déploiement, paramètres d’instance ou addenda contractuels peuvent compléter cette politique en détaillant les flux de données et le rôle respectif des parties.

12. CONSIDÉRATIONS PARTICULIÈRES

12.1 Contractants fédéraux

Si vous traitez des données soumises à des régimes fédéraux ou sectoriels, vous êtes responsable de choisir une configuration adaptée à vos obligations, y compris les exigences liées au CUI, au FCI, à la séparation des environnements, à la journalisation, au contrôle d’accès et à la résidence des données.

12.2 Données de santé (HIPAA) et données sensibles

À moins d’un accord écrit spécifique et d’une configuration appropriée, les services ERMITS ne doivent pas être considérés comme autorisés par défaut pour le traitement de données soumises à HIPAA ou d’autres régimes sensibles comparables.

13. MISES À JOUR DE LA PRÉSENTE POLITIQUE

13.1 Évolutions de la politique

Nous pouvons mettre à jour cette politique pour refléter l’évolution de nos produits, de notre architecture, de nos prestataires, de nos obligations légales ou de nos pratiques de sécurité.

13.2 Notification des changements

Lorsque cela est approprié, nous pouvons notifier les changements importants par email, par bannière, par message in-app, ou par publication sur le site concerné. La date de dernière mise à jour figurant en tête du document indique la version applicable.

14. COORDONNÉES

14.1 Demandes relatives à la confidentialité

Pour toute question relative à cette politique, à vos droits, à un traitement de données ou à une demande de confidentialité, utilisez les coordonnées de contact publiées par ERMITS sur le site concerné.

14.2 Contacts spécifiques à une juridiction

Lorsqu’un produit ou un contrat prévoit un point de contact dédié pour une juridiction donnée, ce point de contact complète la présente politique.

14.3 Préoccupations de sécurité

Les vulnérabilités, incidents ou inquiétudes de sécurité doivent être signalés via les canaux de contact et de support appropriés publiés par ERMITS.

15. DATE D’EFFET ET ACCEPTATION

La présente politique prend effet à la date indiquée en tête du document. En utilisant les Services, vous reconnaissez avoir lu et compris cette Politique de confidentialité et acceptez qu’elle régisse les traitements couverts.