Retour à l'accueil

Politique de Confidentialité

La présente politique de confidentialité décrit comment Aventris collecte, utilise et protège vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679).

1. Responsable du traitement

SYSINNOV (SAS)
Siège social : 61 rue de Lyon, 75012 Paris
Contact DPO : contact@aventris.fr

2. Données collectées

Nous collectons les données suivantes :

  • Données d'identification : nom, prénom, adresse email professionnelle (via Clerk)
  • Données d'organisation : nom de l'entreprise, secteur d'activité, taille, stack technique
  • Données d'audit : réponses au questionnaire NIS2, scores, plans d'action
  • Données de connexion : adresse IP, logs d'accès (journal d'audit)
  • Données de facturation : gérées par Stripe (nous ne stockons pas vos données bancaires)

3. Finalités du traitement

  • Fourniture et amélioration du service d'auto-évaluation NIS2
  • Gestion des comptes utilisateurs et des organisations
  • Génération de rapports de conformité
  • Facturation et gestion des abonnements
  • Communication relative au service (emails transactionnels)
  • Respect des obligations légales (traçabilité, audit)

4. Base légale du traitement

  • Exécution du contrat : fourniture du service SaaS
  • Intérêt légitime : amélioration du service, sécurité
  • Obligation légale : conservation des factures, traçabilité

5. Durée de conservation

  • Données de compte : durée de la relation contractuelle + 3 ans
  • Données d'audit : 5 ans (exigence NIS2)
  • Données de facturation : 10 ans (obligation comptable)
  • Logs de connexion : 1 an (obligation légale)

6. Sous-traitants

PrestataireFinalitéLocalisation
ClerkAuthentificationUE/US (SCCs)
NeonBase de données (PostgreSQL)UE (eu-central)
StripePaiementsUE/US (SCCs)
VercelHébergementUE (edge)
ResendEmailsUS (SCCs)

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger vos données
  • Droit à l'effacement : supprimer vos données (disponible dans Paramètres > RGPD)
  • Droit à la portabilité : exporter vos données au format JSON (disponible dans Paramètres > RGPD)
  • Droit d'opposition : s'opposer au traitement
  • Droit à la limitation : limiter le traitement

Pour exercer ces droits, contactez-nous à contact@aventris.fr ou utilisez les fonctionnalités intégrées dans l'application (Paramètres > RGPD).

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement en transit (TLS 1.3) et au repos, contrôle d'accès basé sur les rôles (RBAC), journalisation des accès, sauvegardes quotidiennes, et audits de sécurité réguliers.

9. Réclamation

Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

10. Accord de traitement des données (DPA)

Conformément à l'article 28 du RGPD, SYSINNOV (éditeur d'Aventris) agit en qualité de sous-traitant pour le compte de l'organisation cliente (responsable de traitement). Le présent accord complète la politique de confidentialité.

Objet du traitement

Aventris traite les données personnelles suivantes pour le compte du responsable de traitement : identifiants des utilisateurs, données d'évaluation de conformité, documents déposés comme preuves, et métadonnées d'utilisation de la plateforme.

Mesures de sécurité

Le sous-traitant met en œuvre les mesures techniques et organisationnelles décrites à la section 8 ci-dessus (chiffrement TLS 1.3, chiffrement au repos, RBAC, journalisation, sauvegardes).

Sous-traitants ultérieurs

Le sous-traitant fait appel aux sous-traitants ultérieurs suivants : Clerk (authentification, USA — clauses contractuelles types), Vercel (hébergement, USA/UE), Neon (base de données, UE), AWS S3 (stockage fichiers, UE), Resend (emails transactionnels, USA — CCT). Le responsable de traitement en est informé et peut s'y opposer dans un délai de 15 jours.

Restitution et suppression

À l'expiration du contrat, le sous-traitant restitue l'ensemble des données au responsable de traitement (export disponible dans Paramètres > Export) puis supprime les données dans un délai de 30 jours, sauf obligation légale de conservation.

Dernière mise à jour : 12/03/2026