Conformité RGPD

Anablabs SAS — DPO : dpo@anablabs.com

URLW est conçu pour respecter le Règlement Général sur la Protection des Données (RGPD / GDPR). Cette page détaille nos engagements et nos pratiques.

1. Notre engagement RGPD

Chez Anablabs, la protection des données personnelles est une priorité. URLW est conçu selon le principe de privacy by design : nous ne collectons que les données strictement nécessaires au service et les conservons le temps minimal requis.

  • 🇫🇷 Hébergement exclusivement en France (OVH Gravelines)
  • Aucune revente de données à des tiers
  • Aucun cookie publicitaire ou tracker tiers
  • Données chiffrées en transit (TLS 1.3) et au repos

2. Sous-traitants

Conformément à l'article 28 du RGPD, voici nos sous-traitants et leurs rôles :

Sous-traitant Rôle Localisation Garantie RGPD
OVH SAS Hébergement serveurs (VPS, base de données) 🇫🇷 Gravelines, France Hébergeur EU — pas de transfert hors UE
Stripe Inc. Traitement des paiements 🇺🇸 USA / 🇮🇪 Irlande (EU) DPA signé + Clauses Contractuelles Types CE
Amazon Web Services Envoi d'e-mails transactionnels (SES) 🇮🇪 eu-west-1 (Irlande) DPA signé + Addendum EU

3. Transferts hors UE

Nos serveurs principaux sont localisés en France. Aucun transfert de données personnelles hors de l'UE n'est effectué pour l'hébergement.

Les flux e-mail via AWS SES transitent par la région eu-west-1 (Irlande, territoire UE). Les données de paiement traitées par Stripe peuvent transiter via les USA, encadrées par des Clauses Contractuelles Types validées par la Commission Européenne.

4. Mesures de sécurité

  • Chiffrement TLS 1.3 sur toutes les communications (HTTPS obligatoire)
  • Mots de passe hachés avec bcrypt (facteur de coût élevé)
  • Clés API hashées SHA-256 pour un accès API sécurisé
  • Accès restreint aux données : chaque utilisateur n'accède qu'à ses propres liens
  • Sauvegardes chiffrées quotidiennes des bases de données
  • Firewall applicatif et limitation de débit (rate limiting)
  • Logs de sécurité conservés 30 jours
  • Mise à jour régulière des dépendances logicielles

5. Registre des traitements

Traitement Base légale Données concernées Durée
Gestion des comptes utilisateursContratEmail, mot de passe hachéDurée du compte
Fourniture du service raccourcissementContratURLs, codes courtsDurée du compte
Statistiques de clicsIntérêt légitimeCompteurs agrégésDurée du compte
FacturationObligation légaleDonnées de transaction (via Stripe)10 ans
Envoi d'emails transactionnelsContratAdresse emailDurée du compte
Logs de sécuritéIntérêt légitimeIP, user-agent, timestamp30 jours

6. Procédure en cas de violation

En cas de violation de données à caractère personnel (data breach), Anablabs s'engage à :

  1. Notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation
  2. Informer les utilisateurs concernés sans délai injustifié si la violation est susceptible d'engendrer un risque élevé pour leurs droits
  3. Documenter toute violation dans notre registre interne
  4. Prendre les mesures correctives nécessaires

Pour signaler une vulnérabilité de sécurité : dpo@anablabs.com

7. Droit à l'oubli

Vous avez le droit de demander la suppression complète de votre compte et de l'ensemble de vos données personnelles. La procédure est la suivante :

  1. Envoyez votre demande à dpo@anablabs.com depuis l'adresse e-mail de votre compte
  2. Nous vous confirmons la réception sous 48h
  3. La suppression effective est réalisée dans les 30 jours
  4. Les données de facturation sont conservées 10 ans (obligation légale)

Données supprimées suite à une demande d'oubli :

  • ✓ Compte utilisateur (email, mot de passe)
  • ✓ Tous les liens raccourcis et leurs statistiques
  • ✓ Historique d'utilisation
  • ✓ Logs associés (sous réserve du délai légal)

8. Contact DPO

Notre Délégué à la Protection des Données (DPO) est disponible pour toute question relative au RGPD ou à l'exercice de vos droits :

Email : dpo@anablabs.com
Délai de réponse : sous 30 jours
Autorité de contrôle : CNIL (cnil.fr)