+33 9 84 25 52 61
Se connecter
Légal

Politique de confidentialité

Cette politique explique quelles données personnelles Obexal traite, pourquoi, sur quelle base légale, et les droits que vous pouvez exercer à tout moment.

Cette politique de confidentialité décrit comment les données personnelles sont collectées et traitées lorsque vous utilisez le service Obexal, nos sites web et les API associées. Elle est fournie conformément aux articles 13 et 14 du Règlement général sur la protection des données (Règlement (UE) 2016/679, le RGPD).

Obexal est un fournisseur d'identité souverain européen, conçu et hébergé dans l'Union européenne, sans dépendance hors UE.

1. Responsable de traitement

Le responsable du traitement décrit ici est Obexal, édité par une société française en cours de structuration ; le fondateur répond directement. Les informations d'immatriculation seront publiées ici dès l'immatriculation achevée.

Lorsqu'Obexal est exploité comme fournisseur d'identité en marque blanche pour le compte d'un client (tenant), ce client est responsable des données de ses utilisateurs finaux dans son espace, et Obexal agit comme sous-traitant sur ses instructions. La présente politique couvre les traitements pour lesquels Obexal est responsable.

2. Finalités et bases légales

Nous traitons les données personnelles pour les finalités suivantes, chacune assortie de sa base légale au titre de l'article 6 du RGPD :

  • Fournir le service d'identité (comptes, authentification, authentification unique, authentification multifacteur, annuaire, accès conditionnel) : exécution du contrat (art. 6.1.b).
  • Sécuriser les accès (politique de mot de passe, passkeys/WebAuthn, TOTP, codes à usage unique, détection de risque et d'anomalies, kill switch des agents) : intérêt légitime à protéger les comptes et systèmes, et respect de nos obligations de sécurité (art. 6.1.f et c).
  • Tenir les journaux d'audit d'authentification, d'administration et d'activité des agents : intérêt légitime de traçabilité et obligation légale le cas échéant (art. 6.1.f et c).
  • Traiter les demandes de support et les échanges : exécution du contrat et intérêt légitime (art. 6.1.b et f).
  • Respecter les obligations comptables, fiscales et légales : obligation légale (art. 6.1.c).
  • Envoyer des communications de service ou commerciales le cas échéant : consentement ou intérêt légitime (art. 6.1.a ou f) ; vous pouvez vous y opposer à tout moment.

3. Données collectées

Selon votre usage d'Obexal, nous pouvons traiter :

  • Données d'identité et de profil : prénom, nom, nom affiché, adresse e-mail, poste, département, langue préférée.
  • Données d'authentification : empreintes de mot de passe (jamais stockées en clair), identifiants passkey/WebAuthn, secrets TOTP, codes à usage unique, identités sociales ou LDAP liées.
  • Données d'annuaire : groupes, appartenances, rôles, attributs et claims, données de provisionnement reçues ou émises via SCIM 2.0.
  • Données d'accès et de sécurité : adresse IP, pays approximatif (via GeoIP), horodatage de connexion, signaux d'appareil, signaux de risque, enregistrements de consentement.
  • Données d'identité des agents : secrets d'agent, politiques de scopes et d'audience, enregistrements de délégation et de revue, évènements d'audit.
  • Journaux techniques : entrées du journal d'audit et évènements du flux d'audit en temps réel liés à l'authentification, à l'administration et à l'usage des API.

Nous ne collectons pas de date de naissance ni de donnée non nécessaire au fonctionnement du service.

4. Durées de conservation

Les données ne sont conservées que le temps nécessaire aux finalités ci-dessus :

  • Suppression définitive : dans les 30 jours suivant une demande de suppression.
  • Données de compte et de profil : pendant la durée du compte, puis 3 ans après sa clôture.
  • Journaux techniques et d'audit : 12 mois.
  • Échanges de support : 3 ans après le dernier échange.
  • Pièces comptables et de facturation : la durée légale de conservation (en France, dix ans).

À l'issue de ces durées, les données sont supprimées ou anonymisées.

5. Destinataires, sous-traitants et hébergeur

Les données personnelles sont accessibles au personnel habilité selon le besoin d'en connaître, et aux catégories de sous-traitants suivantes agissant sur nos instructions :

  • Hébergeur : établi dans l'Union européenne, hébergement en France, datacenter en région parisienne.
  • Fournisseur d'e-mail transactionnel : établi dans l'Union européenne.

La liste nominative des sous-traitants est communiquée sur demande via notre page contact. Obexal héberge ses propres polices et ne recourt à aucun réseau de diffusion de contenu tiers. Chaque sous-traitant est lié par un accord de protection des données au titre de l'article 28 du RGPD.

6. Transferts internationaux

Obexal est conçu et hébergé dans l'Union européenne. Nous ne transférons aucune donnée personnelle en dehors de l'Union européenne ou de l'Espace économique européen. Si cela devait changer, nous nous appuierions sur une garantie appropriée au titre du chapitre V du RGPD et mettrions à jour la présente politique au préalable.

7. Sécurité

Nous appliquons des mesures techniques et organisationnelles adaptées au risque : chiffrement des mots de passe, authentification multifacteur forte, politiques d'accès conditionnel versionnées et simulées, politiques d'agent au moindre privilège (plafond de scopes, plafond de durée (TTL), allowlist d'audience, fail-closed) et journalisation d'audit continue.

8. Vos droits

En vertu du RGPD, vous disposez d'un droit d'accès à vos données, de rectification, d'effacement, de limitation du traitement, d'opposition, de portabilité, et du droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci. Vous pouvez aussi donner des directives sur le sort de vos données après votre décès.

Ces droits s'appuient sur des fonctions self-service réelles : vous pouvez exporter vos données en un clic depuis votre compte, et demander la suppression de votre compte après ré-authentification. La suppression définitive intervient ensuite sous 30 jours.

Lorsqu'Obexal agit comme sous-traitant d'un tenant, adressez votre demande à cette organisation ; nous la transmettrons si elle nous parvient directement. Pour exercer vos droits auprès d'Obexal responsable de traitement, contactez-nous via les coordonnées ci-dessous. Nous pouvons demander une preuve d'identité et répondrons dans un délai d'un mois.

9. Point de contact données personnelles

Pour toute question relative à cette politique ou à vos données personnelles :

10. Réclamation auprès de l'autorité de contrôle

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de l'autorité française de contrôle, la Commission nationale de l'informatique et des libertés (CNIL), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou sur www.cnil.fr, sans préjudice de tout autre recours.

11. Mises à jour

Cette politique peut être mise à jour pour refléter les évolutions du service ou de la loi. Les changements substantiels seront communiqués avant leur entrée en vigueur.

Version du 2 juillet 2026.

Une question sur vos données ?

Nous répondons directement aux demandes de confidentialité et de sécurité.