Politique de confidentialité

Service Trust Layer — ArkForge

Dernière mise à jour : 4 mars 2026

1. Responsable du traitement

ArkForge
SIRET : 93208689500013
Email : [email protected]
Site : arkforge.tech

2. Données collectées

Trust Layer est conçu pour minimiser la collecte de données personnelles.

2.1 Email d'inscription

Lors de la création d'un compte (plan Free ou Pro), l'utilisateur fournit une adresse email. Cette adresse est utilisée pour :

  • La délivrance de la clé API
  • Les communications relatives au service (maintenance, modifications des CGV)
  • Le support client

L'adresse email n'est pas partagée avec des tiers à des fins commerciales.

2.2 Clés API

Chaque utilisateur reçoit une clé API pour authentifier ses requêtes. Les clés API sont stockées dans une base chiffrée (chiffrement symétrique AES-128, Fernet) et utilisées uniquement pour le contrôle d'accès. Elles ne sont pas partagées avec des tiers.

2.3 Utilisation de l'API Trust Layer

  • Empreinte SHA-256 — Hash cryptographique du payload de la transaction. Ce n'est pas une donnée personnelle car il est impossible de reconstituer les données d'origine.
  • Horodatage des preuves — Date et heure de création de chaque preuve, partagées avec les autorités d'horodatage (pool RFC 3161 TSA) et Sigstore Rekor.
  • Identité agent (optionnel) — Valeur du header X-Agent-Identity. Il est recommandé d'utiliser un identifiant technique (nom d'agent, UUID) plutôt qu'un nom de personne physique.
  • Métadonnées Stripe — Identifiant de transaction, montant, devise et horodatage. Traitées par Stripe selon sa propre politique de confidentialité. Applicable uniquement au plan Pro.
  • Métadonnées de requête API — URL cible, code HTTP et temps de réponse. Aucun corps de requête ou de réponse n'est stocké dans la preuve au-delà de son hash SHA-256.

Important : Les preuves Trust Layer ne contiennent que des hash cryptographiques (SHA-256) des payloads, pas les payloads eux-mêmes. Aucune donnée personnelle des transactions attestées n'est stockée dans les preuves.

2.3b Cache d'idempotence

Lorsqu'une requête API inclut un header X-Idempotency-Key (opt-in), la réponse complète du service cible est temporairement mise en cache sur disque pour éviter les doublons de traitement. Ce cache :

  • Est strictement opt-in — actif uniquement si le client envoie explicitement le header
  • Stocke uniquement les données renvoyées par le service cible à l'agent demandeur
  • Est automatiquement et définitivement supprimé après 24 heures
  • Est limité à 512 Ko par réponse mise en cache

Le cache d'idempotence ne contient aucune donnée personnelle au-delà de ce que le client a lui-même choisi d'inclure dans la requête d'origine.

2.4 Adresses IP

Les adresses IP sont collectées dans les logs d'accès serveur (nginx) pour la surveillance de sécurité et la prévention des abus. Les adresses IP sont conservées 7 jours puis automatiquement supprimées. Elles ne sont pas incluses dans les preuves et ne sont pas partagées avec des tiers.

2.5 Analytics du site web

Nous utilisons Plausible Analytics, un service d'analytics respectueux de la vie privée, sans cookies, hébergé dans l'UE. Plausible ne collecte aucune donnée personnelle et est conforme au RGPD. Aucune bannière de consentement n'est requise. Plausible est utilisé uniquement sur le site arkforge.tech ; l'API Trust Layer n'inclut aucun tracking ni analytics.

2.6 Emails de contact

Si vous nous contactez par email, nous traitons votre adresse email et le contenu du message pour répondre à votre demande.

3. Base légale du traitement

Données Base légale Article RGPD
Email d'inscriptionExécution du contratArt. 6(1)(b)
Clés APIExécution du contratArt. 6(1)(b)
Hash SHA-256, horodatages, preuvesExécution du contratArt. 6(1)(b)
Adresses IP (logs serveur)Intérêt légitime (sécurité)Art. 6(1)(f)
Analytics (Plausible)Intérêt légitime (amélioration)Art. 6(1)(f)
Emails de contactConsentementArt. 6(1)(a)
Données de paiement StripeContrat + obligation légale (fiscal)Art. 6(1)(b), 6(1)(c)

4. Destinataires des données

Vos données peuvent être partagées avec les sous-traitants suivants, strictement pour les finalités décrites :

  • Stripe (paiements) — Stripe, Inc., certifié PCI DSS Level 1. Traite les données de paiement pour les utilisateurs Pro. Politique de confidentialité Stripe.
  • Pool RFC 3161 TSA (FreeTSA.org, DigiCert, Sectigo) — Reçoit uniquement le hash SHA-256 de la preuve pour l'horodatage. Aucune donnée personnelle transmise. Le premier serveur disponible du pool est utilisé par preuve.
  • Sigstore Rekor (journal de transparence) — Reçoit uniquement la signature ECDSA et le hash SHA-256 de la preuve pour inclusion dans un journal public immuable opéré par la Linux Foundation. Aucune donnée personnelle transmise. Sigstore.
  • Plausible Analytics — Analytics respectueux de la vie privée, hébergé dans l'UE, pour le site web uniquement. Aucune donnée personnelle collectée. Politique Plausible.
  • OVH SAS (hébergement) — Hébergeur d'infrastructure situé en France (UE). Politique de confidentialité OVH.

Aucune donnée n'est vendue, louée ou partagée avec des tiers à des fins publicitaires ou marketing.

5. Transferts internationaux

L'infrastructure ArkForge est hébergée en France (Union Européenne) par OVH SAS.

Les services tiers suivants peuvent traiter des données hors UE :

  • Stripe — Peut traiter les données de paiement aux États-Unis sous Clauses Contractuelles Types (CCT) et l'accord de traitement des données Stripe.
  • Pool RFC 3161 TSA — FreeTSA.org, DigiCert et Sectigo peuvent opérer des serveurs hors UE. Seuls des hash SHA-256 sont transmis, qui ne constituent pas des données personnelles.
  • Sigstore Rekor — Opéré par la Linux Foundation ; les serveurs peuvent être aux États-Unis. Seuls des hash SHA-256 et signatures cryptographiques sont transmis, qui ne constituent pas des données personnelles.

6. Durée de conservation

Données Durée de conservation
Preuves (hash, horodatages, signatures)7 ans à compter de la création (résolution des litiges commerciaux)
Cache d'idempotence (opt-in)24 heures, puis supprimé automatiquement et définitivement
Email d'inscriptionTant que le compte est actif ; supprimé sous 12 mois après fermeture
Clés APITant que le compte est actif ; révoquées à la fermeture
Adresses IP (logs nginx)7 jours
Données de transaction StripeSelon politique Stripe et obligations fiscales (jusqu'à 10 ans)
Emails de contactDurée nécessaire pour répondre ; supprimés sous 12 mois
Analytics (Plausible)Données agrégées et anonymes uniquement

Les utilisateurs sont encouragés à télécharger et conserver leurs preuves localement avant expiration.

7. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (Art. 15) — Obtenir une copie de vos données personnelles.
  • Droit de rectification (Art. 16) — Corriger des données inexactes.
  • Droit à l'effacement (Art. 17) — Demander la suppression de vos données personnelles, sous réserve des obligations légales de conservation. Note : les hash SHA-256 dans les preuves ne sont pas des données personnelles et ne peuvent être supprimés. Les entrées dans le journal de transparence Sigstore Rekor sont immutables par conception.
  • Droit à la limitation (Art. 18) — Restreindre le traitement.
  • Droit à la portabilité (Art. 20) — Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON).
  • Droit d'opposition (Art. 21) — Vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer vos droits : [email protected]. Nous répondrons sous 30 jours conformément au RGPD.

8. Cookies

Le site arkforge.tech n'utilise aucun cookie. Plausible Analytics fonctionne sans cookies. L'API Trust Layer ne dépose aucun cookie. Aucune bannière de consentement n'est requise.

9. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées :

  • Chiffrement HTTPS/TLS pour toutes les communications (site et API)
  • Hash SHA-256 pour l'intégrité des preuves
  • Signatures Ed25519 pour l'authentification des preuves (clé publique publiée à /v1/pubkey)
  • Contrôle d'accès et authentification par clé API
  • Infrastructure hébergée dans des centres de données UE (OVH, France)
  • Rotation automatique des logs (7 jours pour les adresses IP)
  • Sauvegardes chiffrées AES-256
  • Base de clés API chiffrée au repos par chiffrement symétrique AES-128 (Fernet)

10. Données des mineurs

Trust Layer est un service B2B destiné aux développeurs et organisations. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans.

11. Décision automatisée

Trust Layer n'utilise aucune prise de décision automatisée ni profilage au sens de l'article 22 du RGPD.

12. Autorité de contrôle

Vous pouvez introduire une réclamation auprès de la CNIL :

CNIL (Commission Nationale de l'Informatique et des Libertés)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr

13. Modifications

Cette politique peut être mise à jour. Les modifications substantielles seront publiées sur cette page avec une date mise à jour et notifiées par email aux utilisateurs inscrits. L'utilisation continue du service après modification vaut acceptation.

14. Contact

ArkForge

Email : [email protected]

Site : arkforge.tech

AltStyle によって変換されたページ (->オリジナル) /