← Retour

Politique de confidentialité

Version : 2026-06-13

Ceci est une traduction de courtoisie. La version juridiquement contraignante est la Version anglaise, qui prévaut en cas de divergence.

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel traitées en lien avec Server Manager est Igor Cardines, travailleur indépendant italien (libero professionista). Contact : igor.cardines@gmail.com.

En tant que travailleur indépendant, nous ne disposons pas d’un délégué à la protection des données (DPO) formellement désigné ; veuillez adresser toutes les demandes relatives à la protection des données à l’adresse électronique de contact ci-dessus.

2. Quelles données à caractère personnel nous collectons

Pour une présentation en langage clair avec des exemples, consultez l’article d’aide Ce que Server Manager conserve à votre sujet. Les catégories formelles de données que nous traitons sont les suivantes :

  • Informations de compte : adresse électronique, nom (s’il est fourni via Google OAuth), fournisseur d’authentification utilisé, date de création du compte, rôle (utilisateur / administrateur).
  • Profils de serveur enregistrés (opt-in) : alias du serveur, hôte/IP, port, nom d’utilisateur et bloc d’identifiants chiffré (AES-256-GCM, clé dérivée d’une phrase secrète que vous seul connaissez via scrypt ; nous ne voyons jamais votre phrase secrète ni les identifiants en clair dans le stockage).
  • Données de session active : identifiants SSH nécessaires au fonctionnement de votre session, conservés uniquement dans la mémoire du processus pendant que la session est ouverte. Jamais écrits sur le disque. Supprimés lorsque la session prend fin.
  • Enregistrements de connexion au serveur : IP/nom d’hôte auquel vous vous connectez, ainsi que les horodatages de revendication. Utilisés pour la vérification d’un seul utilisateur actif par hôte et la prévention des abus de l’offre gratuite.
  • Données de facturation : ID client Stripe, ID facultatif de moyen de paiement enregistré, dates de début/fin du pass, coût LLM cumulé sur le pass en cours, informations d’adresse de facturation que vous fournissez au paiement. Les numéros de carte et données sensibles similaires sont traités directement par Stripe et n’atteignent jamais nos serveurs.
  • Enregistrements de consentement par achat : horodatage, adresse IP, user-agent, version des présentes Conditions et de la Politique de confidentialité acceptées lors de chaque achat. Requis en tant que piste d’audit pour la renonciation au droit de rétractation prévue à l’Art. 16(m).
  • Journaux d’utilisation : nombres de tokens par appel LLM, nom du modèle, coût calculé en EUR, ID de session. N’inclut pas le contenu des conversations.
  • Enregistrements anti-abus de l’offre gratuite : date d’octroi et date de révocation facultative, plus liste des hôtes VPS observés dans le cadre de l’octroi (dans une fenêtre de 90 jours).
  • Instantanés de fichiers (Annuler) : texte de commande, chemins de fichiers, contenus de fichiers (base64) pour les fichiers que Faro modifie ; capturés pour la fonctionnalité Annuler, supprimés automatiquement 30 jours après la capture.
  • Données d’extension de navigateur et de surveillance (opt-in) : si vous utilisez l’extension de navigateur facultative et activez la surveillance du serveur, un token d’association de l’appareil (haché au repos) et le dernier instantané d’état de chaque serveur surveillé (métriques, nombre de mises à jour en attente, accessibilité — aucun identifiant, aucune conversation). Voir section 14.
  • Correspondance d’assistance : le contenu des messages que vous nous envoyez par e-mail (support@servermanager.dev) ou via le formulaire de contact, ainsi que votre nom et votre adresse électronique, stockés en tant que ticket d’assistance afin que nous puissions suivre votre demande et y répondre.
  • Données de facturation / fiscales (uniquement si vous demandez une fattura) : lorsque vous demandez une facture électronique italienne au paiement, les informations fiscales que vous fournissez — nom ou raison sociale, adresse, pays, codice fiscale et/ou partita IVA, et codice destinatario ou PEC — sont stockées et utilisées pour émettre et transmettre la fattura via SdI.

3. Données que nous ne collectons PAS

  • Mots de passe SSH ou clés privées en clair (dans le stockage)
  • Votre phrase secrète de chiffrement (pour les profils de serveur enregistrés)
  • Numéros de carte, CVV ou dates d’expiration (Stripe les traite)
  • Historique persistant des conversations au-delà de votre session (la conversation est conçue pour être uniquement en RAM)
  • Journaux d’adresses IP à des fins d’analyse ou d’empreinte numérique (capturées uniquement par achat en tant que piste d’audit du consentement)
  • Cookies d’analyse ou de marketing (seul le cookie de session d’authentification est utilisé)

4. Base juridique du traitement

Nous traitons vos données à caractère personnel sur les bases suivantes prévues par le GDPR Art. 6 :

  • Contrat (Art. 6(1)(b)) : création du compte, authentification, traitement de vos achats, exploitation de l’agent sur votre serveur, facturation, assistance client.
  • Intérêts légitimes (Art. 6(1)(f)) : prévention des abus (lutte contre la fraude sur l’offre gratuite, limitation du débit), surveillance de la sécurité, stabilité du service, analyses produit et amélioration du service (mesure d’utilisation pseudonyme, sans cookies). Lorsque nous nous fondons sur les intérêts légitimes, nous avons évalué que nos intérêts ne prévalent pas sur vos droits et libertés.
  • Obligation légale (Art. 6(1)(c)) : conservation des documents de facturation requis par le droit fiscal italien ; réponse aux demandes licites des autorités.
  • Consentement (Art. 6(1)(a)) : renonciation au droit de rétractation prévue à l’Art. 16(m) lors de l’achat ; enregistrement d’une carte pour la recharge automatique.

5. Finalités du traitement

  • Fourniture du service — exécution des commandes d’agent que vous approuvez sur votre serveur, affichage de l’interface utilisateur, gestion de vos sessions
  • Facturation — traitement des paiements via Stripe, génération de reçus, conformité fiscale
  • Prévention des abus — détection des tentatives de contournement de la limite de l’offre gratuite, suspension des comptes en violation de l’utilisation acceptable
  • Fonctionnement du service — diagnostic des erreurs, surveillance de la sécurité, planification de capacité (métriques agrégées non identifiantes uniquement)
  • Communications — e-mails d’authentification, avis critiques relatifs au service (modifications des TOS, problèmes de sécurité), réponses à vos demandes d’assistance

Nous n’utilisons pas vos données pour la publicité, des listes d’e-mails marketing, le profilage à des fins de ciblage publicitaire, ni la vente à des tiers.

6. Sous-traitants tiers (sous-processeurs)

Nous nous appuyons sur les sous-traitants suivants pour exploiter Server Manager. Chacun dispose de sa propre politique de confidentialité et ne traite que les données nécessaires à la fonction décrite.

  • Stripe (entité UE en Irlande pour les clients européens ; transferts vers les États-Unis couverts par des clauses contractuelles types) : gère tout le traitement des paiements. Reçoit les informations de votre carte, votre adresse de facturation et les données d’historique de paiement. Nous ne voyons que des ID opaques.
  • OpenAI (États-Unis, SCCs) : reçoit le contenu de vos messages de conversation ainsi que le contexte serveur pertinent (contenus de fichiers lus par Faro, sorties de commandes) aux fins de générer les réponses de Faro. Lorsque vous nous contactez par e-mail d’assistance ou via le formulaire de contact, le contenu de votre message est également envoyé à OpenAI pour rédiger une proposition de réponse, qu’un membre de notre équipe examine avant son envoi. Selon les conditions API d’OpenAI, vos données ne sont pas utilisées pour entraîner leurs modèles ; ils conservent les journaux opérationnels pendant une durée maximale de 30 jours.
  • Resend (États-Unis, SCCs) : envoie des e-mails transactionnels (liens d’authentification, réponses d’assistance).
  • Aruba (Aruba PEC S.p.A.) (Italie) : notre intermédiaire de facturation électronique. Lorsque vous demandez une fattura, il reçoit les données fiscales de cette facture (le fichier FatturaPA) afin de la transmettre au Sistema di Interscambio (SdI) de l’administration fiscale italienne et de la conserver comme l’exige la loi. Utilisé uniquement pour les clients qui demandent une facture.
  • Neon (région UE, hébergement PostgreSQL) : stocke notre base de données.
  • Fournisseur d’hébergement applicatif : exécute nos serveurs d’application. Ne voit que les données nécessaires au traitement des requêtes en transit.
  • PostHog (région Union européenne — PostHog Cloud EU) : analyses produit et site web. Reçoit des événements d’utilisation pseudonymes liés à votre identifiant de compte — inscription, connexions serveur, exécutions de recettes, et événements d’entonnoir produit tels que l’atteinte d’une limite d’utilisation ou l’achat d’un pass — ainsi que des données de pages vues sans cookies et des métadonnées de requête standard (type de navigateur et d’appareil, et pays approximatif dérivé de votre adresse IP, qui est utilisée uniquement pour cette recherche puis supprimée — nous ne stockons pas votre adresse IP). Nous l’utilisons uniquement pour comprendre comment Server Manager est utilisé et pour l’améliorer. Il est configuré sans cookies et sans suivi intersites, n’est pas utilisé à des fins publicitaires et ne reçoit aucun contenu de conversation, identifiant serveur ou contenu de fichier.
  • Sentry (région Union européenne) : surveillance des erreurs applicatives. Lorsque l’application rencontre une erreur inattendue, Sentry reçoit un rapport de diagnostic — type d’erreur et trace de pile, route concernée, et type de navigateur/système d’exploitation, associés à un identifiant pseudonyme — afin que nous puissions détecter et corriger les défauts. Il est configuré pour ne pas transmettre de données à caractère personnel provenant du contenu des requêtes, et ne traite aucun contenu de conversation ni identifiant.

Nous ajoutons ou modifions des sous-traitants uniquement selon les besoins du fonctionnement du service. Les modifications substantielles seront reflétées dans la présente politique avec notification.

7. Transferts internationaux de données

Certains de nos sous-traitants (opérations Stripe aux États-Unis, OpenAI, Resend) sont situés aux États-Unis. Ces transferts sont couverts par les clauses contractuelles types (SCCs) adoptées par la Commission européenne, en tant que mécanisme de transfert valide au titre du Chapitre V du GDPR à la suite de l’arrêt Schrems II.

8. Durées de conservation

  • Contenu des conversations : uniquement en mémoire ; perdu lorsque votre session prend fin. Aucun stockage persistant.
  • Enregistrement de compte : pendant toute la durée de vie de votre compte. En cas de suppression : suppression logique pendant 30 jours, puis suppression définitive.
  • Documents de facturation et piste d’audit du consentement : conservés pendant 10 ans afin de se conformer au droit fiscal italien (conservazione delle scritture contabili), sous forme minimisée (date de transaction, montant, ID de facture, version des TOS acceptée).
  • Journaux d’utilisation : conservés pendant 12 mois pour la détection des abus et les rapports agrégés ; supprimés par la suite.
  • Tickets d’assistance : le contenu de votre correspondance d’assistance et nos réponses, conservés jusqu’à 24 mois pour gérer les suivis et les problèmes récurrents, puis supprimés — ou plus tôt sur demande, sauf lorsqu’un message se rapporte à un enregistrement de facturation que nous devons conserver.
  • Factures électroniques (fatture) : lorsque vous en avez demandé une, la fattura et ses données fiscales sont conservées pendant 10 ans comme l’exige le droit italien (conservazione a norma), par l’intermédiaire de notre fournisseur de facturation.
  • Instantanés de fichiers (Annuler) : 30 jours à compter de la capture, puis suppression automatique par une tâche planifiée.
  • Enregistrements d’abus de l’offre gratuite (hôtes VPS observés) : 90 jours à compter de l’observation ; utilisés uniquement pour la correspondance entre comptes pendant cette fenêtre.
  • Tokens d’authentification et cookies de session : durée de vie du cookie de session, généralement 30 jours sauf si vous vous déconnectez plus tôt.

9. Vos droits au titre du GDPR

En tant que personne concernée dans l’UE, vous disposez des droits décrits au Chapitre III du GDPR. Pour la version pratique « comment exercer chacun d’eux », consultez l’article d’aide Vos droits GDPR et exportation des données. En résumé :

  • Droit d’accès (Art. 15) — recevoir une copie de vos données
  • Droit de rectification (Art. 16) — corriger les données inexactes
  • Droit à l’effacement (Art. 17) — supprimer vos données ; en un clic via la page Compte
  • Droit à la portabilité des données (Art. 20) — recevoir vos données dans un format lisible par machine
  • Droit d’opposition (Art. 21) — au traitement fondé sur les intérêts légitimes
  • Droit à la limitation (Art. 18) — suspendre le traitement pendant l’examen d’un litige

Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle. L’autorité chef de file pour Server Manager est le Garante per la protezione dei dati personali italien ; vous pouvez également contacter votre autorité nationale de protection des données.

Pour exercer l’un quelconque de ces droits, envoyez un e-mail à igor.cardines@gmail.com depuis l’adresse électronique enregistrée sur votre compte. Nous répondons dans un délai de 30 jours comme l’exige le GDPR.

10. Cookies

Nous utilisons uniquement des cookies essentiels — en particulier le cookie de session d’authentification qui vous maintient connecté. Nous ne plaçons pas de cookies d’analyse, de cookies publicitaires, de pixels de suivi de médias sociaux ni de traceurs tiers. Aucune bannière de cookies n’est requise selon les orientations de l’UE/italiennes, car aucun cookie nécessitant un consentement n’est utilisé.

11. Âge minimum

Server Manager est un service payant nécessitant un contrat contraignant et ne s’adresse pas aux mineurs. Vous devez avoir au moins 18 ans pour créer un compte. Si nous apprenons que nous avons collecté des données à caractère personnel auprès d’une personne de moins de 18 ans, nous les supprimerons rapidement.

12. Sécurité

Nous appliquons des mesures techniques et organisationnelles appropriées pour protéger vos données, notamment :

  • Chiffrement TLS pour toutes les données en transit
  • Chiffrement au repos des identifiants de serveur enregistrés au moyen d’AES-256-GCM avec des clés dérivées d’une phrase secrète (KDF scrypt)
  • Identifiants SSH conservés uniquement dans la mémoire du processus pour les sessions actives ; jamais écrits dans un stockage persistant
  • Informations de carte traitées par Stripe conformément à la certification PCI DSS Level 1 ; nous ne les voyons jamais
  • Contrôle d’accès au strict nécessaire sur les systèmes internes
  • Examen régulier des mises à jour de dépendances pour les vulnérabilités connues

Aucun système n’est parfaitement sécurisé. En cas de violation de données à caractère personnel susceptible d’entraîner un risque pour vos droits et libertés, nous notifierons le Garante dans les 72 heures et les utilisateurs concernés sans retard injustifié, comme l’exigent le GDPR Art. 33 et 34.

13. Modifications de la présente politique

Nous pouvons mettre à jour la présente politique lorsque nos pratiques évoluent. Les modifications substantielles (nouveaux sous-traitants, collecte de données étendue, nouvelles finalités) seront annoncées avec un préavis d’au moins 30 jours par e-mail et au moyen d’une bannière dans l’application. Le timbre de version en haut de cette page reflète la révision actuelle.

14. Extension de navigateur et surveillance du serveur (facultatif)

Server Manager propose une extension de navigateur facultative qui affiche l’état des serveurs que vous choisissez de surveiller, directement dans la barre d’outils de votre navigateur. Elle est gratuite et entièrement opt-in : si vous ne l’installez pas et n’activez pas la surveillance, aucun des traitements de la présente section n’a lieu.

  • Token d’association de l’appareil : lorsque vous connectez l’extension à votre compte, nous émettons un token qui lie ce navigateur à votre compte. Il est stocké localement dans le navigateur (stockage de l’extension) et, sous forme hachée, sur nos serveurs. Vous pouvez le révoquer à tout moment depuis Compte → Extensions connectées ; la révocation empêche immédiatement l’extension de voir vos serveurs.
  • Instantanés d’état du serveur : pour chaque serveur sur lequel vous activez la surveillance, nous stockons le dernier instantané d’état — charge, mémoire, disque, nombre de mises à jour en attente, informations de base sur l’hôte (OS, noyau, disponibilité) et accessibilité HTTP du serveur. Il s’agit des mêmes données opérationnelles que celles affichées dans l’application. L’extension les lit via HTTPS pour afficher le badge et la fenêtre contextuelle de la barre d’outils, et le dernier état est également conservé dans le stockage local de l’extension du navigateur. Les instantanés ne contiennent aucun contenu de conversation ni aucun identifiant.
  • Agent de surveillance sur serveur : l’activation de la surveillance installe un petit agent en lecture seule sur votre serveur (un script exécuté par un utilisateur système non privilégié, sans connexion, selon une minuterie planifiée). Il lit les métriques locales et le nombre de mises à jour en attente et les envoie à votre compte via HTTPS environ toutes les cinq minutes. Il ne peut pas effectuer de modifications, exécuter des commandes ni lire vos fichiers, et ne stocke aucune clé SSH. La désactivation de la surveillance pour un serveur (depuis l’application) supprime l’agent.

L’extension communique uniquement avec votre propre compte Server Manager sur servermanager.dev. Elle n’utilise aucun code distant, ne place aucun traceur publicitaire ou d’analyse, et ne transmet vos données à aucun tiers. Les données d’instantané sont conservées uniquement en tant que dernière valeur par serveur (chaque mise à jour écrase la précédente) et sont supprimées lorsque vous désactivez la surveillance ou supprimez votre compte.

Contact

Demandes relatives à la confidentialité et à la protection des données : igor.cardines@gmail.com. Correspondance postale (si nécessaire pour des demandes formelles) sur demande.