1. Identité du responsable de traitement
Le responsable du traitement des données personnelles collectées via le service Fiabli est :
SAS BOUDIER, éditeur de logiciels depuis 1995
Siège social : Nice, France
SIRET : 91321691700017 — RCS : Nice B 913 216 917
Email : contact@fiabli.io
2. Objet du service
Fiabli est une plateforme de détection de phishing par intelligence artificielle. Le service analyse les courriels reçus par l'utilisateur (par forward manuel ou par surveillance continue d'une boîte mail) pour identifier les tentatives d'hameçonnage et autres mails frauduleux, puis émet un verdict détaillé accompagné d'explications, et applique optionnellement une action automatique (étiquetage, mise en quarantaine).
3. Données collectées
3.1 Données que vous nous fournissez directement
- Informations de compte : nom, prénom, adresse email, mot de passe haché, langue préférée
- Informations d'entreprise : nom de la société (optionnel)
- Listes blanches et noires : adresses email et noms de domaine que vous classez explicitement comme légitimes ou frauduleux
3.2 Données obtenues via la connexion d'une boîte mail
Lorsque vous connectez une boîte mail à Fiabli (via OAuth Gmail / Microsoft 365 ou via IMAP standard), Fiabli accède aux données suivantes :
- Identifiants de connexion : login IMAP et mot de passe (chiffrés au repos en AES-256-GCM avec une clé maître stockée hors base de données), ou tokens OAuth (refresh_token chiffré)
- Mails entrants : en-têtes complets (From, To, Subject, Date, Received, SPF, DKIM, DMARC), corps texte et HTML, URL contenues, noms des pièces jointes
- Métadonnées de boîte : adresse de la boîte surveillée, fournisseur (Gmail / Outlook / IMAP custom), dernière date de synchronisation
Le contenu binaire des pièces jointes n'est pas analysé ni stocké.
3.3 Actions effectuées par Fiabli sur votre boîte mail
- Selon le mode d'action que vous configurez par boîte (aucune action / étiquette IMAP / préfixe de sujet / quarantaine), Fiabli peut appliquer une étiquette, modifier le sujet d'un mail (en préservant ses flags et sa date de réception), ou déplacer le mail vers un dossier de quarantaine
- Aucune action n'est effectuée sans configuration explicite de votre part. Le mode par défaut est "aucune action" (lecture seule)
- Aucun mail n'est jamais supprimé définitivement par Fiabli
3.4 Données techniques
- Adresse IP, type de navigateur, pages visitées, horodatages des actions
- Cookies de session strictement nécessaires au fonctionnement du service
4. Utilisation des données
Vos données sont utilisées exclusivement pour :
| Finalité | Données concernées | Base légale |
|---|---|---|
| Surveillance de la boîte mail (lecture des nouveaux mails) | Identifiants IMAP / tokens OAuth | Consentement (connexion explicite) |
| Analyse de phishing (en-têtes, URL, contenu) | En-têtes, corps, URL des mails | Consentement (action explicite) |
| Application d'une action automatique (étiquette / sujet / quarantaine) | Mails identifiés comme phishing | Consentement (mode configuré par l'utilisateur) |
| Notifications email en cas de phishing | Adresse email du compte, métadonnées du mail | Exécution du contrat |
| Historique et statistiques d'analyses | Verdicts stockés, scores, dates | Intérêt légitime |
| Amélioration de la base de connaissance phishing partagée | Signatures techniques anonymisées (domaine, motif d'URL, marque usurpée) | Intérêt légitime (opt-out possible) |
| Gestion du compte et facturation | Informations de compte | Exécution du contrat |
| Sécurité et prévention des abus | Données techniques | Intérêt légitime |
5. Traitement par intelligence artificielle
Pour analyser le contenu des mails et émettre un verdict de phishing, Fiabli transmet certaines données à un fournisseur d'intelligence artificielle tiers (Anthropic, modèles Claude Haiku 4.5 et Sonnet 4.6).
5.1 Données transmises au fournisseur IA
- Le sujet du mail
- L'expéditeur (From)
- Le corps texte du mail (HTML converti en texte)
- La liste des URL contenues dans le mail
5.2 Données NON transmises au fournisseur IA
- Vos informations de compte (mot de passe, téléphone)
- Vos identifiants IMAP ou tokens OAuth
- Vos données de facturation Stripe
- Le contenu binaire des pièces jointes
- Les autres mails de votre boîte (chaque analyse est strictement isolée)
5.3 Engagements du fournisseur IA (Anthropic)
- Anthropic ne stocke pas durablement les requêtes API ; elles sont conservées au maximum 30 jours à des fins anti-abus puis supprimées
- Les données ne sont pas utilisées pour entraîner ou améliorer les modèles d'IA Anthropic
- Le traitement est effectué en temps réel à la demande de Fiabli
- Les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types (SCCs) de la Commission européenne
5.4 Contrôle de l'utilisateur
L'analyse d'un mail est déclenchée soit par une action explicite (forward à check@fiabli.io), soit automatiquement à la réception d'un nouveau mail dans une boîte que vous avez explicitement connectée. Vous pouvez désactiver la surveillance à tout moment depuis votre espace personnel ou révoquer la connexion OAuth chez le fournisseur (Google / Microsoft).
6. Conformité avec la Google API Services User Data Policy
Conformément à cette politique :
- L'utilisation des données Gmail est limitée aux fonctionnalités visibles par l'utilisateur dans l'interface de Fiabli (analyse de phishing, étiquetage, notifications)
- Les données ne sont transférées à des tiers que si c'est nécessaire pour fournir ou améliorer les fonctionnalités visibles par l'utilisateur (analyse IA par Anthropic)
- Les données ne sont jamais utilisées pour diffuser de la publicité, y compris la publicité ciblée, le reciblage ou la publicité basée sur les centres d'intérêt
- Les données ne sont jamais vendues à des tiers, des courtiers en données ou des revendeurs d'informations
- Les données ne sont jamais utilisées pour entraîner des modèles d'intelligence artificielle généralisés
- Aucun employé de Fiabli ne lit le contenu des mails de manière individuelle, sauf demande explicite de l'utilisateur dans le cadre du support technique
7. Partage des données
Fiabli ne vend, ne loue et ne partage jamais vos données personnelles ou les contenus de mails à des fins publicitaires, de profilage ou de revente.
Les seuls tiers ayant accès à certaines de vos données sont :
| Prestataire | Rôle | Données concernées | Localisation |
|---|---|---|---|
| Anthropic, PBC | Analyse IA du contenu des mails (Claude) | Sujet, expéditeur, corps texte, URL | États-Unis (SCCs) |
| Stripe Payments Europe Ltd | Paiement en ligne et gestion des abonnements | Données de facturation (Fiabli ne stocke aucune information bancaire) | UE (Irlande), sous-traitance USA encadrée SCCs + DPF |
| Mailjet (groupe Sinch) | Envoi d'emails transactionnels (notifications, alertes, factures) | Adresse email du compte, contenu de la notification | France / UE |
| Google Ireland Ltd | OAuth Gmail (sur initiative de l'utilisateur) | Tokens OAuth, accès en lecture / modification de la boîte | UE (Irlande), sous-traitance USA encadrée SCCs + DPF |
| Microsoft Ireland Operations Ltd | OAuth Outlook / Microsoft 365 (sur initiative de l'utilisateur) | Tokens OAuth, accès en lecture / modification de la boîte | UE (Irlande), sous-traitance USA encadrée SCCs + DPF |
| OVHcloud SAS | Hébergement de l'application et de la base de données | Toutes les données du service | France / UE |
8. Stockage et sécurité des données
- Toutes les données sont hébergées sur des serveurs situés en France et dans l'Union Européenne
- Les communications sont chiffrées via SSL/TLS (HTTPS forcé, HSTS)
- Les identifiants IMAP sont chiffrés au repos en AES-256-GCM avec une clé maître stockée hors base de données
- Les tokens OAuth Google et Microsoft sont stockés de manière chiffrée et ne sont jamais accessibles en clair
- Les mots de passe utilisateurs sont hachés et ne sont jamais stockés en clair
- L'authentification à deux facteurs (TOTP) est disponible pour tous les utilisateurs
- Limitation du débit (rate-limiting) sur les endpoints d'authentification
- Vérification CSRF sur toutes les requêtes POST authentifiées
- Multi-tenance étanche : chaque utilisateur ne peut accéder qu'à ses propres données via filtrage par identifiant client systématique
- Les paiements sont gérés par Stripe – Fiabli ne stocke jamais d'informations de carte bancaire
9. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte | Durée de l'abonnement + 30 jours après suppression |
| Identifiants IMAP / tokens OAuth | Tant que la boîte est connectée ; suppression immédiate à la déconnexion |
| Mails analysés (contenu et verdict) | Selon le plan : 1 mois (Free), 12 mois (Personal / TPE), illimité (PME) |
| Cache global de verdicts (hash SHA-256, sans contenu) | 30 jours glissants |
| Signatures techniques anonymisées (base de connaissance partagée) | Indéfini, anonymisé, mutualisé entre tous les tenants |
| Listes blanches / noires personnelles | Durée de l'abonnement ou suppression manuelle |
| Données de facturation | 10 ans (obligation légale comptable française) |
| Logs techniques (connexion, erreurs) | 12 mois |
10. Suppression des données
10.1 Suppression de compte
Vous pouvez supprimer votre compte à tout moment depuis les paramètres de Fiabli. La suppression entraîne l'effacement définitif de toutes vos données (mails analysés, verdicts, listes blanches/noires, configuration des boîtes, identifiants IMAP, tokens OAuth) sous 30 jours. Aucune donnée n'est conservée après ce délai, à l'exception des données de facturation soumises à obligation légale de conservation.
10.2 Révocation de l'accès OAuth
Vous pouvez révoquer l'accès de Fiabli à votre compte Gmail ou Outlook à tout moment, soit depuis les paramètres de Fiabli, soit directement depuis votre compte Google ou votre compte Microsoft. Après révocation, Fiabli ne peut plus accéder à votre boîte.
10.3 Résiliation d'abonnement
En cas de résiliation, vous conservez l'accès au plan gratuit. Si vous choisissez de supprimer votre compte, le processus décrit en 10.1 s'applique.
11. Vos droits (RGPD)
Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes ou incomplètes
- Droit à l'effacement : demander la suppression de vos données
- Droit à la portabilité : recevoir vos données dans un format structuré
- Droit d'opposition : vous opposer au traitement de vos données
- Droit à la limitation : demander la suspension du traitement
Pour exercer ces droits, contactez-nous à contact@fiabli.io. Nous répondons sous 30 jours.
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL.
12. Cookies
Fiabli utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- Cookie de session (authentification)
- Cookie de préférences (langue, paramètres d'affichage)
- Jeton CSRF (protection contre les attaques inter-sites)
Sous réserve de votre consentement explicite via la bannière de cookies, un cookie de mesure d'audience anonymisée peut être déposé. Fiabli n'utilise aucun cookie publicitaire ni aucun cookie de suivi tiers à des fins commerciales.
13. Modifications de cette politique
Nous pouvons modifier cette politique de confidentialité. En cas de modification substantielle affectant l'utilisation de vos données, nous vous notifierons par email au moins 14 jours avant l'entrée en vigueur des changements. L'utilisation continue du service après notification vaut acceptation des modifications.
14. Contact
Pour toute question relative à cette politique de confidentialité ou à la protection de vos données :
SAS BOUDIER – Fiabli
Email : contact@fiabli.io
Site web : https://fiabli.io