🔒 RGPD & Traitement des données 🔒 GDPR & Data Processing

1. Responsable du traitement 1. Data controller

PhishRadar est édité à titre personnel et agit en qualité de sous-traitant au sens de l'article 28 du RGPD pour les données transmises par ses clients Enterprise. Pour les abonnés individuels (Particulier / Pro), PhishRadar agit en qualité de responsable du traitement. PhishRadar is published as a personal project and acts as a data processor within the meaning of Article 28 of the GDPR for data transmitted by its Enterprise clients. For individual subscribers (Individual / Pro), PhishRadar acts as a data controller.

Contact :Contact: PhishRadar@proton.me
Hébergement :Hosting: Serveurs IONOS, France (zone EU)IONOS servers, France (EU zone)
URL de production :Production URL: https://phishradar.fr

2. Données traitées lors d'une analyse Enterprise 2. Data processed during an Enterprise analysis

Lors de chaque appel à POST /v1/analyze, PhishRadar traite temporairement : On each call to POST /v1/analyze, PhishRadar temporarily processes:

• Le fichier email soumis (format .eml, .msg, .pdf…) — analysé puis supprimé immédiatement après traitement The submitted email file (.eml, .msg, .pdf… format) — analyzed then immediately deleted after processing
• Le corps du message — transmis à Mistral AI (API externe, société française, données hébergées en Europe) pour détection sémantique de phishing The message body — sent to Mistral AI (external API, French company, data hosted in Europe) for semantic phishing detection
• Les URLs extraites du message — transmises à VirusTotal et Google Safe Browsing pour vérification de réputation (voir §4) Extracted URLs from the message — sent to VirusTotal and Google Safe Browsing for reputation verification (see §4)
• Les hachages SHA-256 des pièces jointes — transmis à VirusTotal pour vérification (aucun fichier complet n'est envoyé) SHA-256 hashes of attachments — sent to VirusTotal for verification (no complete files are sent)

Dans les audit logs Enterprise (conservation configurable 1–90 jours), seules les métriques sont enregistrées : In the Enterprise audit logs (configurable retention 1–90 days), only metrics are recorded:

• Horodatage · Verdict (faible/modéré/élevé/critique) · Score 0-100 Timestamp · Verdict (low/moderate/high/critical) · Score 0-100
• Adresse IP source de la requête API · Nom du fichier (tronqué à 255 caractères) Source IP address of the API request · File name (truncated to 255 characters)
• Indicateur webhook déclenché (oui/non) Webhook triggered indicator (yes/no)

Aucune donnée personnelle (expéditeur, destinataire, objet, corps du message, contenu des pièces jointes) n'est conservée dans les audit logs. No personal data (sender, recipient, subject, message body, attachment content) is retained in the audit logs.

3. Base légale du traitement 3. Legal basis for processing

• Exécution contractuelle (Art. 6.1.b RGPD) — le traitement est nécessaire à la fourniture du service d'analyse souscrit Contractual performance (Art. 6.1.b GDPR) — processing is necessary to provide the subscribed analysis service
• Intérêt légitime (Art. 6.1.f RGPD) — conservation des métriques d'audit pour permettre la traçabilité des analyses (configurable et limitée à 90 jours) Legitimate interest (Art. 6.1.f GDPR) — retention of audit metrics to enable traceability of analyses (configurable and limited to 90 days)
• Obligation légale (Art. 6.1.c RGPD) — notification de violation de données dans les 72 heures conformément à l'Art. 33 RGPD Legal obligation (Art. 6.1.c GDPR) — data breach notification within 72 hours pursuant to Art. 33 GDPR

4. Sous-traitants ultérieurs 4. Sub-processors

PhishRadar fait appel aux prestataires suivants dans le cadre du service : PhishRadar uses the following providers as part of the service:

Vous pouvez vous opposer à l'utilisation de VirusTotal ou Google Safe Browsing en contactant PhishRadar@proton.me. Dans ce cas, les vérifications d'URLs et de hachages ne seront pas effectuées pour votre clé API. You may object to the use of VirusTotal or Google Safe Browsing by contacting PhishRadar@proton.me. In that case, URL and hash verifications will not be performed for your API key.

5. Vos droits RGPD 5. Your GDPR rights

Pour exercer vos droits, contactez PhishRadar@proton.me avec l'objet [RGPD] Demande de droit. Réponse sous 30 jours conformément à l'Art. 12 RGPD. En cas de litige non résolu, vous pouvez saisir la CNIL. To exercise your rights, contact PhishRadar@proton.me with the subject [GDPR] Rights request. Response within 30 days pursuant to Art. 12 GDPR. In case of unresolved dispute, you may contact the CNIL.

6. Mesures de sécurité (Art. 32 RGPD) 6. Security measures (Art. 32 GDPR)

• Chiffrement en transit : TLS 1.2 minimum (HTTPS obligatoire) Encryption in transit: TLS 1.2 minimum (HTTPS mandatory)
• Authentification : clé API 256 bits, régénérable à tout moment depuis le dashboard Authentication: 256-bit API key, regenerable at any time from the dashboard
• Isolation des données : base de données SQLite sur serveur dédié IONOS (France) Data isolation: SQLite database on dedicated IONOS server (France)
• Accès restreint : aucun accès tiers à la base de données de production Restricted access: no third-party access to the production database
• Audit logs : horodatés, signés avec IP source, rétention configurable (1–90 jours) Audit logs: timestamped, signed with source IP, configurable retention (1–90 days)
• Purge automatique : les données hors fenêtre de rétention sont supprimées à chaque démarrage du serveur Automatic purge: data outside the retention window is deleted on each server restart
• Notification de violation : notification au client dans les 72 heures si une violation susceptible de présenter un risque est détectée Breach notification: notification to the client within 72 hours if a breach likely to present a risk is detected

7. Contact & réclamations 7. Contact & complaints

Vous pouvez également saisir l'autorité de contrôle compétente : CNIL — www.cnil.fr (Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris). You may also contact the competent supervisory authority: CNIL — www.cnil.fr (Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, 75007 Paris).

8. Documents complémentaires 8. Additional documents

• Politique de confidentialité généraleGeneral privacy policy — applicable à tous les utilisateursapplicable to all users
• Dashboard EnterpriseEnterprise Dashboard → onglet 📄 Documentation → DPA complet + SLA📄 Documentation tab → Full DPA + SLA
• Page de statutStatus page — disponibilité et temps de réponse en temps réelreal-time availability and response times
• Demander un devis EnterpriseRequest an Enterprise quote

Dernière mise à jour : juin 2026. Ce document peut être mis à jour ; la version en vigueur est toujours disponible à l'adresse phishradar.fr/rgpd-enterprise. Last updated: June 2026. This document may be updated; the current version is always available at phishradar.fr/rgpd-enterprise.