Sécurité et traitement des données
Dernière mise à jour: 2026-06-30
Les faits dont votre revue informatique/sécurité a besoin, sur une page. Les rapports réels sont stockés dans votre propre Google Drive, et nos serveurs ne conservent les données source que 24 heures au maximum (effacées à l'approbation). Sous-traitants, localisation des données et mesures ci-dessous.
Quatre principes de conception
Le client est propriétaire des données
Les rapports réels sont stockés dans une feuille de calcul de votre propre Google Drive (Google LLC). Vous êtes propriétaire des données et pouvez les consulter ou les supprimer vous-même à tout moment.
Conservation de 24 heures au maximum
Les données source détenues sur nos serveurs (KV) durent 24 heures au maximum et sont effacées immédiatement à l'approbation. Nous ne stockons pas les rapports de façon permanente (conception zero-retention).
Traité dans la région de Tokyo
L'hébergement et la diffusion (Vercel Functions) ainsi que la rétention temporaire (Upstash KV) fonctionnent dans la région de Tokyo (au Japon).
SSO et moindre privilège
Nous authentifions via la connexion Google (OAuth) et séparons les autorisations par service et par rôle. L'accès à la feuille de calcul utilise un compte de service au moindre privilège.
Flux des données
Comment un rapport circule de sa création à son stockage.
1. Saisie
L'utilisateur saisit un rapport dans le navigateur (le trafic est chiffré).
2. Rétention temporaire (≤24 h)
Le brouillon reste dans notre stockage temporaire (Upstash KV, région de Tokyo) 24 heures au maximum.
3. Approbation
Lorsque le responsable approuve, les données source sur nos serveurs sont effacées immédiatement.
4. Stockage (côté client)
Le contenu approuvé est ajouté à une feuille de calcul de votre Google Drive. Il est ensuite sous votre contrôle.
Ce n'est que lorsque vous utilisez l'assistance IA, l'évaluation hebdomadaire ou le rapport d'alignement que le texte du rapport saisi est envoyé au fournisseur d'IA générative (Anthropic) pour traitement. Si vous préférez ne pas l'envoyer, vous pouvez saisir manuellement sans IA. La sortie de l'IA est un brouillon ; la décision finale revient à l'utilisateur.
Sous-traitants
Ce Service utilise les sous-traitants suivants. Le droit applicable est le droit japonais.
| Sous-traitant | Finalité | Localisation / région | Données traitées |
|---|---|---|---|
| Google LLC | Stockage des rapports (Sheets) et connexion Google (OAuth) | États-Unis et autres (dans votre Google Drive) | Texte du rapport ; e-mail de connexion |
| Anthropic, PBC | Traitement par IA générative (assistance IA, évaluation hebdomadaire, rapport d'alignement) | États-Unis | Texte du rapport envoyé lors de l'usage des fonctions IA (facultatif) |
| Vercel Inc. | Hébergement et diffusion (Functions) ; analyse d'audience | Région de Tokyo (Japon) | Données de traitement transitoires ; analyse agrégée non identifiante |
| Upstash, Inc. | Rétention temporaire des données source via KV (≤24 h) | Région de Tokyo (Japon) | Données transitoires de brouillon |
| Polar Software Inc. | Vente et paiement (Marchand de Référence) | Hors du Japon (prestataire de paiement) | Données de paiement (traitées par Polar ; non conservées par nous) |
Mesures de sécurité
- Chiffrement en transit (HTTPS / TLS).
- Séparation des autorisations via un compte de service, accordées au moindre privilège.
- Effacement automatique des données source sur nos serveurs sous 24 heures (immédiat à l'approbation).
- Détection des altérations via des sessions signées et contrôle d'accès par service et par rôle.
- Les données de paiement ne sont pas conservées sur nos serveurs (traitées par Polar).
Transfert à des tiers hors du Japon
Pour le traitement par IA, nous envoyons le texte du rapport à Anthropic, PBC (États-Unis) ; pour le stockage, à Google LLC (États-Unis et autres). Vercel Inc. et Upstash, Inc. (entités américaines), utilisées pour la rétention temporaire, conservent les données dans la région de Tokyo (au Japon). Veuillez utiliser le Service avec votre consentement à ces transferts à des tiers hors du Japon.
Vente et paiement
La vente de ce Service utilise Polar (Marchand de Référence). Les données de paiement sont traitées par Polar et non conservées par nous. Veuillez également consulter nos mentions légales relatives aux transactions commerciales.
Vos droits et la suppression des données
Les rapports réels se trouvent dans votre Google Drive, où vous pouvez les consulter ou les supprimer vous-même. Pour toute demande de communication, de rectification, de suspension d'utilisation ou de suppression des données personnelles que nous détenons (comme les e-mails de connexion), veuillez utiliser le contact ci-dessous.
Contact données personnelles:株式会社狼煙 (Norolu)(kakehashi@norolu.jp)
Pages associées
La version japonaise de cette page prévaut ; en cas de divergence avec une traduction, la version japonaise fait foi. Les descriptions sont tenues cohérentes avec les conditions de consentement et l'implémentation.