Politique de confidentialité
Dernière mise à jour : 1er juillet 2026
En résumé : Lumstep analyse vos dépôts de code à la recherche de vulnérabilités. Pour cela, nous accédons temporairement à votre code - mais nous ne le stockons jamais. Nous collectons le minimum de données nécessaires pour faire fonctionner le service et l'améliorer. Nous ne vendons pas vos données. Jamais.
1. Ce que nous collectons
- Données de compte : nom et email via OAuth (GitHub ou GitLab). Pas de mot de passe nécessaire.
- Métadonnées de dépôt : noms de dépôts, noms de branches, hashes de commits, répartition des langages.
- Résultats d'analyse : alertes de vulnérabilités, chemins de fichiers et numéros de ligne, listes de dépendances, données SBOM. Ces résultats vous appartiennent.
- Données d'utilisation : pages visitées, fonctionnalités utilisées, durée de session - pour comprendre comment le produit est utilisé.
- Données de facturation : traitées par Stripe. Nous recevons uniquement un identifiant client et un statut d'abonnement. Nous ne voyons jamais votre numéro de carte.
2. Ce que nous ne collectons pas
- Votre code source. Les archives sont téléchargées dans un environnement isolé, analysées, puis supprimées. Nous ne persistons pas votre code source.
- Des données personnelles inutiles. Nous stockons votre nom et votre email (via OAuth). Rien d'autre.
- Vos identifiants Git. Les tokens d'accès sont chiffrés dans HashiCorp Vault et utilisés uniquement pendant l'analyse.
3. Comment nous utilisons vos données
- Exécution des analyses - les métadonnées de dépôt et l'accès temporaire au code sont utilisés uniquement pour l'analyse de sécurité.
- Amélioration du produit - les données d'utilisation agrégées et anonymisées nous aident à identifier ce qui est utile et ce qui dysfonctionne.
- Communication - alertes de sécurité, mises à jour produit et modifications importantes des politiques. Désabonnement possible à tout moment des emails non essentiels.
- Facturation - le statut d'abonnement conditionne l'accès aux fonctionnalités payantes.
- Nous n'utilisons pas vos données pour entraîner des modèles d'IA. Nous ne les vendons pas.
4. Stockage et sécurité
- Infrastructure : serveurs hébergés dans l'UE.
- Chiffrement : AES-256-GCM via HashiCorp Vault. Clé de chiffrement distincte par organisation.
- Isolation en base de données : le row-level security garantit que les utilisateurs n'accèdent qu'aux données de leur organisation.
- Conservation : résultats d'analyse conservés jusqu'à la suppression ou la clôture du compte. Archives de code supprimées immédiatement après le scan. Journaux d'accès : 90 jours. Piste d'audit : 90 jours.
5. Services tiers
Nous faisons appel aux prestataires suivants :
| Service | Finalité |
|---|---|
| GitHub / GitLab | Authentification OAuth et accès aux dépôts |
| Stripe | Traitement des paiements |
| Zitadel | Gestion des identités |
Nous n'utilisons pas de réseaux publicitaires ni de courtiers en données.
6. Vos droits (RGPD)
Vous disposez du droit d'accès, de rectification, de suppression, d'exportation, d'opposition au traitement et de réclamation auprès de la CNIL.
Pour exercer ces droits, contactez-nous à privacy@lumstep.fr. Nous répondons dans un délai de 30 jours.
7. Contact
Responsable du traitement : Lumstep SAS