$ cat /etc/internalhost/privacy

Politique de confidentialité

Version 1.0 · Dernière mise à jour : 2026-05-19 · Effective immédiatement

TL;DR

On collecte le minimum nécessaire pour livrer un serveur et t'envoyer une facture. Pas de tracking, pas de régies pub, pas de revente de données. On est dans l'UE, le RGPD s'applique, et on ne partage jamais tes données avec des tiers sauf obligation légale.

1. Qui on est

InternalHost est une entreprise individuelle (KvK néerlandais 90174720), détenue par Xaviero Kajafas, basée à Amsterdam. Siège enregistré : Bijlmerdreef 910, 1103 DV Amsterdam. Bureau (sur rendez-vous) : Nieuwe Hemweg 26, 1013 CX Amsterdam. On est le « responsable du traitement » au sens du RGPD pour les données personnelles que tu nous confies en tant que client.

2. Ce qu'on collecte

Trois catégories, rien de plus :

  • Données de compte : nom, email, nom d'entreprise (optionnel), numéro de TVA (optionnel, pour B2B). Fournies par toi à l'inscription.
  • Données de facturation : adresse de facturation, mode de paiement (on ne stocke pas les numéros de carte — ils restent chez Mollie/Revolut), historique de paiements. Requis par la loi fiscale néerlandaise + RGPD art. 6(1)(b) (contrat).
  • Données techniques : IP de session, user-agent navigateur, horodatages de connexion. Requis pour la sécurité (CrowdSec, fail2ban) et la prévention de fraude. Base légale : art. 6(1)(f) (intérêt légitime).

On ne collecte pas : cookies de tracking tiers, pixels de réseaux sociaux, identifiants publicitaires, géolocalisation au-delà de l'IP, analytics comportementaux, tracking de souris, ni aucune autre tech de surveillance.

3. À quoi on s'en sert

  • Livrer le service que tu as payé (provisionner des serveurs, t'envoyer du mail, support).
  • Générer et envoyer des factures.
  • Détecter et stopper les abus sur notre infrastructure (voir AUP).
  • Respecter les obligations légales de conservation (fisc néerlandais : factures 7 ans).

On ne l'utilise pas pour : profilage, pub personnalisée, revente, entraînement de modèles IA, ou tout autre business secondaire.

4. Combien de temps on garde

  • Données de compte : tant que tu es client + 30 jours après résiliation pour d'éventuelles réclamations.
  • Factures : 7 ans (loi fiscale néerlandaise).
  • Logs de connexion : 90 jours (forensique sécurité).
  • Données serveur (contenu de ton VPS) : tant que ton service est actif. Après résiliation 14 jours pour récupération, puis suppression définitive.
  • Tickets de support : 2 ans.

5. Avec qui on partage

Liste courte. Tout le monde ici est un sous-traitant en juridiction UE :

  • Mollie (NL) : prestataire de paiement. Reçoit ton nom, le montant de la facture, l'email. Confidentialité Mollie.
  • Revolut Business (LT, UE) : prestataire de paiement alternatif. Même périmètre que Mollie.
  • Cloudflare (US, région données UE) : CDN/DDoS pour ce site. Traite ton IP + empreinte navigateur pour l'anti-bot. Les CCT standard s'appliquent. Confidentialité Cloudflare.
  • Qupra DC (NL) : datacenter. Accès physique à notre matériel, aucun accès logique aux données.
  • OpenProvider (NL) : registrar de domaines — pertinent uniquement si tu enregistres un domaine chez nous. Reçoit les données de contact WHOIS.

C'est tout. Pas de pixels de tracking, pas de plateformes publicitaires, pas de SaaS "analytics".

6. Tes droits (RGPD)

Tu as le droit de :

  • Accéder à toutes tes données.
  • Les corriger.
  • Demander leur suppression (sauf si rétention légale s'applique).
  • Recevoir une copie lisible par machine (portabilité des données).
  • T'opposer au traitement basé sur l'intérêt légitime.
  • Déposer une plainte auprès de l'Autorité néerlandaise de protection des données.

Envoie un mail à [email protected]. On répond sous 30 jours, généralement sous 5.

7. Sécurité

  • TLS partout (HSTS preloaded).
  • Mots de passe stockés en bcrypt, jamais en clair.
  • SSH production par clés ed25519 uniquement, auth par mot de passe coupée.
  • MFA obligatoire pour les comptes admin.
  • CrowdSec + fail2ban sur tous les endpoints publics.
  • Sauvegardes chiffrées quotidiennes des données clients.
  • Accès restreint : seuls Nick et Jarreth ont un shell prod, seul Xavi a l'admin Filament.

Violation de données ? On notifie l'autorité de protection et les clients affectés sous 72 heures, conformément au RGPD art. 33-34.

8. Contact + modifications

Questions, demandes ou plaintes : [email protected] ou Signal (lien dans le footer). On se réserve le droit de modifier cette politique. Les changements substantiels sont notifiés par email aux clients actifs au moins 30 jours avant leur entrée en vigueur.