Sérac

Politique de confidentialité

Dernière mise à jour : février 2026

1. Responsable du traitement

Sérac SAS, société de droit français, est responsable du traitement des données personnelles collectées via le service Sérac (serac.cloud).

2. Données collectées

Sérac collecte les données suivantes :

Données en clair (lisibles par Sérac)

  • Adresse email — pour l'authentification et la communication
  • Taille des fichiers — pour le calcul du quota de stockage
  • Date de prise de vue des photos — pour le tri chronologique dans la galerie (optionnel)
  • Sel cryptographique Argon2id — nécessaire pour la dérivation de clé côté client
  • Clés publiques — pour le partage de fichiers entre utilisateurs
  • Données de facturation — traitées par Stripe (voir ci-dessous)

Données chiffrées (illisibles par Sérac)

  • Contenu des fichiers (chiffré par XChaCha20-Poly1305, clé par fichier)
  • Noms des fichiers et dossiers (chiffrés par la Master Key)
  • Métadonnées des photos (GPS, EXIF — chiffrées)
  • Clés privées d'identité (chiffrées par la Master Key)

Sérac ne dispose d'aucune clé permettant de déchiffrer ces données. Elles sont techniquement illisibles pour nous.

3. Ce que Sérac ne fait PAS

  • Pas de tracking — aucun outil d'analytics tiers (Google Analytics, Amplitude, etc.)
  • Pas de publicité — vos données ne sont jamais utilisées à des fins publicitaires
  • Pas de vente de données — vos données ne sont jamais vendues, louées ou partagées avec des tiers
  • Pas de scan de contenu — vos fichiers ne sont jamais analysés, scannés ou indexés

4. Hébergement et souveraineté

Toutes les données sont hébergées en France chez Scaleway (Iliad Group), fournisseur certifié HDS (Hébergeur de Données de Santé). Vos données ne quittent jamais le territoire français. Aucun transfert hors UE n'est effectué.

5. Paiements (Stripe)

Les paiements sont traités par Stripe, Inc. Sérac ne stocke aucune donnée de carte bancaire. Stripe agit en tant que sous-traitant pour le traitement des paiements et est certifié PCI-DSS Level 1. Pour plus d'informations : Politique de confidentialité Stripe.

6. Logs serveur

Sérac conserve des logs serveur minimaux à des fins de sécurité et de débogage : adresse IP, horodatage, endpoint appelé, code de réponse HTTP. Ces logs sont conservés 90 jours maximum et ne sont jamais partagés avec des tiers.

7. Cookies

Sérac n'utilise aucun cookie tiers. Les seuls cookies utilisés sont des cookies techniques strictement nécessaires au fonctionnement du service (session d'authentification).

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD), vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie de vos données personnelles (email, métadonnées en clair)
  • Droit de rectification — corriger vos données personnelles
  • Droit de suppression — supprimer votre compte et toutes les données associées
  • Droit à la portabilité — exporter vos données dans un format standard
  • Droit d'opposition — vous opposer au traitement de vos données

Note : pour vos données chiffrées, seul vous pouvez y accéder et les exporter (via le téléchargement de vos fichiers). Sérac ne peut techniquement pas vous fournir le contenu déchiffré de vos fichiers.

9. Suppression des données

Lors de la suppression de votre compte, toutes vos données sont supprimées sous 30 jours, incluant : fichiers chiffrés sur le stockage objet, métadonnées en base de données, sessions et tokens. Cette suppression est irréversible.

10. Modifications

Sérac se réserve le droit de modifier cette politique de confidentialité. En cas de modification substantielle, les utilisateurs seront notifiés par email au moins 30 jours avant l'entrée en vigueur des changements.

11. Contact

Pour exercer vos droits ou poser des questions sur cette politique, contactez-nous à : privacy@serac.cloud