Docteur Arnaques
Analyse automatisée de messages suspects

Politique de confidentialité

Comment vos données personnelles sont traitées sur docteurarnaques.fr.

1. Responsable du traitement

Pour l'utilisation du site public, le responsable du traitement est : Docteur Arnaques - Vincent Bourgeois - EI
13 Place des Bruyères, 33610 Canéjan, France
Contact : docteurarnaques@gmail.com

Pour les espaces opérés pour une collectivité, une commune ou une entreprise, l'organisme qui met le service à disposition est en principe responsable du traitement. Docteur Arnaques intervient alors comme sous-traitant, selon les instructions documentées de cet organisme et le cadre contractuel applicable.

2. Données traitées

  • Contenu transmis pour analyse : texte saisi, captures envoyées, email transféré.
  • Pour les emails entrants : sujet, corps texte, corps HTML et adresse email expéditrice.
  • Données techniques minimisées : horodatage, route appelée, statut, métriques de volume (sans contenu).
  • Journaux serveur (infrastructure) : adresse IP et user-agent dans les logs HTTP.
  • Données statistiques agrégées : niveau de risque (faible/modéré/élevé), score, source (web/email), tenant (commune/entreprise).
  • Indicateurs de menace dérivés : empreinte de campagne*, domaine principal, signature technique, thème supposé, service ciblé et indicateurs de similarité.
  • Données de session admin : cookie technique de session et événements d’authentification.

Les contenus analysés ne sont pas stockés dans la base applicative (seules des métriques techniques et statistiques sont conservées).

* Une empreinte de campagne est un indicateur technique calculé pour reconnaître des vagues d'arnaques similaires, sans conserver le contenu complet du message.

Le service ne sollicite pas de données sensibles. Les utilisateurs sont invités à ne transmettre que les éléments strictement nécessaires à l'analyse et, lorsque possible, à masquer les informations non utiles comme numéros complets de carte bancaire, pièces d'identité, RIB, données de santé ou informations concernant des mineurs.

3. Finalités

  • Fournir le service d’analyse demandé par l’utilisateur.
  • Retourner un résultat et des recommandations.
  • Produire des statistiques agrégées pour les espaces commune/entreprise.
  • Sécuriser la plateforme (authentification admin, anti-abus, limitation de trafic, contrôle webhook).
  • Maintenir le service (diagnostic et supervision technique).

4. Bases légales

  • Article 6-1-b RGPD : exécution du service demandé (analyse d’un message).
  • Article 6-1-f RGPD : sécurité technique, prévention des abus et continuité du service.
  • Pour les espaces opérés pour une collectivité, la base légale applicable est déterminée par la collectivité (souvent article 6-1-e RGPD), selon le cadre contractuel.

5. Destinataires et sous-traitants

  • Collectivités/entreprises partenaires : accès à leurs statistiques agrégées uniquement.
  • OVHcloud : hébergement de l’application.
  • OpenAI : traitement des contenus pour l’analyse automatisée.
  • MailerSend : réception et envoi des emails liés au service.
  • Mistral AI : traitement optionnel selon la configuration active.

Chaque prestataire reçoit uniquement les données nécessaires à la fonctionnalité utilisée.

6. Durées de conservation (configuration actuelle)

  • Contenu saisi et captures web : traités en mémoire, non stockés dans la base applicative.
  • Événements statistiques et indicateurs de menace dérivés (`analysis_events`, `campaign_events`) : 12 mois par défaut.
  • Événements techniques (`ops_events`) : 30 jours par défaut.
  • Identifiants techniques inbound (`inbound_messages`, dédoublonnage) : 35 jours par défaut.
  • Cookie de session admin : 12 heures par défaut.

Une purge automatique applique ces durées côté application.

7. Mesures de sécurité mises en œuvre

  • Chiffrement des échanges en HTTPS.
  • Vérification de signature HMAC des webhooks mail entrants (quand cette option est activée).
  • Limitation de débit sur les routes d’analyse et de connexion admin.
  • CORS restreint à une liste d’origines autorisées.
  • Authentification admin par cookie `HttpOnly`, `SameSite=Strict`, durée limitée.
  • En-têtes `no-store` sur routes API et admin pour limiter la mise en cache client/proxy.
  • Instruction applicative `store=false` sur les appels OpenAI Responses.

Cette instruction limite la conservation applicative côté API, sans préjudice des journaux de sécurité ou d'abus pouvant être conservés par les prestataires selon leurs conditions contractuelles et leur addendum de traitement des données.

8. Transferts hors Union européenne

Certains prestataires peuvent traiter des données hors UE selon leur infrastructure. Les mécanismes de transfert applicables relèvent des cadres prévus au chapitre V du RGPD (par exemple décision d’adéquation et/ou clauses contractuelles types), tels que prévus dans les conditions des prestataires utilisés.

Les documents de référence publics des prestataires (conditions de service, addendum de traitement des données, politiques de confidentialité) peuvent être transmis sur demande.

9. Origine des données

Les données proviennent principalement de l’utilisateur qui soumet un message. Pour les analyses reçues par email, des données peuvent aussi provenir de tiers figurant dans le message transféré.

10. Caractère obligatoire des données

Les données marquées comme nécessaires (contenu à analyser, confirmation de droit de transmission, email expéditeur pour réponse par mail) conditionnent la fourniture du service. Sans ces données, l’analyse ne peut pas être réalisée.

11. Décision automatisée

Le service fournit une aide à l’évaluation du risque. Il ne prend pas de décision produisant des effets juridiques ou des effets significatifs comparables au sens de l’article 22 du RGPD.

12. Vos droits

Vous disposez des droits d’accès, rectification, effacement, opposition, limitation et, lorsque applicable, portabilité.

Pour les espaces mis à disposition par une collectivité, les demandes d'exercice des droits doivent être adressées en priorité à la collectivité responsable du traitement ou à son DPO. Docteur Arnaques assiste la collectivité dans le traitement de ces demandes.

Exercice des droits : docteurarnaques@gmail.com. Vous pouvez également déposer une réclamation auprès de la CNIL : www.cnil.fr.

13. Cookies

Le site utilise des cookies strictement nécessaires au fonctionnement (notamment la session admin). Aucun cookie publicitaire ou de suivi marketing n’est déposé.

14. Mise à jour

Dernière mise à jour : 22 avril 2026.