-20% sur les VPS KVM ce mois-ci
// Mentions légales

Politique de confidentialité

XProvider respecte ta vie privée. Cette politique explique quelles données on collecte, pourquoi, et ce que tu peux faire pour les contrôler. Pas de formulation vague, pas de revente de tes données.

Dernière mise à jour : 1 avril 2026

Qui traite tes données ?

Le responsable de traitement est XProvider SAS, immatriculée au RCS Évry-Corbeil sous le numéro 912 345 678, dont le siège social est au 12 rue de l'Hébergement, 91320 Wissous, France.

Contact DPO : dpo@xprovider.fr

Quelles données on collecte

1. Données de compte

Lorsque tu crées un compte ou passes commande :

  • Nom, prénom, adresse email
  • Adresse postale (pour facturation)
  • Numéro de téléphone (optionnel)
  • Données de paiement (traitées exclusivement par nos prestataires de paiement Stripe et PayPal — on ne stocke jamais de numéros de carte)

2. Données techniques

Pour fournir le service :

  • Adresse IP (logs de connexion pendant 12 mois, obligation légale)
  • Type de navigateur, système d'exploitation
  • Pages visitées et date/heure (logs d'accès)

3. Données de support

Quand tu nous contactes :

  • Contenu de tes tickets ou emails
  • Historique des échanges

4. Données hébergées

Les contenus que tu héberges sur nos serveurs (fichiers de jeu, bases de données, sites web) t'appartiennent. On n'y accède jamais sauf intervention de support autorisée par toi.

Pourquoi on traite tes données

Chaque traitement a une base légale claire :

  • Exécution du contrat : création de compte, fourniture du service, facturation, support
  • Obligation légale : conservation des factures 10 ans, logs d'accès 12 mois (article L.34-1 CPCE)
  • Intérêt légitime : sécurité de l'infrastructure (détection de fraudes, anti-DDoS)
  • Consentement : newsletter (désabonnement en 1 clic)

Combien de temps on les garde

  • Compte actif : données conservées tant que le compte est ouvert
  • Compte fermé : données supprimées 30 jours après la clôture, sauf obligations légales
  • Factures : 10 ans (obligation comptable)
  • Logs techniques : 12 mois (obligation LCEN)
  • Tickets support : 3 ans après résolution

Qui a accès à tes données

En interne, seuls les salariés XProvider ayant besoin d'accéder aux données pour leur mission (support, facturation, ops) y ont accès, sous engagement de confidentialité.

Nos sous-traitants :

  • Stripe et PayPal : traitement des paiements (hébergement UE/US avec clauses contractuelles type)
  • Coinbase Commerce : paiements crypto (US, Privacy Shield abandonné, clauses type en vigueur)
  • Nodemailer via OVH SMTP : envoi des emails transactionnels (UE)
  • Uptime Kuma : monitoring auto-hébergé (aucune donnée client ne quitte notre infra)

On ne revend jamais tes données à des tiers. Aucune donnée n'est transmise à des réseaux publicitaires.

Tes droits

Conformément au RGPD et à la Loi Informatique et Libertés, tu disposes des droits suivants :

  • Accès : obtenir une copie de tes données
  • Rectification : corriger une donnée inexacte
  • Effacement (« droit à l'oubli ») : demander la suppression de tes données
  • Limitation : restreindre certains traitements
  • Opposition : t'opposer à un traitement basé sur l'intérêt légitime
  • Portabilité : recevoir tes données dans un format structuré (JSON)
  • Retrait du consentement : retirer à tout moment un consentement donné

Pour exercer ces droits, écris à dpo@xprovider.fr ou via le formulaire de contact. On te répond sous 30 jours maximum.

En cas de réponse insatisfaisante, tu peux déposer une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.

Sécurité des données

On applique les mesures techniques et organisationnelles suivantes :

  • Chiffrement TLS 1.3 pour toutes les connexions
  • Mots de passe hashés avec bcrypt (cost 12)
  • Séparation des environnements (prod / staging / dev)
  • Accès admin en 2FA obligatoire
  • Sauvegardes chiffrées quotidiennes
  • Logs d'audit des actions admin
  • Formation RGPD annuelle de l'équipe

En cas de violation de données, on te notifie sous 72 heures conformément à l'article 33 RGPD.

Cookies

Le site xprovider.fr utilise uniquement des cookies strictement nécessaires :

  • xp_admin_token : session d'administration (httpOnly, sécurisé, SameSite=Lax, expire 7 jours)

Aucun cookie publicitaire, aucun cookie de tracking tiers (Google Analytics, Facebook Pixel, etc.) n'est déposé. On utilise Plausible Analytics, un outil de mesure d'audience sans cookies, respectueux de la vie privée, hébergé en UE.

Mineurs

Nos services ne sont pas destinés à des personnes de moins de 15 ans. Si tu as moins de 15 ans, fais créer ton compte par un parent ou un tuteur légal.

Transferts hors UE

Les données sont hébergées en France (datacenter Wissous). Les seuls transferts hors UE concernent nos prestataires de paiement (Stripe, Coinbase) et sont encadrés par les clauses contractuelles type de la Commission européenne.

Modifications de cette politique

On peut faire évoluer cette politique pour refléter des changements légaux ou fonctionnels. Les modifications substantielles sont notifiées par email aux clients au moins 30 jours avant leur entrée en vigueur.

Dernière mise à jour : 1er avril 2026

Questions ? dpo@xprovider.fr