1. Who We Are
Hexanion is a SASU registered in France. We operate the Signal platform — a cyber threat intelligence service that provides automated exposure profiling and threat monitoring for small and mid-sized businesses. "We", "us", and "our" refer to Hexanion.
For any data-related question or request, contact us at support@hexanion.fr.
2. What We Collect and Why
Account data
When you create an account we collect your name and email address. If you sign up via Google OAuth, we receive the name and email from your Google profile. This is required to identify you, send security alerts, and manage your subscription.
Domain and scan data
When you submit a domain for discovery or a full Signal scan, we store the domain name and results (subdomains, open ports, certificates, technology stack, etc.). This data is the core of the service and is associated with your account.
Technical data
We collect your IP address and standard HTTP headers when you access our service. This is used for security, abuse prevention, and session management.
Usage data
We may use privacy-first, cookieless analytics to understand aggregate traffic patterns. No personal identifiers are used in analytics.
3. Payment Data
We do not process or store any payment card information on our servers. All payments, billing, and invoicing are handled exclusively by our Merchant of Record, Lemon Squeezy (Lemon Squeezy LLC). When you subscribe to Signal, you interact directly with Lemon Squeezy's secure payment infrastructure. Lemon Squeezy is responsible for PCI-DSS compliance on all payment transactions. We only receive confirmation that a payment was successful and the subscription tier purchased.
4. Legal Basis (GDPR)
We process your data on the following legal bases:
- Contract performance — account and scan data are necessary to deliver the service.
- Legitimate interest — IP address and technical data for security and fraud prevention.
- Consent — marketing communications, if any, require your explicit opt-in.
5. Data Retention
We retain your account data for as long as your account is active. When you delete your account, your personal data is deleted within 30 days. Anonymized, aggregated scan statistics may be retained indefinitely.
6. Data Sharing
We do not sell your personal data. We share data only with the following sub-processors:
- Hetzner Online GmbH — infrastructure and hosting (EU).
- Lemon Squeezy LLC — payment processing and subscription management.
7. Cookies
We only use strictly necessary cookies — specifically, a session cookie required to keep you logged in. We do not use advertising cookies, cross-site tracking cookies, or any cookies that require a consent banner under the ePrivacy Directive.
8. Your Rights
Under GDPR, you have the right to access, rectify, delete, or export your personal data at any time. Email us at support@hexanion.fr and we will respond within 30 days.
You also have the right to lodge a complaint with the French data protection authority, the CNIL (cnil.fr).
9. Changes to This Policy
If we make material changes, we will notify active users by email before the changes take effect. The "last updated" date at the top reflects the most recent revision.
1. Qui sommes-nous
Hexanion est une SASU immatriculée en France. Nous exploitons la plateforme Signal — un service de cyber threat intelligence fournissant un profilage d'exposition automatisé et une surveillance des menaces pour les PME. « Nous » désigne la société Hexanion.
Pour toute question relative à vos données, contactez-nous à support@hexanion.fr.
2. Ce que nous collectons et pourquoi
Données de compte
Lors de la création d'un compte, nous collectons votre nom et adresse e-mail. En cas d'inscription via Google OAuth, nous recevons les informations de votre profil Google. Ces données sont nécessaires pour vous identifier, vous envoyer des alertes de sécurité et gérer votre abonnement.
Données de domaine et d'analyse
Lorsque vous soumettez un domaine pour une découverte ou une analyse Signal complète, nous stockons le nom de domaine et les résultats (sous-domaines, ports ouverts, certificats, stack technologique, etc.). Ces données constituent le cœur du service et sont associées à votre compte.
Données techniques
Nous collectons votre adresse IP et les en-têtes HTTP standards lors de votre accès au service, à des fins de sécurité, de prévention des abus et de gestion de session.
Données d'utilisation
Nous pouvons utiliser des outils d'analyse respectueux de la vie privée, sans cookies, pour comprendre les tendances de trafic agrégées. Aucun identifiant personnel n'est utilisé dans ces analyses.
3. Données de paiement
Nous ne traitons ni ne stockons aucune information de carte bancaire sur nos serveurs. L'ensemble des paiements, de la facturation et de la conformité fiscale est géré exclusivement par notre Merchant of Record, Lemon Squeezy (Lemon Squeezy LLC). Lorsque vous souscrivez à Signal, vous interagissez directement avec l'infrastructure de paiement sécurisée de Lemon Squeezy, qui est responsable de la conformité PCI-DSS. Nous recevons uniquement la confirmation du succès du paiement et de l'offre souscrite.
4. Base légale (RGPD)
Nous traitons vos données sur les bases légales suivantes :
- Exécution du contrat — les données de compte et d'analyse sont nécessaires à la fourniture du service.
- Intérêt légitime — adresse IP et données techniques à des fins de sécurité et de prévention de la fraude.
- Consentement — toute communication marketing est soumise à votre accord explicite.
5. Conservation des données
Vos données de compte sont conservées tant que votre compte est actif. En cas de suppression de compte, vos données personnelles sont effacées dans un délai de 30 jours. Des statistiques anonymisées et agrégées peuvent être conservées indéfiniment.
6. Partage des données
Nous ne vendons pas vos données personnelles. Nous les partageons uniquement avec les sous-traitants suivants :
- Hetzner Online GmbH — infrastructure et hébergement (UE).
- Lemon Squeezy LLC — traitement des paiements et gestion des abonnements.
7. Cookies
Nous utilisons uniquement des cookies strictement nécessaires — un cookie de session pour maintenir votre connexion. Nous n'utilisons pas de cookies publicitaires, de traçage inter-sites, ni aucun cookie nécessitant un bandeau de consentement au titre de la directive ePrivacy.
8. Vos droits
Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement et de portabilité de vos données personnelles. Pour exercer ces droits, contactez-nous à support@hexanion.fr. Nous répondrons dans un délai de 30 jours.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL (cnil.fr).
9. Modifications
En cas de modification substantielle de cette politique, nous informerons les utilisateurs actifs par e-mail avant l'entrée en vigueur des changements. La date de mise à jour en haut de cette page indique la dernière révision.