Politique de confidentialité

1. Responsable du traitement

Le responsable des traitements réalisés dans le cadre du Service, au sens de l'article 4(7) du RGPD, est :

• Entité : [Dénomination sociale de la société]
• Siège social : [Adresse complète]
• Contact : [privacy@example.com]
• Délégué à la protection des données (DPO) : [Nom complet ou service], [dpo@example.com]

2. Catégories de données traitées

L'Éditeur ne traite que les données strictement nécessaires aux finalités poursuivies, en application du principe de minimisation des données énoncé à l'article 5(1)(c) du RGPD. Les catégories de données suivantes peuvent, selon les cas, être traitées :

• données d'identification : nom, prénom, adresse postale, adresse électronique, numéro de téléphone ;
• données de compte et d'authentification : identifiant, mot de passe haché, jetons d'authentification, journaux de connexion ;
• données financières : informations de facturation, historique des transactions (les coordonnées bancaires étant traitées exclusivement par le prestataire de services de paiement certifié) ;
• données d'utilisation : actions réalisées sur le Service, préférences, contenus produits par la Personne concernée ;
• données techniques : adresse IP, identifiant de navigateur, type de terminal, système d'exploitation, langue, cookies et technologies de traçage ;
• données de communication : contenu des échanges avec le support client, enquêtes de satisfaction.

3. Finalités et bases légales

Chaque traitement poursuit une finalité déterminée, explicite et légitime, fondée sur l'une des bases légales prévues à l'article 6(1) du RGPD :

• gestion du Compte, fourniture du Service et exécution du contrat : article 6(1)(b) (exécution du contrat) ;
• facturation, comptabilité et recouvrement des créances : article 6(1)(c) (obligation légale) ;
• sécurité du Service, prévention de la fraude et des abus, journaux d'audit : article 6(1)(f) (intérêt légitime de l'Éditeur à assurer l'intégrité du Service) ;
• mesure d'audience, analyse statistique et amélioration continue du Service : article 6(1)(a) (consentement) lorsqu'il est requis par l'article 82 de la loi Informatique et Libertés, à défaut article 6(1)(f) ;
• envoi de communications commerciales et de lettres d'information : article 6(1)(a) (consentement), avec un droit d'opposition à tout moment et gratuitement ;
• réponse aux demandes d'exercice de droits et à toute réquisition légale : article 6(1)(c) (obligation légale).

4. Destinataires et transferts

Les données à caractère personnel sont destinées aux membres dûment habilités du personnel de l'Éditeur. Elles peuvent également être transmises aux catégories de destinataires suivantes, en leur qualité de sous-traitants agissant sur instructions documentées de l'Éditeur au sens de l'article 28 du RGPD : hébergeur, prestataire de services de paiement, prestataire de messagerie et de CRM, prestataire d'analyse d'audience, prestataires de support technique.

Lorsqu'un transfert de données en dehors de l'Espace économique européen est nécessaire, l'Éditeur veille à ce que ce transfert soit encadré par des garanties appropriées au sens des articles 44 et suivants du RGPD, notamment au moyen des clauses contractuelles types adoptées par la Commission européenne (décision (UE) 2021/914 du 4 juin 2021) ou, le cas échéant, sur le fondement d'une décision d'adéquation.

5. Durées de conservation

Les données à caractère personnel sont conservées pour une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 5(1)(e) du RGPD. À titre indicatif :

• données de compte et contractuelles : pour la durée de la relation contractuelle, puis archivées pour la durée des délais de prescription légaux applicables (en principe cinq (5) ans, article 2224 du Code civil) ;
• données comptables et de facturation : dix (10) ans à compter de la clôture de l'exercice, en application de l'article L.123-22 du Code de commerce ;
• journaux de connexion et données techniques : un (1) an, conformément à l'article L.34-1 du Code des postes et des communications électroniques ;
• prospects : trois (3) ans à compter du dernier contact émanant du prospect, conformément aux recommandations de la CNIL ;
• consentement et preuve du consentement : cinq (5) ans à compter du recueil du consentement ou de son renouvellement.

6. Sécurité

L'Éditeur met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures comprennent notamment le chiffrement des données en transit (TLS) et au repos, un contrôle d'accès strict, la séparation des environnements, la mise à jour régulière des composants, des sauvegardes périodiques et la formalisation d'une procédure de réponse aux incidents.

7. Droits des Personnes concernées

Conformément aux articles 15 à 22 du RGPD, les Personnes concernées disposent des droits suivants :

• droit d'accès à leurs données à caractère personnel ;
• droit de rectification des données inexactes ou incomplètes ;
• droit à l'effacement (droit à l'oubli), dans les limites prévues par la réglementation ;
• droit à la limitation du traitement ;
• droit à la portabilité des données qu'elles ont fournies ;
• droit d'opposition au traitement fondé sur l'intérêt légitime ou réalisé à des fins de prospection ;
• droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant de manière significative la Personne concernée ;
• droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
• droit de formuler des directives relatives au sort de leurs données après leur décès, conformément à l'article 85 de la loi Informatique et Libertés.

Ces droits peuvent être exercés à tout moment, gratuitement, en adressant une demande, accompagnée de tout élément permettant de vérifier l'identité du demandeur, à l'adresse [privacy@example.com] ou par courrier au siège social de l'Éditeur. L'Éditeur répond dans un délai maximal d'un (1) mois, susceptible d'être prolongé de deux (2) mois compte tenu de la complexité et du nombre de demandes, conformément à l'article 12(3) du RGPD.

La Personne concernée dispose également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr.

8. Cookies et technologies similaires

Le dépôt et la lecture de cookies sur le terminal de la Personne concernée sont régis par l'article 82 de la loi n° 78-17 du 6 janvier 1978. Les cookies strictement nécessaires au fonctionnement du Service ou ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique sont dispensés de consentement. Les autres cookies, en particulier ceux de mesure d'audience, de personnalisation ou de publicité, ne sont déposés que sous réserve du consentement préalable, libre, spécifique, éclairé et univoque de la Personne concernée, exprimé via la bannière dédiée. La Personne concernée peut retirer son consentement à tout moment, avec la même simplicité qu'elle l'a donné.

9. Modifications de la Politique de confidentialité

L'Éditeur se réserve le droit de modifier la Politique de confidentialité à tout moment, notamment afin de se conformer aux évolutions réglementaires, jurisprudentielles, éditoriales ou techniques. Toute modification substantielle est notifiée à la Personne concernée par tout moyen approprié avant son entrée en vigueur.