🔒 Politique de Confidentialité

Dernière mise à jour : 15 janvier 2025 | Entrée en vigueur : 15 janvier 2025

Nous respectons votre vie privée. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles conformément au RGPD.

📋 Table des Matières

  1. Introduction & Responsable du Traitement
  2. Données Collectées
  3. Finalités du Traitement
  4. Base Légale du Traitement
  5. Cookies & Technologies de Suivi
  6. Partage des Données
  7. Durée de Conservation
  8. Sécurité des Données
  9. Vos Droits (RGPD)
  10. Données des Mineurs
  11. Transferts Internationaux
  12. Modifications de la Politique
  13. Contact & DPO

1. Introduction & Responsable du Traitement

La présente politique de confidentialité décrit comment [Nom de votre entreprise] (ci-après "nous", "notre", "le Site") collecte, utilise, stocke et protège vos données personnelles lors de votre utilisation de notre site web [URL du site].

🏢 Responsable du Traitement

Raison sociale [Nom de votre entreprise]
Forme juridique [SARL, SAS, Auto-entrepreneur, etc.]
Siège social [Adresse complète]
Email contact@votresite.fr
Téléphone [Numéro de téléphone]
SIRET [Numéro SIRET]
📌 Important : En utilisant ce site, vous acceptez les termes de cette politique de confidentialité. Si vous n'acceptez pas ces conditions, veuillez ne pas utiliser notre site.

2. Données Personnelles Collectées

📝 Données que Vous Nous Fournissez Directement

A. Formulaire de Contact

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Entreprise / Fonction (optionnel)
  • Message / Demande

B. Inscription Newsletter

  • Adresse email
  • Prénom (optionnel)
  • Préférences thématiques (optionnel)

C. Demande de Devis / Audit

  • Informations professionnelles : Nom, prénom, entreprise, fonction
  • Coordonnées : Email, téléphone
  • Informations projet : URL du site, budget, deadline
  • Besoins spécifiques décrits dans le formulaire

D. Commentaires Blog (si activés)

  • Nom / Pseudo
  • Adresse email
  • Site web (optionnel)
  • Contenu du commentaire
  • Adresse IP (anti-spam)

🤖 Données Collectées Automatiquement

A. Données de Connexion & Navigation

  • Adresse IP (anonymisée après 30 jours)
  • Type de navigateur et version
  • Système d'exploitation
  • Pages visitées et durée de visite
  • Source de trafic (moteur de recherche, lien direct, réseaux sociaux)
  • Résolution d'écran et type d'appareil (desktop, mobile, tablette)
  • Heure et date de connexion

B. Cookies & Traceurs

Voir section détaillée Cookies & Technologies de Suivi.

Type de Cookie Finalité Durée Consentement
Cookies Essentiels Fonctionnement du site (session, sécurité) Session ❌ Non requis
Cookies Analytics Mesure audience (Google Analytics, Matomo) 13 mois ✅ Requis
Cookies Marketing Publicité ciblée (Google Ads, Facebook Pixel) 13 mois ✅ Requis
Cookies Préférences Mémorisation choix utilisateur (langue, thème) 12 mois ❌ Non requis
🔍 Transparence : Nous ne collectons aucune donnée sensible (origine ethnique, opinions politiques, santé, orientation sexuelle, données biométriques) sans votre consentement explicite et justification légale.

3. Finalités du Traitement des Données

Nous utilisons vos données personnelles uniquement pour les finalités suivantes :

🎯 Finalités Principales

Finalité Données Utilisées Base Légale
Répondre à vos demandes (contact, devis) Nom, email, téléphone, message Consentement + Intérêt légitime
Envoi newsletter (actualités, conseils SEO) Email, prénom, préférences Consentement (opt-in)
Analyse du trafic (amélioration UX) IP anonymisée, pages vues, comportement Intérêt légitime
Sécurité du site (anti-spam, anti-fraude) IP, user-agent, logs serveur Intérêt légitime
Gestion commentaires (modération) Nom, email, IP, commentaire Consentement + Intérêt légitime
Ciblage publicitaire (remarketing) Cookies tiers (Google, Meta) Consentement (cookie banner)
Obligations légales (facturation, comptabilité) Coordonnées, historique transactions Obligation légale
✅ Principe de minimisation : Nous collectons uniquement les données strictement nécessaires aux finalités déclarées. Aucune donnée superflue n'est demandée.

4. Base Légale du Traitement (RGPD)

Conformément à l'article 6 du Règlement Général sur la Protection des Données (RGPD), tout traitement de données doit reposer sur une base légale. Voici les nôtres :

⚖️ Bases Légales Applicables

1️⃣ Consentement (Art. 6.1.a RGPD)

  • Newsletter : Case à cocher obligatoire (double opt-in)
  • Cookies analytics/marketing : Acceptation via bandeau cookies
  • Commentaires blog : Consentement implicite à publication

→ Vous pouvez retirer votre consentement à tout moment via lien désabonnement ou paramètres cookies.

2️⃣ Intérêt Légitime (Art. 6.1.f RGPD)

  • Analyse trafic : Améliorer ergonomie et contenu du site
  • Sécurité : Prévenir spam, fraude, attaques DDoS
  • Prospection B2B : Contact entreprises (hors B2C)

→ Vous pouvez vous opposer via formulaire contact.

3️⃣ Exécution d'un Contrat (Art. 6.1.b RGPD)

  • Prestation services : Audit SEO, consulting → Données nécessaires facturation/livraison

4️⃣ Obligation Légale (Art. 6.1.c RGPD)

  • Comptabilité : Conservation factures 10 ans (Code du Commerce)
  • Fiscalité : Déclarations TVA, impôts
📌 Test d'équilibre (intérêt légitime) : Nos intérêts ne prévalent jamais sur vos droits fondamentaux. Données sensibles = consentement explicite obligatoire.

5. Cookies & Technologies de Suivi

🍪 Qu'est-ce qu'un Cookie ?

Un cookie est un petit fichier texte déposé sur votre appareil lors de votre visite. Il permet de mémoriser vos préférences et d'analyser l'usage du site.

📊 Cookies Utilisés sur ce Site

A. Cookies Essentiels (Exemptés de Consentement)

Nom Finalité Durée
PHPSESSID Gestion session utilisateur Session (fermeture navigateur)
cookie_consent Mémorisation choix cookies 13 mois
csrf_token Protection contre attaques CSRF Session

B. Cookies Analytics (Consentement Requis)

Outil Cookies Finalité Durée
Google Analytics 4 _ga, _ga_* Mesure audience, pages vues, taux rebond 24 mois
Matomo (alternative) _pk_id, _pk_ses Analytics respectueux vie privée (hébergé EU) 13 mois

IP anonymisées (dernier octet masqué) conformément CNIL.

C. Cookies Marketing (Consentement Requis)

Outil Cookies Finalité Durée
Google Ads _gcl_au Suivi conversions publicités 90 jours
Meta Pixel (Facebook) _fbp, _fbc Remarketing publicitaire 90 jours
LinkedIn Insight li_fat_id Ciblage publicités B2B 30 jours

🛠️ Gestion de Vos Cookies

3 façons de gérer vos cookies :

  1. Bandeau cookies : Accepter/Refuser lors de votre première visite (choix mémorisé 13 mois)
  2. Paramètres navigateur :
    • Chrome : Paramètres → Confidentialité → Cookies
    • Firefox : Préférences → Vie privée → Cookies
    • Safari : Préférences → Confidentialité → Bloquer cookies
  3. Outils tiers : Your Online Choices (opt-out publicitaire)
⚠️ Important : Refuser les cookies essentiels peut altérer le fonctionnement du site (formulaires, sécurité). Les cookies analytics/marketing sont optionnels.

6. Partage et Divulgation des Données

🤝 Destinataires de Vos Données

Principe : Vos données ne sont jamais vendues à des tiers. Elles peuvent être partagées uniquement dans les cas suivants :

A. Prestataires Techniques (Sous-Traitants RGPD)

Prestataire Service Données Partagées Localisation
OVH / AWS / [Hébergeur] Hébergement site web Toutes données site (logs, bases) 🇫🇷 France (EU)
Google (Analytics, Ads) Mesure audience, publicité IP anonymisée, comportement 🇺🇸 USA (clauses contractuelles types)
Brevo / Sendinblue Envoi emails (newsletter) Email, prénom, statut abonnement 🇫🇷 France (EU)
Stripe / PayPal Paiement en ligne Coordonnées bancaires (chiffrées) 🇪🇺 EU / 🇺🇸 USA (PCI-DSS)
Cloudflare CDN, protection DDoS IP, logs connexion 🇪🇺 Centres EU

DPA signés : Tous nos sous-traitants ont signé un Data Processing Agreement (accord RGPD) garantissant sécurité et confidentialité.

B. Obligations Légales

Nous pouvons divulguer vos données si requis par :

  • Autorités judiciaires (tribunal, police) sur réquisition légale
  • Administration fiscale (contrôle fiscal)
  • CNIL (contrôle RGPD)

C. Transfert d'Activité

En cas de fusion, acquisition ou cession d'activité, vos données peuvent être transférées au repreneur (vous serez informés 30 jours avant, droit d'opposition applicable).

🔒 Garantie : Aucun partage de données à des fins commerciales tierces (vente listes emails, prospection externe). Vos données restent sous notre contrôle exclusif.

7. Durée de Conservation des Données

Conformément au principe de limitation de la conservation (art. 5 RGPD), nous conservons vos données uniquement le temps nécessaire aux finalités.

📅 Durées de Conservation par Finalité

Type de Données Durée Active Durée Archivage Base Légale Conservation
Formulaire contact 3 ans (inactivité) - Intérêt légitime (prospection)
Newsletter Jusqu'à désabonnement - Consentement
Clients / Factures 3 ans (fin contrat) 10 ans Obligation légale (comptabilité)
Logs serveur / IP 12 mois - Sécurité (directive ePrivacy)
Cookies analytics 13 mois - Recommandation CNIL
Commentaires blog Indéfini (sauf suppression demandée) - Intérêt légitime (contenu public)
Devis non-signés 2 ans - Prospection

🗑️ Suppression Automatique

À l'expiration des délais :

  • Suppression automatique des bases de données actives
  • Archivage sécurisé si obligation légale (accès restreint)
  • Anonymisation irréversible des données analytics après 26 mois
⏰ Inactivité = Suppression : Profil newsletter inactif 3 ans (aucune ouverture email) → Suppression automatique + email notification 30 jours avant.

8. Sécurité des Données

🔐 Mesures de Sécurité Techniques

A. Protection Infrastructure

  • Certificat SSL/TLS (HTTPS obligatoire) → Chiffrement communications
  • Firewall applicatif (WAF) → Protection attaques (SQL injection, XSS)
  • Sauvegardes quotidiennes chiffrées (rétention 30 jours)
  • Mises à jour sécurité automatiques (CMS, plugins, serveur)
  • Monitoring 24/7 → Détection intrusions, alertes temps réel

B. Protection Accès Données

  • Authentification multi-facteurs (2FA) pour admins
  • Mots de passe chiffrés (bcrypt, SHA-256)
  • Principe du moindre privilège → Accès données strictement nécessaires
  • Journalisation accès (logs audits conservés 12 mois)
  • Chiffrement bases de données sensibles (AES-256)

C. Conformité Standards

  • ISO 27001 (hébergeur certifié)
  • PCI-DSS (paiements bancaires via Stripe/PayPal)
  • HDS (si données santé) → Non applicable notre cas

🚨 En Cas de Violation de Données

Procédure RGPD (art. 33-34) :

  1. Détection : Identification faille ≤ 24h
  2. Notification CNIL : ≤ 72h si risque utilisateurs
  3. Information utilisateurs : Email immédiat si risque élevé (données sensibles compromises)
  4. Mesures correctives : Patch faille + audit sécurité complet

Historique : Aucune violation de données depuis création du site (mis à jour chaque année).

👤 Votre Responsabilité :
  • Choisir un mot de passe fort (12+ caractères, complexe)
  • Ne jamais partager vos identifiants
  • Signaler toute activité suspecte : securite@votresite.fr

9. Vos Droits (RGPD)

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants concernant vos données personnelles :

⚖️ Liste Complète de Vos Droits

1️⃣ Droit d'Accès (Art. 15 RGPD)

Obtenir confirmation que nous traitons vos données + copie de celles-ci.

  • Informations fournies : Finalités, catégories données, destinataires, durée conservation
  • Délai réponse : 30 jours (gratuit 1×/an, peut être facturé si demandes abusives)

2️⃣ Droit de Rectification (Art. 16 RGPD)

Corriger données inexactes ou compléter données incomplètes.

  • Exemple : Changement adresse email, correction nom/prénom
  • Délai : Modification sous 48h

3️⃣ Droit à l'Effacement / "Droit à l'oubli" (Art. 17 RGPD)

Supprimer vos données dans les cas suivants :

  • Données plus nécessaires aux finalités
  • Retrait consentement (newsletter)
  • Opposition au traitement légitime
  • Traitement illicite

Exceptions : Obligation légale (factures 10 ans), exercice droits en justice, intérêt public.

4️⃣ Droit à la Limitation du Traitement (Art. 18 RGPD)

Geler temporairement le traitement de vos données (données conservées mais non utilisées).

  • Cas : Contestation exactitude données, traitement illicite, besoin données pour défense droits

5️⃣ Droit à la Portabilité (Art. 20 RGPD)

Récupérer vos données dans un format structuré (CSV, JSON, XML) pour transfert à un autre service.

  • Conditions : Traitement automatisé basé sur consentement ou contrat
  • Exemple : Export liste contacts newsletter

6️⃣ Droit d'Opposition (Art. 21 RGPD)

Refuser traitement basé sur intérêt légitime (prospection, analytics).

  • Opposition prospection : Droit absolu (doit être acceptée)
  • Opposition analytics : Possible via paramètres cookies

7️⃣ Droit de ne Pas Faire l'Objet d'une Décision Automatisée (Art. 22 RGPD)

Refuser décisions 100% automatiques ayant effets juridiques (scoring, profilage).

  • Non applicable sur ce site (pas de profilage automatisé).

8️⃣ Droit de Définir Directives Post-Mortem (Art. 40-1 Loi Informatique & Libertés)

Indiquer sort de vos données après décès (conservation, suppression, transmission héritiers).

📧 Comment Exercer Vos Droits ?

3 méthodes :

  1. Email : dpo@votresite.fr (objet: "Exercice droit RGPD")
  2. Formulaire dédié : votresite.fr/exercer-mes-droits/
  3. Courrier postal : [Adresse complète] (recommandé avec AR si litige)

📎 Pièces à fournir :

  • Copie pièce d'identité (pour vérification)
  • Précision droit exercé (accès, rectification, effacement...)
  • Email associé au compte (si applicable)

⏱️ Délais de Réponse :

  • Standard : 30 jours (1 mois)
  • Complexe : 90 jours max (prolongation justifiée par email)
  • Urgence : Violation données = réponse immédiate
🚫 Refus de Demande : Si nous refusons votre demande (ex: obligation légale conservation), nous justifierons par écrit. Vous pouvez alors saisir la CNIL : cnil.fr/plaintes

10. Données des Mineurs

Ce site n'est pas destiné aux personnes de moins de 16 ans (âge du consentement numérique en France, art. 45 Loi Informatique & Libertés).

👶 Protection des Mineurs

  • Pas de collecte intentionnelle de données d'enfants < 16 ans
  • Consentement parental requis si utilisateur mineur identifié
  • Suppression immédiate si données mineurs détectées sans consentement parental
🚸 Parents / Tuteurs : Si vous pensez que votre enfant a fourni des données personnelles sur ce site, contactez-nous immédiatement : dpo@votresite.fr → Suppression sous 48h.

11. Transferts Internationaux de Données

Certains de nos prestataires (ex: Google, Meta) sont situés hors Union Européenne, principalement aux États-Unis.

🌍 Garanties Juridiques (Post-Schrems II)

Suite à l'invalidation du Privacy Shield (juillet 2020), nous nous appuyons sur :

1️⃣ Clauses Contractuelles Types (CCT)

  • Définition : Contrats approuvés par Commission Européenne garantissant niveau protection équivalent RGPD
  • Prestataires : Google (Analytics, Ads), Stripe, PayPal
  • Validation : CCT 2021 (décision EU 2021/914)

2️⃣ Décisions d'Adéquation

  • Pays reconnus "sûrs" par UE : Royaume-Uni, Suisse, Canada, Japon, etc.
  • USA : Pas de décision d'adéquation (Privacy Shield invalidé) → CCT obligatoires

3️⃣ Mesures Supplémentaires (Recommandations CEPD)

  • Anonymisation IP Google Analytics (dernier octet masqué)
  • Chiffrement transit (TLS 1.3)
  • Minimisation données transférées (strict nécessaire)
  • Audits réguliers prestataires (compliance RGPD)

🛡️ Votre Contrôle sur Transferts

Vous pouvez refuser transferts USA en :

  1. Refusant cookies analytics/marketing (bandeau cookies)
  2. Utilisant VPN européen (données routées EU uniquement)
  3. Demandant limitation traitement (email DPO)

Impact : Fonctionnalités analytics désactivées, pas de publicité ciblée.

Prestataire Pays Garantie Données Transférées
OVH 🇫🇷 France ✅ Union Européenne Toutes données site
Google (Analytics) 🇺🇸 USA ⚠️ CCT 2021 + IP anonymisée Comportement navigation (anonymisé)
Brevo 🇫🇷 France ✅ Union Européenne Emails, prénoms abonnés
Stripe 🇺🇸 USA ⚠️ CCT + PCI-DSS Coordonnées bancaires (chiffrées)
Cloudflare 🇪🇺 EU ✅ Centres données EU IP, logs (cache CDN)

12. Modifications de la Politique

Nous nous réservons le droit de modifier cette politique de confidentialité pour refléter changements législatifs, évolutions techniques ou amélioration services.

📢 Notification des Changements

Changements Mineurs (Précisions, Corrections)

  • Notification : Mention "Mis à jour le [date]" en haut de page
  • Historique : Accessible via lien "Voir historique versions"
  • Email : Non (sauf demande explicite)

Changements Majeurs (Nouvelles Finalités, Destinataires)

  • Email notification 30 jours avant entrée en vigueur
  • Bandeau site visible 15 jours
  • Nouveau consentement requis si changement finalités (popup)
🕐 Historique Modifications :
  • 15 janvier 2025 : Version initiale publiée
  • (Versions futures apparaîtront ici)

→ Consulter l'historique complet des versions

⚠️ Refus Modifications : Si vous refusez les nouvelles conditions, vous pouvez :
  • Cesser d'utiliser le site
  • Demander suppression compte (droit à l'effacement)
  • Conserver ancienne version (si applicable - ex: newsletter uniquement)

13. Contact & Délégué à la Protection des Données

📧 Nous Contacter

Pour toute question concernant cette politique ou vos données personnelles :

Email général contact@votresite.fr
Email DPO (RGPD) dpo@votresite.fr
Téléphone [Numéro téléphone] (Lun-Ven 9h-18h)
Courrier postal [Nom entreprise]
Service Protection Données
[Adresse complète]
[Code postal + Ville]
France
Formulaire contact votresite.fr/contact/

👤 Délégué à la Protection des Données (DPO)

Nom : [Nom DPO ou "Non désigné" si < 250 salariés et pas de traitement sensible]
Email : dpo@votresite.fr
Missions : Conseil conformité RGPD, réponse réclamations, liaison CNIL

📌 Obligation DPO :

  • Obligatoire si : Autorité publique, traitement massif données sensibles, surveillance systématique
  • Optionnel si : PME < 250 salariés, traitement occasionnel, pas de données sensibles massives

→ Notre situation : [À compléter selon votre cas]

🏛️ Autorité de Contrôle (Réclamation)

Si vous estimez que vos droits ne sont pas respectés, vous pouvez déposer plainte auprès de la CNIL :

Organisme Commission Nationale de l'Informatique et des Libertés (CNIL)
Adresse 3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
France
Téléphone +33 (0)1 53 73 22 22
Formulaire en ligne cnil.fr/fr/plaintes
⏱️ Délais Traitement Réclamation CNIL :
  • Accusé réception : Sous 15 jours
  • Traitement complet : 3 à 6 mois (selon complexité)
  • Médiation : Possible avant contrôle formel