Derniere mise a jour : 18 avril 2026
Politique de confidentialite
Qui traite vos donnees
Le responsable de traitement est :
[{{ Raison sociale }}]
[{{ siege social }}]
SIREN : [{{ A_REMPLIR }}]
Vous pouvez contacter notre Delegue a la Protection des Donnees (DPO) :
- Email : dpo@rgpdsimplement.xyz
- Courrier : DPO — [{{ adresse }}]
Quelles donnees on collecte
A l'inscription
- Email, mot de passe (chiffre via Supabase Auth)
- Nom, prenom (optionnel)
- Nom de l'organisation, SIREN / SIRET
- Informations DPO si renseignees
- Site web, secteur d'activite
Pendant l'usage du service
- Contenu des registres de traitement generes
- Reponses au quiz de maturite RGPD
- Resultats des scans de site (mentions legales, cookies...)
- Journaux techniques (adresse IP, user-agent, actions dans l'app)
Moyens de paiement
Aucune donnee bancaire n'est stockee directement par nous. Les moyens de paiement sont tokenises par Stripe. Nous stockons uniquement un identifiant Stripe, jamais le numero de carte.
Pourquoi on les collecte — bases legales
| Traitement | Finalite | Base legale (art. 6 RGPD) |
|---|---|---|
| Inscription, authentification | Fournir l'acces au service | Execution du contrat |
| Generation de registres | Livrer la prestation | Execution du contrat |
| Facturation, comptabilite | Obligations comptables | Obligation legale |
| Emails transactionnels | Verification, reset, factures | Execution du contrat |
| Analytics (Umami self-hosted) | Ameliorer le service (stats agregees sans cookie) | Interet legitime |
| Emails marketing | Newsletter, conseils | Consentement |
| Securite (logs, anti-abus) | Proteger le service | Interet legitime + art. 32 |
Combien de temps on les garde
| Categorie | Duree de conservation |
|---|---|
| Donnees de compte actif | Jusqu'a suppression par l'utilisateur |
| Donnees de compte supprime | Purge definitive J+30 (periode de grace) |
| Registres generes | Jusqu'a suppression par l'utilisateur (export possible a tout moment) |
| Journaux techniques de securite | 1 an |
| Donnees de facturation | 10 ans (obligation comptable) |
| Prospection non convertie | 3 ans apres dernier contact |
Avec qui on les partage — sous-traitants
Les donnees sont traitees par les sous-traitants listes ci-dessous, lies a nous par un accord de traitement des donnees (DPA) respectant le RGPD :
| Sous-traitant | Role | Localisation | Transfert hors UE |
|---|---|---|---|
| Hetzner Online GmbH | Hebergement | Allemagne (UE) | Non |
| Supabase, Inc. | Auth + BDD | France eu-west-3 | Possible (SCC UE) |
| Anthropic, PBC | IA (Cloclo, generateur) | Etats-Unis | Oui. Retention 30j max par Anthropic, aucun entrainement sur vos donnees. Contrat Zero Data Retention en cours. |
| Stripe Payments Europe Ltd. | Paiement (tokenisation CB) | Irlande (UE) | Non |
| Cloudflare, Inc. | Securite (WAF, anti-DDoS) | US (PoPs UE) | Oui (SCC UE) |
| (Pas de sous-traitant pour les analytics : nous utilisons Umami self-hosted sur notre VPS. Aucun tiers implique.) | — | — | — |
| Kickbox | Validation email a l'inscription | US | Oui (SCC UE) |
Aucune donnee n'est vendue, louee ou cedee a des tiers a des fins publicitaires.
Vos droits
Conformement au RGPD, vous disposez des droits suivants :
- Droit d'acces (art. 15) : savoir ce que nous traitons
- Droit de rectification (art. 16) : corriger
- Droit a l'effacement (art. 17) : supprimer
- Droit a la limitation (art. 18) : geler temporairement
- Droit a la portabilite (art. 20) : recevoir dans un format reutilisable
- Droit d'opposition (art. 21) : refuser
- Droit de retirer votre consentement (art. 7)
- Droit de ne pas faire l'objet d'une decision automatisee (art. 22) : Cloclo et le generateur produisent des suggestions, jamais des decisions definitives sans intervention humaine.
Comment exercer vos droits
- Depuis votre espace : boutons « Exporter mes donnees » et « Supprimer mon compte »
- Par email : dpo@rgpdsimplement.xyz
- Par courrier : DPO, [{{ adresse }}]
Nous nous engageons a repondre dans le delai legal d'1 mois(prolongeable de 2 mois si demande complexe, avec information prealable).
Reclamation aupres de la CNIL
Si vous estimez que vos droits ne sont pas respectes :
- www.cnil.fr/plaintes
- CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Securite
Nous mettons en œuvre les mesures suivantes :
- Chiffrement TLS 1.3 en transit
- Chiffrement AES-256 au repos
- Authentification multi-facteurs disponible
- Journalisation des acces aux donnees sensibles
- Mises a jour regulieres de securite
- Pentests periodiques (Phase 2+)
Intelligence artificielle — transparence
Notre service utilise l'intelligence artificielle (Claude, developpe par Anthropic) pour :
- Generer des projets de registres personnalises
- Animer Cloclo (assistant d'onboarding)
- Suggerer des actions prioritaires de conformite
Ces suggestions ne sont pas des decisions automatisees produisant des effets juridiques au sens de l'article 22 RGPD. Vous conservez la responsabilite finale des registres et decisions adoptes.
Retention Anthropic : a la date du present document, Anthropic conserve les requetes et reponses pendant 30 jours maximum a des fins de securite et de debogage. Vos donnees ne sont jamais utilisees pour entrainer un modele d'IA (politique standard API). Nous travaillons a activer un contrat Zero Data Retention qui eliminera cette periode de 30 jours.
Cookies
Voir notre politique cookies dediee. Resume : aucun cookie publicitaire, analytics sans cookie (Umami self-hosted), pas de bandeau de consentement requis.
Modifications de la politique
Nous pouvons mettre a jour cette politique. La date de derniere modification figure en haut du document. Toute modification substantielle vous sera notifiee par email 30 jours avant son entree en vigueur.