Politique de confidentialité et protection des données personnelles
Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), [Raison sociale] vous informe de la manière dont vos données personnelles sont collectées, traitées et protégées dans le cadre de l'utilisation du site TechAstro.
1. Responsable de traitement
| Champ | Valeur | |---|---| | Dénomination | [Raison sociale] | | Forme juridique | [Forme juridique] | | Siège social | [Adresse complète] | | SIRET | [14 chiffres] | | Contact données personnelles | contact@techastro.fr | | DPO (délégué à la protection des données) | [Nom/prénom ou mention « non désigné »] [À préciser — désignation facultative si effectif < 250 sauf traitements à grande échelle] |
2. Finalités des traitements, bases légales et catégories de données
2.1 Gestion du compte et authentification (espace client)
Finalité : Permettre à l'utilisateur de se connecter à son espace client via un lien magique envoyé par email (authentification sans mot de passe). Maintenir une session sécurisée le temps de la navigation.
Base légale : Exécution d'un contrat ou mesures précontractuelles (RGPD, art. 6.1.b).
Données traitées : Adresse email, métadonnées de connexion (date/heure, identifiant de session), jeton d'authentification à usage unique.
Durée de conservation : Session : [durée, ex. 24 heures]. Traces de connexion : [durée, ex. 12 mois].
2.2 Établissement et gestion des devis
Finalité : Permettre à l'administrateur TechAstro d'établir un devis personnalisé (montant mensuel HT), de le transmettre au client, de suivre son état (en attente / signé / refusé).
Base légale : Exécution d'un contrat ou mesures précontractuelles (RGPD, art. 6.1.b).
Données traitées : Identité et coordonnées du client (nom, prénom ou raison sociale, adresse, email, téléphone), objet et détail de la prestation, montant mensuel HT, date et référence du devis.
Durée de conservation : Durée de la relation commerciale puis [durée, ex. 5 ans] à compter du terme du contrat, au titre des obligations comptables et légales.
2.3 Signature électronique des devis
Finalité : Recueillir le consentement formalisé du client par voie électronique (tracé de signature sur canvas), constituer une preuve de l'acceptation du devis et des conditions contractuelles.
Base légale : Exécution du contrat (RGPD, art. 6.1.b) ; intérêt légitime de [Raison sociale] à conserver une preuve probante de l'accord (art. 6.1.f).
Données traitées : Image de la signature (canvas PNG), horodatage de la signature, adresse IP au moment de la signature, email du signataire, référence du devis signé.
Stockage : Les fichiers de signature sont stockés en dehors de l'arborescence web publique (hors webroot), inaccessibles directement par URL.
Durée de conservation : [Durée, ex. 10 ans] à compter de la signature, conformément au délai de prescription de droit commun (art. 2224 du Code civil) et aux exigences de preuve.
2.4 Gestion de l'abonnement et du paiement
Finalité : Mettre en place et gérer un abonnement mensuel récurrent, effectuer les prélèvements mensuels automatiques via Stripe, relancer en cas d'échec de paiement, permettre la résiliation.
Base légale : Exécution du contrat (RGPD, art. 6.1.b) ; obligation légale pour la conservation des justificatifs comptables (art. 6.1.c).
Données traitées chez TechAstro : Identité du client, email, identifiant client Stripe, montant de l'abonnement, historique des paiements (statut, date, référence Stripe).
Données traitées par Stripe : Stripe, en tant que sous-traitant et opérateur de paiement, traite les données de carte bancaire et effectue la tokenisation. TechAstro ne stocke aucune donnée de carte bancaire ; la tokenisation est assurée intégralement par Stripe Checkout hébergé.
Durée de conservation : Données de paiement et factures : [durée, ex. 10 ans] à compter de l'émission, conformément aux obligations comptables (art. L123-22 du Code de commerce).
2.5 Suivi de projet
Finalité : Permettre au client de consulter l'avancement de ses projets en cours dans l'espace client, et à TechAstro de gérer et documenter les prestations.
Base légale : Exécution du contrat (RGPD, art. 6.1.b).
Données traitées : Intitulé et description du projet, statut, jalons, échanges de suivi, documents liés au projet.
Durée de conservation : Durée du projet puis [durée, ex. 5 ans] à compter du terme de la relation contractuelle.
2.6 Support et contact
Finalité : Traiter les demandes d'assistance, les réclamations et les questions des clients ou prospects.
Base légale : Intérêt légitime de [Raison sociale] à répondre aux sollicitations (art. 6.1.f) ; mesures précontractuelles si la demande précède un contrat (art. 6.1.b).
Données traitées : Email, identité, contenu de la demande.
Durée de conservation : [Durée, ex. 3 ans] à compter du dernier contact.
3. Destinataires et sous-traitants
3.1 Personnel habilité de TechAstro
Seuls les membres du personnel habilités de [Raison sociale] accèdent aux données personnelles dans la limite stricte de leurs attributions.
3.2 Sous-traitants techniques
| Sous-traitant | Rôle | Localisation des serveurs | Transfert hors UE | |---|---|---|---| | Stripe, Inc. | Traitement des paiements, Checkout hébergé, tokenisation carte | USA (siège) / UE (selon région configurée) | [À vérifier] — Stripe peut traiter des données aux États-Unis. Stripe se prévaut du cadre DPF EU–US. Vérifier et mentionner les garanties applicables (clauses contractuelles types / DPF). | | o2switch | Hébergement du site et des données (base de données, fichiers) | France (Clermont-Ferrand) | Non — serveurs France | | [Fournisseur SMTP] | Envoi des emails transactionnels (lien magique, devis, relances) | [À préciser] | [À vérifier selon le prestataire choisi] |
Note RGPD : [Raison sociale] a conclu ou s'engage à conclure avec chaque sous-traitant un contrat de traitement de données conforme à l'article 28 du RGPD.
3.3 Absence de partage à des fins publicitaires
TechAstro ne vend pas, ne loue pas et ne cède pas à des tiers les données personnelles de ses utilisateurs à des fins commerciales ou publicitaires. Aucun réseau publicitaire tiers, CDN externe ou outil de tracking analytics n'est intégré au site.
4. Cookies et traceurs
Le site TechAstro n'utilise aucun cookie publicitaire ou de profilage.
Les seuls cookies déposés sont strictement nécessaires au fonctionnement du service :
| Cookie | Finalité | Durée | |---|---|---| | Session (authentification) | Maintenir la session de l'utilisateur connecté via lien magique | Durée de la session / [durée maximale définie, ex. 24 h] | | [Nom du cookie CSRF si applicable] | Protection contre les attaques CSRF sur les formulaires | Session |
Ces cookies étant strictement nécessaires à la fourniture du service expressément demandé par l'utilisateur, ils ne nécessitent pas de consentement préalable conformément à la recommandation de la CNIL du 17 septembre 2020.
Aucun consentement à des cookies n'est sollicité par le site.
5. Sécurité des données
[Raison sociale] met en oeuvre les mesures techniques et organisationnelles suivantes :
- Authentification sans mot de passe : le lien magique est à usage unique et limité dans le temps, réduisant le risque de compromission de compte.
- Chiffrement des communications : le site est servi exclusivement en HTTPS (TLS).
- Politique de sécurité du contenu (CSP) : en-têtes CSP stricts configurés ; aucune ressource externe (CDN, scripts tiers) n'est chargée depuis les pages du site.
- Stockage des signatures hors webroot : les fichiers de signature électronique sont stockés dans un répertoire non accessible directement par URL.
- Hébergement en France : les données sont hébergées par o2switch sur des serveurs situés en France.
- Accès restreint : seul le personnel habilité de [Raison sociale] dispose d'accès aux interfaces d'administration et aux données.
6. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description | |---|---| | Accès (art. 15) | Obtenir la confirmation que vos données sont traitées et en obtenir une copie. | | Rectification (art. 16) | Faire corriger des données inexactes ou incomplètes. | | Effacement (art. 17) | Demander la suppression de vos données dans les cas prévus par le RGPD. | | Limitation (art. 18) | Obtenir la limitation du traitement dans certains cas. | | Portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine. | | Opposition (art. 21) | Vous opposer à un traitement fondé sur l'intérêt légitime. | | Retrait du consentement | Si un traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans porter atteinte à la licéité des traitements effectués avant ce retrait. |
6.1 Comment exercer vos droits
Toute demande doit être adressée à :
- Par email : contact@techastro.fr
- Par courrier : [Raison sociale] — Traitement des données personnelles — [Adresse complète]
Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de la demande (délai extensible à trois mois en cas de demandes complexes ou nombreuses, avec information préalable).
Une pièce justificative d'identité pourra être demandée pour traiter votre demande.
6.2 Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles n'est pas conforme au RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 Site : https://www.cnil.fr
7. Modifications de la présente politique
[Raison sociale] se réserve le droit de modifier la présente politique à tout moment afin de refléter des évolutions légales ou des changements dans les traitements mis en oeuvre.
La date de dernière mise à jour figure en bas de page. En cas de modification substantielle, les utilisateurs disposeront d'un compte actif seront informés par email.
Dernière mise à jour : [date de mise en ligne]
AVERTISSEMENT — USAGE INTERNE Ce document est un brouillon de travail. Les champs entre
[crochets]doivent être complétés avant toute mise en ligne, notamment : coordonnées du responsable de traitement, DPO (ou mention de non-désignation), fournisseur SMTP, durées de conservation, situation des transferts Stripe hors UE.[À FAIRE VALIDER PAR UN JURISTE AVANT MISE EN LIGNE]