Comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : juin 2026 — Version 1.0
Le responsable du traitement des données à caractère personnel collectées via le site vitrine-resa.fr et les services associés est :
Nous collectons uniquement les données strictement nécessaires à chaque finalité identifiée (principe de minimisation, art. 5.1.c RGPD).
| Contexte de collecte | Données traitées | Finalité | Base légale |
|---|---|---|---|
| Formulaire de démo / essai gratuit | Nom complet, adresse e-mail, type de commerce, message | Traitement de la demande, prise de contact, création d'un accès d'essai | |
| Formulaire de contact | Nom complet, adresse e-mail, objet, message | Traitement des demandes d'information et support | |
| Espace client (portail) | Adresse e-mail, mot de passe chiffré (bcrypt), nom du commerce, domaine, dates de contrat | Authentification, accès aux informations du service souscrit, gestion du contrat | Exécution du contrat |
| E-mails transactionnels | Adresse e-mail, prénom/nom | Envoi de confirmations, invitations, liens d'activation, relances d'essai | Exécution du contrat |
| Statistiques d'audience | Données anonymisées (pages vues, pays, type d'appareil) — aucune donnée personnellement identifiable | Amélioration du site, compréhension de l'audience | Intérêt légitime |
| Journaux serveur | Adresse IP (tronquée après 24h), user-agent, horodatage, pages consultées | Sécurité, détection d'abus, débogage technique | Intérêt légitime |
Chaque traitement repose sur l'une des bases légales définies à l'article 6 du RGPD :
Applicable aux formulaires de démo et de contact. Vous pouvez retirer votre consentement à tout moment en nous contactant — le retrait n'affecte pas la licéité des traitements effectués avant ce retrait.
Applicable à la gestion de l'espace client et à l'envoi des e-mails liés au service souscrit. Ces traitements sont indispensables à la fourniture du service ; leur refus rend impossible l'accès à l'espace client.
Applicable aux statistiques d'audience anonymisées et aux journaux serveur. Notre intérêt légitime est l'amélioration du service et la sécurisation de l'infrastructure. Ces traitements ne prévalent pas sur vos droits fondamentaux.
Certaines données peuvent être conservées pour satisfaire à des obligations légales (comptabilité, obligations fiscales, réquisitions judiciaires).
Les données sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées (art. 5.1.e RGPD).
| Catégorie de données | Durée de conservation active | Archivage intermédiaire |
|---|---|---|
| Demandes de démo (prospects non convertis) | 3 ans à compter du dernier contact | Suppression définitive à l'échéance |
| Données de compte client (espace portail) | Durée du contrat | 5 ans après résiliation (obligations comptables) |
| E-mails transactionnels (logs d'envoi) | 1 an | Suppression définitive à l'échéance |
| Formulaire de contact | 3 ans à compter du dernier contact | Suppression définitive à l'échéance |
| Journaux serveur (logs) | 24h pour l'IP complète, puis tronquée | 90 jours (IP tronquée), puis suppression |
| Statistiques d'audience (Umami) | 13 mois glissants | Suppression automatique |
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être partagées avec les sous-traitants suivants, strictement nécessaires à la fourniture du service, liés contractuellement par des clauses de protection des données :
| Sous-traitant | Rôle | Données transmises | Localisation |
|---|---|---|---|
| OVHcloud | Hébergement de l'infrastructure | Toutes les données (stockées chiffrées) | 🇫🇷 France (Roubaix / Gravelines) |
| Brevo (Sendinblue) | Envoi d'e-mails transactionnels | Nom, adresse e-mail, contenu du message | 🇫🇷 France (Paris) — certifié ISO 27001 |
| Umami Analytics (auto-hébergé) | Statistiques d'audience anonymisées | Aucune donnée personnelle (anonymisation totale) | 🇫🇷 France (infrastructure propre) |
| Portainer / Docker | Orchestration des instances clients | Slug client, domaine, variables d'environnement | 🇫🇷 France (infrastructure propre) |
Chaque sous-traitant agit uniquement sur instruction du responsable de traitement et ne peut utiliser les données à ses propres fins (art. 28 RGPD).
Nos infrastructures et nos sous-traitants principaux sont hébergés en France et au sein de l'Union Européenne. Aucun transfert vers un pays tiers n'est effectué de manière intentionnelle.
Dans l'hypothèse exceptionnelle où un transfert hors UE serait nécessaire (ex. : recours à un prestataire tiers), celui-ci sera encadré par l'un des mécanismes de protection prévus par le RGPD :
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants sur vos données personnelles :
Obtenir la confirmation que vos données sont traitées et en recevoir une copie, ainsi que des informations sur le traitement.
Corriger des données inexactes ou incomplètes vous concernant.
Demander la suppression de vos données (« droit à l'oubli »), sous réserve d'obligations légales de conservation.
Recevoir vos données dans un format structuré, lisible par machine et interopérable.
S'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
Restreindre temporairement le traitement de vos données dans certains cas prévus par le RGPD.
Retirer à tout moment un consentement précédemment donné, sans préjudice des traitements antérieurs.
Définir des directives sur le sort de vos données après votre décès (art. 85 de la loi I&L modifiée).
Adressez votre demande par e-mail à contact@vitrine-resa.fr en précisant :
Une réponse vous sera apportée dans un délai maximum d'un mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité ou de nombre important de demandes (art. 12.3 RGPD).
Si vous estimez que vos droits ne sont pas respectés, vous avez la possibilité d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, nous vous informons de l'utilisation des cookies et traceurs sur notre site.
| Nom du cookie / traceur | Type | Finalité | Durée | Consentement requis |
|---|---|---|---|---|
session_token (espace client) |
Maintien de la session authentifiée dans l'espace client | 24 heures (session) | Non — exempté (art. 82 loi I&L) | |
| Umami Analytics | Statistiques anonymisées de navigation (sans données personnelles) | Aucun cookie déposé | Non — anonymisation totale (recommandation CNIL) | |
| Préférence de thème | Mémorisation du choix clair/sombre (localStorage) | Persistant (localStorage) | Non — préférence purement locale |
Le cookie de session est indispensable au fonctionnement de l'espace client — sa désactivation rend l'authentification impossible. Vous pouvez à tout moment supprimer les données stockées localement (localStorage) via les paramètres de votre navigateur :
Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre toute destruction accidentelle ou illicite, perte, altération, divulgation ou accès non autorisé.
HttpOnly, Secure et SameSite=StrictEn cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures suivant la prise de connaissance (art. 33 RGPD) et, si le risque est élevé, à vous en informer sans délai excessif (art. 34 RGPD).
Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise sur la base d'un traitement automatisé de vos données (art. 22 RGPD). Nous ne pratiquons pas de profilage au sens du RGPD.
Les seuls processus automatisés en place sont : l'envoi d'e-mails transactionnels déclenchés par vos actions (activation de compte, relances d'essai) et la surveillance de disponibilité du service (Uptime Kuma), sans profilage individuel.
La présente politique de confidentialité peut être mise à jour afin de refléter des évolutions légales, réglementaires ou techniques. La date de dernière mise à jour est indiquée en tête de page.
En cas de modification substantielle affectant vos droits, nous vous en informerons par e-mail (si vous possédez un compte) ou via une notification visible sur le site, avec un délai raisonnable avant l'entrée en vigueur des changements.
L'utilisation continue du site après notification des modifications vaut acceptation de la politique mise à jour.
Pour toute question relative à la présente politique ou pour exercer vos droits :
Nous nous engageons à traiter votre demande avec soin et à vous répondre dans les délais réglementaires. Si vous n'êtes pas satisfait de notre réponse, vous pouvez saisir la CNIL à l'adresse www.cnil.fr/fr/plaintes.