Politique de confidentialité
La présente Politique de confidentialité décrit comment GASPARD STUDIO, éditeur du service Suiva (ci-après « nous »), collecte, utilise et protège les données personnelles des utilisateurs du Service, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.
1. Responsable de traitement
Le responsable de traitement est :
GASPARD STUDIO (EURL)
30 rue Maurice Ravel, 37270 Azay-sur-Cher, France
RCS Tours : 992 756 528
Voir les mentions légales pour les coordonnées complètes.
2. Délégué à la protection des données (DPO)
Pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits, vous pouvez contacter notre Délégué à la protection des données à l'adresse suivante :
3. Données collectées
Nous collectons les catégories de données suivantes :
- Données d'identification : prénom, nom, adresse email, numéro de téléphone
- Données de connexion : identifiant de session, adresse IP au moment de l'acceptation des CGU, user-agent
- Données de consentement : date et version des CGU acceptées
- Données métier : informations saisies dans le Service (commandes, fournisseurs, clients, livraisons)
- Données de support : contenu des demandes adressées au support et historique des échanges
4. Finalités et bases légales
| Finalité | Base légale | Durée de conservation |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat (art. 6.1.b RGPD) | Durée de la relation contractuelle + 3 ans |
| Authentification et sécurité | Intérêt légitime (art. 6.1.f RGPD) | Durée de la relation contractuelle |
| Envoi d'emails transactionnels (inscription, réinitialisation mot de passe) | Exécution du contrat | Durée de la relation contractuelle |
| Gestion des commandes et livraisons fournisseurs | Exécution du contrat | Durée de la relation contractuelle + 3 ans |
| Facturation et comptabilité | Obligation légale (art. 6.1.c RGPD) | 10 ans (art. L123-22 Code de commerce) |
| Preuve du consentement | Obligation légale (RGPD) | Durée de la relation contractuelle + 3 ans |
| Support client | Intérêt légitime | 3 ans après le dernier contact |
5. Destinataires des données
Vos données sont accessibles aux personnes habilitées de GASPARD STUDIO dans le cadre strict de leurs missions.
Nous faisons également appel aux sous-traitants techniques suivants, tous liés par un accord de traitement de données (DPA) conforme au RGPD :
- Hébergement : CLEVER CLOUD SAS - 4 rue Voltaire, 44000 Nantes, France. Hébergement des données dans des datacenters situés en Union européenne.
- Envoi d'emails transactionnels : Hostinger (serveurs situés en Union européenne).
6. Transferts hors Union européenne
Nos sous-traitants principaux (hébergement, emails transactionnels) sont localisés dans l'Union européenne. Aucun transfert de données hors de l'Espace économique européen (EEE) n'est effectué sans garanties appropriées : décision d'adéquation de la Commission européenne, clauses contractuelles types (CCT) ou règles d'entreprise contraignantes (BCR).
7. Sécurité des données
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données :
- Chiffrement des communications (HTTPS/TLS sur l'ensemble du Service)
- Hachage des mots de passe avec un algorithme réputé (bcrypt)
- Protection contre les attaques par force brute (rate limiting)
- Protection CSRF, isolation des sessions, invalidation automatique sur changement de mot de passe
- Contrôle d'accès strict selon le principe du moindre privilège
- Journalisation des événements de sécurité
- Sauvegardes régulières (complète hebdomadaire, incrémentielle quotidienne) conservées au minimum 30 jours
8. Notification de violation de données
Conformément à l'article 33 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, nous nous engageons à :
- notifier la violation à la CNIL dans un délai de 72 heures après en avoir pris connaissance ;
- documenter la violation, ses effets et les mesures prises ;
- informer les personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés, conformément à l'article 34 du RGPD.
9. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir une copie des données que nous détenons sur vous
- Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes
- Droit à l'effacement (art. 17, « droit à l'oubli ») : demander la suppression de vos données
- Droit à la limitation du traitement (art. 18) : suspendre temporairement le traitement
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et couramment utilisé
- Droit d'opposition (art. 21) : vous opposer au traitement pour motif légitime
- Droit de retirer votre consentement à tout moment pour les traitements qui en dépendent
Pour exercer ces droits, vous pouvez :
- utiliser les fonctionnalités dédiées dans votre espace personnel (export et suppression de compte) ;
- contacter notre DPO par email à dpo@suiva.fr.
Nous nous engageons à répondre à votre demande dans un délai maximum d'un (1) mois à compter de sa réception, conformément à l'article 12.3 du RGPD.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
11. Politique cookies
Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement, dispensés de consentement en application de l'article 82 de la loi Informatique et Libertés et des lignes directrices de la CNIL.
| Cookie | Finalité | Durée |
|---|---|---|
PHPSESSID | Identification de la session utilisateur (authentification) | Durée de la session |
| Jeton CSRF | Protection contre les attaques Cross-Site Request Forgery | Durée de la session |
Aucun cookie de mesure d'audience, de publicité ou de traçage tiers n'est utilisé à ce jour. Si nous venions à en ajouter (par exemple Google Analytics, Matomo, Hotjar, etc.), votre consentement préalable serait recueilli via une bannière dédiée conformément aux recommandations de la CNIL, et la présente Politique serait mise à jour pour en détailler les finalités et les durées.
12. Modifications
Nous nous réservons le droit de modifier la présente Politique de confidentialité à tout moment pour tenir compte des évolutions légales, réglementaires ou fonctionnelles. Toute modification substantielle vous sera notifiée par email ou via un avertissement dans le Service, et le cas échéant, votre consentement sera de nouveau sollicité.
Dernière mise à jour : Avril 2026