Légal
Politique de confidentialité
1. Introduction
La présente politique de confidentialité décrit la manière dont TrustyData collecte, utilise, stocke et protège les données personnelles des utilisateurs de ses services, conformément au Règlement Général sur la Protection des Données (Règlement UE 2016/679, dit « RGPD ») et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Elle s'applique à l'ensemble des services proposés par TrustyData, notamment le site web trustydata.fr, l'API REST, le serveur MCP (Model Context Protocol), le tableau de bord client, ainsi que toute interaction avec nos services.
2. Responsable du traitement
TrustyData EURL
Représentée par : Hervé Tristram, Gérant
Siège social : 32B rue de labeville, 95690 Nesles-la-Vallée
SIRET : 97988532400017
Email DPO : dpo@trustydata.fr
Site web : trustydata.fr
3. Données personnelles collectées
3.1 Données de compte utilisateur
Lors de la création de votre compte et de la gestion de votre abonnement, nous collectons :
- Nom et prénom
- Adresse email professionnelle
- Nom de l'entreprise ou de l'organisation
- Informations de facturation (coordonnées bancaires traitées par GoCardless pour les mandats SEPA)
- Clé API attribuée
- Identifiant Github pour l'utilisation du serveur MCP
3.2 Données transmises via l'API
Dans le cadre de l'utilisation de nos services d'API (REST ou MCP), vous nous transmettez des données à traiter, telles que :
- Adresses postales françaises
- Adresses email
- Numéros de téléphone
Important : TrustyData agit en qualité de sous-traitant (au sens du RGPD) pour le traitement de ces données. Vous restez responsable du traitement de vos propres données et devez vous assurer de disposer d'une base légale pour nous les transmettre.
3.3 Données de navigation et d'usage
Lors de votre navigation sur trustydata.fr, nous collectons via Matomo (configuré en mode respectueux de la vie privée, sans cookies) :
- Pages visitées et durée de visite
- Type de navigateur et système d'exploitation
- Pays d'origine (sans géolocalisation précise)
- Pages de référence
Note : Matomo est configuré en mode « sans cookies » et ne dépose aucun traceur sur votre terminal. Les adresses IP sont anonymisées. Ce traitement est exempté de consentement conformément aux recommandations de la CNIL.
3.4 Données d'inscription au programme bêta
Si vous vous inscrivez à notre programme bêta via Notion, nous collectons :
- Nom et prénom
- Adresse email
- Cas d'usage envisagé
3.5 Données techniques (logs API)
Pour assurer la qualité et la sécurité du service, nous conservons des journaux techniques des appels API contenant :
- Clé API utilisée (identifiant, sans le secret)
- Horodatage de la requête
- Endpoint appelé et code de réponse HTTP
- Temps de traitement
- Adresse IP d'appel
Les données transmises dans le corps des requêtes (adresses, emails, etc.) ne sont pas stockées dans les logs. Elles sont traitées en mémoire et restituées en temps réel sans persistance.
4. Finalités et bases légales du traitement
| Finalité | Données concernées | Base légale |
|---|---|---|
| Fourniture du service API (validation, normalisation, géocodage) | Données transmises via l'API, clé API | Exécution du contrat (Art. 6.1.b RGPD) |
| Gestion du compte et de l'abonnement | Nom, email, données de facturation | Exécution du contrat (Art. 6.1.b RGPD) |
| Traitement des paiements par prélèvement SEPA | Coordonnées bancaires (via GoCardless) | Exécution du contrat (Art. 6.1.b RGPD) |
| Analyse d'audience du site web | Données de navigation anonymisées (Matomo) | Intérêt légitime (Art. 6.1.f RGPD) |
| Gestion du programme bêta | Nom, email, cas d'usage | Consentement (Art. 6.1.a RGPD) |
| Sécurité et prévention des abus | Logs techniques, adresse IP | Intérêt légitime (Art. 6.1.f RGPD) |
| Automatisation de flux (Make) | Données nécessaires aux workflows configurés | Exécution du contrat (Art. 6.1.b RGPD) |
| Obligations comptables et fiscales | Données de facturation | Obligation légale (Art. 6.1.c RGPD) |
5. Sous-traitants et destinataires des données
Nous faisons appel aux sous-traitants suivants pour le fonctionnement de nos services. Tous sont soumis à des obligations contractuelles conformes au RGPD :
| Sous-traitant | Finalité | Données concernées | Localisation |
|---|---|---|---|
| OVH | Hébergement des serveurs et des données | Toutes les données traitées | France (UE) |
| GoCardless | Gestion des mandats de prélèvement SEPA | IBAN, nom du titulaire, montants | Royaume-Uni / UE |
| Matomo | Analyse d'audience (mode respectueux) | Données de navigation anonymisées | France / UE (auto-hébergé) |
| Make (ex-Integromat) | Automatisation de flux internes | Données techniques de workflow | UE |
| Notion | Gestion des inscriptions bêta | Nom, email, cas d'usage | États-Unis |
| Bubble (Bubble Group, Inc.) | Hébergement de l'Espace Client (tableau de bord) | Données de compte, clés API, consommation, facturation | États-Unis |
Concernant Notion : Notion Labs, Inc. est basé aux États-Unis. Le transfert de données est encadré par le Data Privacy Framework (DPF) UE-États-Unis, auquel Notion adhère. Les données concernées sont limitées aux inscriptions volontaires au programme bêta.
Concernant GoCardless : GoCardless dispose d'entités dans l'UE et est agréé en tant qu'établissement de paiement. Les données bancaires sont traitées conformément à la directive DSP2 et au RGPD.
6. Transferts de données hors Union européenne
L'ensemble de nos données de production (API, comptes utilisateurs, logs) sont hébergées en France chez OVH. Aucun transfert hors de l'Union européenne n'est réalisé pour ces données.
Les transferts vers des pays tiers concernent : (1) les données d'inscription au programme bêta hébergées sur Notion (États-Unis), et (2) les données de compte de l'Espace Client hébergées sur Bubble (États-Unis). Ces deux transferts sont encadrés par le Data Privacy Framework.
7. Durée de conservation des données
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte utilisateur | Durée du contrat + 3 ans après résiliation | Prescription civile |
| Données de facturation | 10 ans après l'exercice fiscal | Obligation comptable (Code de commerce) |
| Logs techniques API | 12 mois glissants | Sécurité et résolution d'incidents |
| Données de navigation (Matomo) | 13 mois | Recommandation CNIL |
| Données transmises via l'API | Aucune conservation (traitement en temps réel) | Minimisation des données |
| Inscriptions programme bêta | Durée du programme + 6 mois | Consentement |
8. Cookies et traceurs
TrustyData ne dépose aucun cookie publicitaire ni traceur tiers sur votre terminal.
Notre outil d'analyse d'audience, Matomo, est configuré en mode « respectueux de la vie privée » :
- Aucun cookie déposé
- Adresses IP anonymisées
- Pas de suivi inter-sites
- Données hébergées en France / UE
Cette configuration est conforme aux recommandations de la CNIL et ne nécessite pas de bannière de consentement.
Des cookies strictement nécessaires au fonctionnement du site (session, authentification) peuvent être utilisés. Ces cookies techniques sont exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés.
9. Sécurité des données
TrustyData met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles.
Mesures techniques :
- Chiffrement des communications via HTTPS/TLS
- Hébergement sur infrastructure OVH certifiée (ISO 27001, SOC 1/2, HDS)
- Clés API chiffrées et hachées en base de données
- Sauvegardes régulières et chiffrées
- Pas de stockage des données transmises dans les requêtes API
Mesures organisationnelles :
- Accès aux données limité au strict nécessaire (principe du moindre privilège)
- Revue régulière des accès et des permissions
- Sensibilisation aux bonnes pratiques de sécurité
10. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Droit d'accès | Obtenir la confirmation que vos données sont traitées et en recevoir une copie |
| Droit de rectification | Faire corriger des données inexactes ou incomplètes vous concernant |
| Droit à l'effacement | Demander la suppression de vos données, sous réserve des obligations légales de conservation |
| Droit à la limitation | Demander la suspension du traitement de vos données dans certains cas |
| Droit à la portabilité | Recevoir vos données dans un format structuré et lisible par machine |
| Droit d'opposition | Vous opposer au traitement fondé sur l'intérêt légitime |
| Retrait du consentement | Retirer votre consentement à tout moment pour les traitements fondés sur celui-ci |
| Directives post-mortem | Définir des directives relatives au sort de vos données après votre décès |
Comment exercer vos droits
Pour exercer l'un de ces droits, contactez-nous :
- Par email : dpo@trustydata.fr
- Par courrier : TrustyData — 32B rue de labeville, 95690 Nesles-la-Vallée
Nous nous engageons à répondre à votre demande dans un délai d'un mois. Ce délai peut être prolongé de deux mois supplémentaires en cas de complexité, auquel cas nous vous en informerons. Nous pourrons vous demander de justifier de votre identité afin de garantir la protection de vos données.
Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation applicable, vous avez le droit d'introduire une réclamation auprès de la CNIL :
- En ligne : cnil.fr
- Par courrier : CNIL — 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
11. Données relatives aux mineurs
Les services de TrustyData sont destinés à un usage professionnel (B2B). Nous ne collectons pas sciemment de données personnelles concernant des personnes mineures. Si nous découvrons qu'un mineur nous a communiqué des données personnelles, nous les supprimerons dans les meilleurs délais.
12. TrustyData en tant que sous-traitant
Lorsque vous utilisez notre API pour traiter des données de vos propres clients (adresses, emails, téléphones), TrustyData agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
À ce titre, nous nous engageons à :
- Ne traiter les données que sur vos instructions documentées
- Ne pas conserver les données transmises au-delà du temps de traitement de la requête
- Garantir la confidentialité des données traitées
- Mettre en œuvre les mesures de sécurité décrites dans la présente politique
- Vous informer en cas de violation de données dans les meilleurs délais
- Supprimer les données à la fin de la prestation sur votre demande
Un accord de traitement des données (DPA — Data Processing Agreement) est accessible sur le Site et s'applique de plein droit à tout client transmettant des données personnelles via l'API ou le Serveur MCP.
13. Notification de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, TrustyData s'engage à :
- Notifier la CNIL dans les 72 heures suivant la découverte de la violation
- Vous informer dans les meilleurs délais si la violation présente un risque élevé pour vos droits
- Documenter toute violation dans un registre interne
14. Modifications de la politique de confidentialité
TrustyData se réserve le droit de modifier la présente politique de confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou par une notification visible sur notre site web.
La date de dernière mise à jour est indiquée en tête du présent document. Nous vous invitons à consulter régulièrement cette page.
15. Nous contacter
TrustyData EURL
Email : dpo@trustydata.fr
Adresse : 32B rue de labeville, 95690 Nesles-la-Vallée
Site web : trustydata.fr