RGPD
Politique de Confidentialité
Version preprod du 18 mai 2026 — sera revue par DPO externe avant ouverture BETA externe.
1. Responsable du traitement
Cleatis SARL, en qualité de responsable du traitement au sens de l'article 4 du RGPD, traite les données personnelles collectées via la plateforme Cleatis 360 conformément au Règlement (UE) 2016/679 et à la loi Informatique et Libertés modifiée.
Contact DPO : dpo@cleatis.fr
2. Données collectées
- Identification : nom, prénom, email professionnel, mot de passe haché (bcrypt)
- Organisation : raison sociale, SIRET, adresse de facturation
- Usage : logs de connexion, journaux d'audit, événements produit
- Contenus produits : audits SEO, scripts, briefs publicitaires, prospects
- Paiement : numéro de carte tokenisé (Stripe), aucune donnée brute stockée
3. Finalités et base légale
- Exécution du contrat (art. 6.1.b) : fourniture du service, facturation, support
- Obligation légale (art. 6.1.c) : facturation électronique, conservation comptable 10 ans
- Intérêt légitime (art. 6.1.f) : sécurité, lutte contre la fraude, amélioration produit
- Consentement (art. 6.1.a) : cookies analytiques et marketing, communications produit
4. Hébergement et localisation
Hébergement principal en Union Européenne :
- Hetzner Online GmbH — Falkenstein, Allemagne (serveurs applicatifs)
- Supabase (région EU) — base de données Postgres + Auth
5. Sous-traitants
Conformément à l'article 28 RGPD, la liste des sous-traitants actifs :
- Supabase (UE) — base de données + authentification
- Stripe (Irlande / US, clauses contractuelles types) — paiements
- Pennylane (FR) — facturation électronique
- Resend (UE) — envoi emails transactionnels
- Upstash (UE) — cache Redis et rate-limit
- Pollinations.ai — modèles IA open-source (par défaut)
- Mistral AI (FR) — modèles IA souverains
- DeepInfra (US, CCT) — inférence IA backup
- Anthropic (US, CCT) — modèles Claude (recours exceptionnel)
Pour les transferts hors UE, des clauses contractuelles types (CCT) sont systématiquement signées.
6. Durée de conservation
- Compte utilisateur : durée du contrat + 3 ans (prescription)
- Factures : 10 ans (article L123-22 Code de commerce)
- Logs de sécurité : 12 mois maximum
- Cookies : 13 mois maximum
7. Vos droits
Vous disposez à tout moment des droits suivants :
- Droit d'accès (art. 15)
- Droit de rectification (art. 16)
- Droit à l'effacement (art. 17)
- Droit à la limitation du traitement (art. 18)
- Droit à la portabilité (art. 20)
- Droit d'opposition (art. 21)
- Directives post-mortem (loi Informatique et Libertés)
- Retrait du consentement à tout moment (sans effet rétroactif)
Pour exercer vos droits : dpo@cleatis.fr — réponse sous 30 jours. En cas de difficulté, vous pouvez saisir la CNIL (cnil.fr).
8. Cookies
Le bandeau de consentement affiché lors de votre première visite vous permet d'accepter, refuser ou paramétrer finement chaque catégorie. Les cookies strictement nécessaires (session, sécurité, préférences de consentement) ne nécessitent pas de consentement (CNIL, art. 82 LCEN).
9. Sécurité
Chiffrement TLS 1.3 en transit, AES-256 au repos, mots de passe hachés (bcrypt cost 12), Row Level Security Postgres, authentification à deux facteurs disponible, audit de sécurité interne trimestriel.