Politique de confidentialité
Table des matières
- Objet de la politique
- Identité du responsable de traitement
- Définitions
- Rôles RGPD de Ma Petite ESL et du Client
- Données personnelles traitées
- Finalités, bases légales et durées de conservation
- Données métier importées dans la Plateforme
- Destinataires des données
- Sous-traitants et prestataires
- Transferts hors Union européenne
- Sécurité
- Droits des personnes
- Cookies et traceurs
- Données des partenaires installateurs
- Violation de données
- Mise à jour de la politique
- Registre simplifié des traitements
1. Objet de la politique
La présente Politique de confidentialité explique comment Helmet Consulting SAS collecte et traite des données personnelles dans le cadre :
- du site internet ;
- de la liste d'attente ;
- de la relation commerciale ;
- de l'espace client ;
- de la Plateforme SaaS ;
- de la facturation ;
- de la boutique de matériel ;
- de la sécurité et de l'administration du service.
Elle s'applique aux visiteurs du site, prospects, clients professionnels, utilisateurs de la Plateforme, partenaires installateurs et interlocuteurs commerciaux.
2. Identité du responsable de traitement
Les traitements décrits dans la présente politique sont réalisés par :
Helmet Consulting SAS, société par actions simplifiée, éditeur de la Plateforme Ma Petite ESL.
- E-mail contact données personnelles : contact@helmet-consulting.fr
Ma Petite ESL n'a pas désigné de délégué à la protection des données (DPO) au lancement. Pour toute question relative à vos données personnelles, contactez le responsable du traitement à l'adresse ci-dessus.
3. Définitions
Dans la présente politique :
"Éditeur" désigne Helmet Consulting SAS.
"Client" désigne toute entreprise, commerce, pharmacie, supérette, boutique, petit supermarché ou autre professionnel souscrivant aux Services.
"Utilisateur" désigne toute personne physique utilisant le site ou la Plateforme pour le compte d'un Client.
"Plateforme" désigne le service SaaS Ma Petite ESL.
"Services" désigne les services fournis par Ma Petite ESL, notamment l'orchestration des flux catalogue/prix, la gestion des étiquettes électroniques, l'espace client, la facturation et la boutique de matériel.
"Données métier" désigne les données importées, générées ou synchronisées par le Client dans le cadre de l'utilisation de la Plateforme, notamment les catalogues produits, prix, codes d'étiquettes, associations produit/étiquette et journaux de synchronisation.
4. Rôles RGPD de Ma Petite ESL et du Client
Ma Petite ESL agit comme responsable de traitement pour les traitements qu'elle détermine elle-même, notamment :
- gestion de la liste d'attente ;
- gestion des prospects ;
- gestion des comptes utilisateurs ;
- facturation ;
- sécurité de la Plateforme ;
- gestion de la relation client ;
- gestion de la boutique ;
- gestion des partenaires installateurs ;
- mesure d'audience, si activée.
Lorsque Ma Petite ESL traite des données personnelles pour le compte du Client dans le cadre de l'utilisation de la Plateforme, elle agit comme sous-traitant du Client au sens du RGPD.
Le Client reste responsable de traitement pour les données personnelles qu'il décide d'importer, connecter, synchroniser ou exploiter via la Plateforme.
Un accord de sous-traitance RGPD peut être conclu entre Ma Petite ESL et le Client.
5. Données personnelles traitées
Ma Petite ESL peut traiter les catégories de données suivantes.
5.1 Données de liste d'attente
- Adresse e-mail
- Date d'inscription
- Source d'inscription
- Consentement donné
- Date et preuve du consentement
- Échanges ultérieurs avec le prospect
5.2 Données de compte utilisateur
- Nom
- Prénom
- Adresse e-mail professionnelle
- Rôle et droits d'accès
- Identifiant de compte
- Mot de passe hashé
- Secret TOTP ou mécanisme 2FA, sous forme protégée ou chiffrée
- Statut du compte
- Historique de connexion
- Adresse IP
- Journaux de sécurité
5.3 Données de facturation
- Raison sociale du Client
- SIRET
- Numéro de TVA
- Adresse de facturation
- Identité et coordonnées du contact de facturation
- Historique des factures
- Historique des paiements
- Références de paiement transmises par Stripe
- Statut de l'abonnement
Ma Petite ESL ne stocke pas les numéros complets de carte bancaire. Les paiements sont traités par Stripe.
5.4 Données métier liées au service ESL
Selon la configuration du Client, la Plateforme peut traiter :
- références produits ;
- libellés produits ;
- codes produits ;
- prix ;
- TVA applicable ;
- codes d'étiquettes électroniques ;
- associations entre produit et étiquette ;
- données d'import issues du logiciel de gestion ;
- journaux de synchronisation ;
- logs d'actions sensibles ;
- erreurs techniques et rapports d'exécution.
Ces données sont en principe des données professionnelles ou commerciales. Elles peuvent toutefois contenir indirectement des données personnelles si le Client y intègre des données relatives à des personnes physiques. Le Client s'engage à ne pas importer de données personnelles inutiles à l'exécution des Services.
5.5 Données techniques
- Adresse IP
- Identifiants de session
- Logs serveur
- Logs applicatifs
- Type de navigateur
- Date et heure des connexions
- Événements de sécurité
- Journaux d'audit
5.6 Données de commande matériel
- Identité du Client
- Coordonnées du contact de commande
- Adresse de livraison
- Produits commandés
- Quantités
- Historique des commandes
- Statut logistique
- Informations de transport et de livraison
5.7 Données des partenaires installateurs
- Nom commercial
- Région d'intervention
- Adresse e-mail de contact
- Coordonnées approximatives sur une carte
- Description de l'activité
- Disponibilités ou zones couvertes, si communiquées
6. Finalités, bases légales et durées de conservation
| Catégorie | Finalité | Base légale | Durée de conservation |
|---|---|---|---|
| Liste d'attente | Informer les prospects du lancement et reprendre contact | Consentement | 3 ans maximum, ou jusqu'au retrait du consentement |
| Prospection B2B | Présenter les Services à des professionnels | Intérêt légitime ou consentement selon le canal | 3 ans à compter du dernier contact actif, sauf opposition |
| Compte utilisateur | Créer et gérer l'accès à la Plateforme | Exécution du contrat | Durée du compte, puis 12 mois |
| Authentification et 2FA | Sécuriser les accès | Contrat et intérêt légitime | Durée du compte, puis 12 mois |
| Facturation | Émettre les factures, gérer les paiements, tenir la comptabilité | Contrat et obligation légale | 10 ans à compter de la clôture de l'exercice |
| Données métier ESL | Exécuter les Services SaaS | Contrat ; sous-traitance lorsque applicable | Durée du contrat, puis période de réversibilité de 30 jours |
| Logs techniques | Maintenir, sécuriser et auditer la Plateforme | Intérêt légitime | 12 mois |
| Logs d'audit | Prouver les actions sensibles et prévenir les abus | Intérêt légitime | 3 ans |
| Boutique matériel | Gérer les commandes, livraisons, retours et garanties | Contrat | Durée de la relation commerciale, puis archives légales |
| Cookies nécessaires | Faire fonctionner le site et la session | Exemption de consentement lorsque strictement nécessaire | Session ou durée technique limitée |
| Cookies de mesure d'audience | Mesurer l'audience du site | Consentement, sauf exemption applicable | 13 mois maximum pour les traceurs |
| Partenaires installateurs | Afficher les partenaires sur une carte et permettre le contact | Contrat ou intérêt légitime | Durée du partenariat, puis 12 mois |
7. Données métier importées dans la Plateforme
Le Client reste responsable :
- de l'exactitude des données importées ;
- de la licéité des données transmises ;
- de la conformité des prix affichés en magasin ;
- de la mise à jour des informations issues de son logiciel de gestion ;
- de la vérification finale des prix et informations affichés aux consommateurs.
Ma Petite ESL fournit un outil technique d'orchestration. Elle ne se substitue pas au Client dans ses obligations professionnelles, commerciales, réglementaires ou fiscales.
Le Client s'engage à ne pas importer dans la Plateforme de données sensibles, de données de santé, de données bancaires complètes, ni de données personnelles non nécessaires au fonctionnement du service.
8. Destinataires des données
Les données peuvent être accessibles :
- aux équipes habilitées de Ma Petite ESL ;
- aux prestataires techniques strictement nécessaires au fonctionnement du service ;
- aux prestataires de paiement ;
- aux prestataires de facturation et comptabilité ;
- aux prestataires de messagerie ;
- aux prestataires d'hébergement ;
- aux prestataires logistiques pour les commandes de matériel ;
- aux autorités administratives, judiciaires ou fiscales lorsque la loi l'exige ;
- aux conseils externes de Ma Petite ESL, lorsque cela est nécessaire à la défense de ses droits.
Les accès sont limités aux personnes et prestataires ayant besoin d'en connaître.
9. Sous-traitants et prestataires
Ma Petite ESL peut avoir recours aux prestataires suivants ou catégories de prestataires suivantes :
| Prestataire ou catégorie | Finalité | Localisation | Statut |
|---|---|---|---|
| Scaleway SAS | Hébergement applicatif, base de données, stockage | France / Union européenne | Sous-traitant |
| Stripe | Paiement, gestion des abonnements, moyens de paiement | Union européenne / États-Unis (CCT) | Sous-traitant ou responsable autonome selon les traitements |
| Pennylane | Synchronisation comptable et facturation | Union européenne | Sous-traitant ou responsable autonome selon les traitements |
| Prestataire SMTP | Envoi des e-mails, 2FA par e-mail, notifications | Union européenne | Sous-traitant |
| Prestataire logistique | Expédition des commandes de matériel | Union européenne | Sous-traitant ou responsable autonome selon les traitements |
| Prestataire cartographique | Affichage des partenaires installateurs sur une carte | Union européenne | Sous-traitant ou responsable autonome selon les traitements |
| Outil analytics | Mesure d'audience | N/A | Sous-traitant |
La liste des sous-traitants est actualisée en cas d'évolution de la Plateforme.
10. Transferts hors Union européenne
Ma Petite ESL privilégie, lorsque cela est possible, l'hébergement et le traitement des données dans l'Union européenne.
Pays d'hébergement principal : France / Union européenne.
Transferts hors Union européenne : uniquement avec garanties appropriées, notamment via clauses contractuelles types.
Lorsque des transferts hors Union européenne sont nécessaires, Ma Petite ESL s'assure de l'existence de garanties appropriées, telles qu'une décision d'adéquation, des clauses contractuelles types, des mesures supplémentaires ou tout autre mécanisme reconnu par le RGPD.
11. Sécurité
Ma Petite ESL met en œuvre des mesures techniques et organisationnelles adaptées à la nature des données et aux risques associés, notamment :
- authentification des utilisateurs ;
- 2FA par e-mail lorsque le SMTP est activé ;
- gestion des rôles et droits d'accès ;
- isolation logique des clients dans un environnement multi-tenant ;
- chiffrement ou protection renforcée des secrets sensibles ;
- journalisation des actions sensibles ;
- sauvegardes ;
- surveillance technique ;
- gestion des incidents ;
- restriction des accès internes ;
- bonnes pratiques de développement sécurisé.
Le Client doit également protéger ses propres accès, gérer ses utilisateurs, retirer les comptes obsolètes et vérifier les droits attribués à ses équipes.
12. Droits des personnes
Conformément au RGPD et à la loi Informatique et Libertés, les personnes concernées peuvent exercer les droits suivants :
- droit d'accès ;
- droit de rectification ;
- droit d'effacement ;
- droit à la limitation du traitement ;
- droit d'opposition ;
- droit à la portabilité, lorsque applicable ;
- droit de retirer son consentement à tout moment ;
- droit de définir des directives relatives au sort de ses données après son décès.
Les demandes peuvent être adressées à :
Une preuve d'identité pourra être demandée lorsque cela est nécessaire pour éviter une usurpation.
Les personnes concernées disposent également du droit d'introduire une réclamation auprès de la CNIL.
Lorsque Ma Petite ESL agit comme sous-traitant pour le compte d'un Client, elle peut être amenée à transmettre la demande au Client concerné ou à l'assister dans le traitement de la demande.
13. Cookies et traceurs
Le site et la Plateforme peuvent utiliser :
- des cookies strictement nécessaires ;
- des cookies de session ;
- des cookies de préférence, par exemple le thème d'affichage ;
- des cookies de sécurité ;
- des cookies de mesure d'audience, si activés ;
- des cookies marketing, uniquement si activés et acceptés.
Les cookies non essentiels ne sont déposés qu'après consentement lorsque celui-ci est requis.
Le détail est présenté dans la Politique cookies.
14. Données des partenaires installateurs
Les partenaires installateurs peuvent être affichés sur une carte afin de permettre aux Clients de les identifier et de les contacter.
Les coordonnées affichées peuvent être approximatives afin de limiter l'exposition de données précises.
Chaque partenaire doit avoir été informé de l'affichage de ses informations et peut demander leur modification ou suppression dans les conditions prévues par la présente politique.
15. Violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Ma Petite ESL mettra en œuvre les actions prévues par le RGPD.
Lorsque Ma Petite ESL agit comme sous-traitant, elle informera le Client concerné dans les meilleurs délais après en avoir pris connaissance, afin de lui permettre de respecter ses propres obligations.
16. Mise à jour de la politique
La présente Politique de confidentialité peut être modifiée à tout moment pour tenir compte de l'évolution de la Plateforme, des traitements, des sous-traitants ou de la réglementation.
La date de dernière mise à jour est indiquée en tête du document.
17. Registre simplifié des traitements
| Traitement | Responsable | Données | Finalité | Base légale | Conservation | Sous-traitants |
|---|---|---|---|---|---|---|
| Liste d'attente | Ma Petite ESL | E-mail, consentement, date | Informer du lancement | Consentement | 3 ans max. | Hébergeur, e-mailing/SMTP |
| Comptes utilisateurs | Ma Petite ESL | E-mail, nom, rôle, logs | Accès à la Plateforme | Contrat | Durée du compte + 12 mois | Hébergeur, SMTP |
| Facturation | Ma Petite ESL | Société, SIRET, adresse, factures | Paiement et comptabilité | Contrat, obligation légale | 10 ans | Stripe, Pennylane |
| Plateforme SaaS | Client, Ma Petite ESL sous-traitant selon les cas | Données métier, logs | Orchestration ESL | Contrat | Durée contrat + 30 jours de réversibilité | Hébergeur |
| Boutique matériel | Ma Petite ESL | Commandes, livraison, contact | Vente et expédition | Contrat | Durée relation + archives légales | Stripe, prestataire logistique |
| Sécurité | Ma Petite ESL | IP, logs, audits | Prévention fraude et incidents | Intérêt légitime | 12 mois | Hébergeur |
| Cookies | Ma Petite ESL | Identifiants cookies, préférences | Fonctionnement et audience | Exemption ou consentement | Session à 13 mois selon cookie | Analytics si activé |