Politique de confidentialite
Derniere mise a jour : 25 mai 2026
La presente Politique de confidentialite decrit les traitements de donnees personnelles effectues par ConsentLab, edite par Bob le Developpeur (ci-apres "nous", "notre" ou "ConsentLab"), conformement au Reglement General sur la Protection des Donnees (RGPD — Reglement UE 2016/679) et a la loi Informatique et Libertes du 6 janvier 1978 modifiee.
1. Responsable de traitement
Le responsable de traitement est :
- Raison sociale : Bob le Developpeur (SIRET 891 488 512 00015)
- Site web : bob-le-developpeur.com
- Siege social : France
- Email : contact@consentlab.eu
- Delegue a la protection des donnees (DPO) : non requis au sens de l'article 37 du RGPD. Pour toute question RGPD : privacy@consentlab.eu
2. Double role de ConsentLab
ConsentLab intervient dans deux roles distincts en matiere de protection des donnees :
- En tant que responsable de traitement pour les donnees de ses propres Clients (creation de compte, facturation, support). La presente politique couvre ce perimetre.
- En tant que sous-traitant (au sens de l'article 28 du RGPD) pour les donnees de consentement des Visiteurs des sites des Clients. Ce perimetre est couvert par notre Accord de sous-traitance (DPA).
3. Donnees collectees en tant que responsable de traitement
3.1 Donnees de compte Client
| Donnee | Finalite | Base legale | Duree de conservation |
|---|---|---|---|
| Identification, communication, facturation | Execution du contrat (Art. 6-1-b) | Duree du compte + 3 ans | |
| Prenom, nom | Personnalisation du service, facturation | Execution du contrat (Art. 6-1-b) | Duree du compte + 3 ans |
| Raison sociale | Facturation (optionnel) | Execution du contrat (Art. 6-1-b) | Duree du compte + 3 ans |
| Mot de passe | Authentification | Execution du contrat (Art. 6-1-b) | Duree du compte (stocke sous forme de hash bcrypt irreversible) |
3.2 Donnees de facturation
| Donnee | Finalite | Base legale | Duree de conservation |
|---|---|---|---|
| Identifiant Stripe (customer_id, subscription_id) | Gestion des abonnements et paiements | Execution du contrat (Art. 6-1-b) | Duree du contrat + duree legale de conservation comptable (10 ans, Art. L.123-22 Code de commerce) |
| Plan, statut d'abonnement, periodes | Gestion du service et facturation | Execution du contrat (Art. 6-1-b) | Duree du contrat + 10 ans |
Note importante : ConsentLab ne collecte et ne stocke aucune donnee bancaire (numero de carte, CVV, etc.). Les paiements sont traites exclusivement par Stripe, certifie PCI-DSS.
3.3 Donnees techniques
| Donnee | Finalite | Base legale | Duree de conservation |
|---|---|---|---|
| Adresse IP (logs serveur) | Securite, detection d'intrusion, rate limiting | Interet legitime (Art. 6-1-f) — securite du service | 12 mois |
| Tokens JWT (access + refresh) | Authentification de session | Execution du contrat (Art. 6-1-b) | 15 min (access) / 7 jours (refresh) |
3.5 Outils gratuits de generation de documents legaux
Si vous utilisez l'un de nos generateurs publics (CGU, CGV, mentions legales, politique de confidentialite) sur les pages /generateur-*, nous collectons :
- Adresse email : pour vous envoyer le document genere par email
- Parametres saisis dans le formulaire : raison sociale, SIRET, finalites de traitement, etc., uniquement pour generer le document que vous nous avez demande
- Hash IP + user-agent : pour la lutte anti-spam et les preuves d'activite (pas l'IP en clair)
- Consentement marketing : si vous avez coche la case dediee, nous pourrons vous envoyer occasionnellement des actualites produit ou des bonnes pratiques RGPD
Bases legales : execution du contrat (envoi du document, Art. 6-1-b RGPD) et consentement explicite (newsletter, Art. 6-1-a RGPD). Duree de conservation :3 ans a compter du dernier contact actif. Vous pouvez vous desabonner a tout moment via le lien present dans chaque email ou en ecrivant a contact@consentlab.eu.
4. Donnees traitees en tant que sous-traitant
Dans le cadre de son service de CMP, ConsentLab traite les donnees suivantes pour le compte de ses Clients (responsables de traitement) :
| Donnee | Methode de traitement |
|---|---|
| Hash visiteur | SHA-256 irreversible (IP + user-agent + sel journalier rotatif) |
| Choix de consentement | JSON : necessary, analytics, marketing (true/false) |
| User-agent | Stocke pour les statistiques par type d'appareil |
| Pays (code ISO) | Geolocalisation par IP (non stockage de l'IP) |
| Horodatage | Date et heure UTC du choix |
Les conditions detaillees de ce traitement sont definies dans notre Accord de sous-traitance (DPA).
5. Destinataires des donnees
5.1 Sous-traitants techniques
| Sous-traitant | Fonction | Localisation | Garanties |
|---|---|---|---|
| OVHcloud (OVH SAS) | Hebergement infrastructure et base de donnees | France | Certifie ISO 27001, HDS, SOC 2 |
| Stripe (Stripe Payments Europe, Ltd.) | Traitement des paiements | Irlande (UE) | Certifie PCI-DSS, RGPD compliant |
| Resend | Envoi d'emails transactionnels | Etats-Unis | EU-US Data Privacy Framework (decision d'adequation du 10 juillet 2023) |
| Sentry (Functional Software, Inc.) | Suivi des erreurs applicatives (stack traces, contexte technique) | Etats-Unis | EU-US Data Privacy Framework + clauses contractuelles type. Aucune donnee de compte ni de paiement transmise — uniquement metadonnees techniques d'erreur. |
| Cloudflare, Inc. | Resolution DNS et protection DDoS (proxy edge) | Etats-Unis (anycast mondial) | EU-US Data Privacy Framework + clauses contractuelles type. Le trafic transite par le reseau Cloudflare pour les domaines proxifies ; aucune donnee n'y est stockee de maniere persistante. |
| GitHub, Inc. (Microsoft) | Hebergement du code source, integration continue et registre d'images conteneurisees | Etats-Unis | EU-US Data Privacy Framework. N'a pas acces aux donnees de production ni aux donnees personnelles des Visiteurs ou Clients. |
5.2 Aucune vente de donnees
ConsentLab ne vend, ne loue et ne cede aucune donnee personnelle a des tiers a des fins commerciales, publicitaires ou de profilage.
6. Transferts hors UE
Les donnees de compte Client et les donnees de consentement des Visiteurs sont exclusivement hebergees en France (OVH, Roubaix).
Seules les donnees suivantes font l'objet d'un transfert hors de l'Union europeenne :
- Emails transactionnels (via Resend, USA) : contenus des emails de notification (bienvenue, reset mot de passe, alertes quota). Ce transfert est encadre par le EU-US Data Privacy Framework.
- Metadonnees d'erreurs applicatives (via Sentry, USA) : stack traces, URL appelees, code de statut HTTP, contexte technique. Ne contient aucune donnee de compte ni de paiement. Transfert encadre par le EU-US Data Privacy Framework.
- Trafic edge (via Cloudflare, USA, anycast) : pour les domaines proxifies, les requetes HTTP transitent par le reseau Cloudflare a des fins de protection DDoS et de performance. Aucun stockage persistant. Transfert encadre par le EU-US Data Privacy Framework.
7. Securite des donnees
ConsentLab met en oeuvre les mesures de securite techniques et organisationnelles suivantes, conformement a l'article 32 du RGPD :
- Chiffrement des mots de passe par bcrypt (12 rounds de salage)
- Authentification par tokens JWT avec rotation automatique
- Chiffrement en transit (TLS/HTTPS)
- Protection contre les attaques par force brute (rate limiting : 5 a 20 tentatives/min selon les endpoints)
- Headers de securite HTTP (Helmet.js : CSP, X-Frame-Options, HSTS, etc.)
- Anonymisation des donnees visiteurs par hachage SHA-256 irreversible avec sel journalier
- Isolation des donnees entre Clients (filtrage par projet et cle API)
- Conteneurisation Docker avec utilisateur non-root et images signees
- Audit automatise des dependances (npm audit en CI)
8. Vos droits
Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants :
- Droit d'acces (Art. 15) : obtenir la confirmation que vos donnees sont traitees et en obtenir une copie
- Droit de rectification (Art. 16) : corriger vos donnees inexactes ou incompletes
- Droit a l'effacement (Art. 17) : demander la suppression de vos donnees
- Droit a la limitation (Art. 18) : demander la limitation du traitement
- Droit a la portabilite (Art. 20) : recevoir vos donnees dans un format structure et lisible par machine (export CSV disponible)
- Droit d'opposition (Art. 21) : vous opposer au traitement fonde sur l'interet legitime
Pour exercer ces droits, ecrivez-nous a privacy@consentlab.eu. Nous repondrons a votre demande dans un delai maximum de trente (30) jours conformement a l'article 12-3 du RGPD.
En cas de difficulte dans l'exercice de vos droits, vous pouvez introduire une reclamation aupres de la CNIL (Commission Nationale de l'Informatique et des Libertes) : www.cnil.fr.
9. Prise de decision automatisee
ConsentLab n'effectue aucune prise de decision automatisee ni profilage au sens de l'article 22 du RGPD. La fonctionnalite d'auto-scale (augmentation automatique de plan) est activee manuellement par le Client et ne constitue pas une decision automatisee.
10. Modifications
La presente Politique peut etre modifiee. Toute modification substantielle sera notifiee aux Clients par email. La version en vigueur est toujours accessible a cette URL.
11. Contact
Pour toute question relative a la protection de vos donnees : privacy@consentlab.eu.