Politique de confidentialité

Dernière mise à jour : 4 mai 2026

1. Responsable du traitement

XY SAS, exploitée sous l'enseigne Dose de France, 60 rue François Ier, 75008 Paris, SIRET 94421994800014.

Représentée par Yoann Collot.

Contact RGPD : contact@dosedefrance.com (objet : « RGPD »).

2. Données collectées

2.1 Visiteurs du site dosedefrance.com

• Données de navigation (cookies analytiques) : pages visitées, durée, source de trafic, type d'appareil. Voir Politique cookies.
• Données techniques : adresse IP (anonymisée), user-agent, résolution écran.

2.2 Prospects (formulaire de contact / appel)

• Nom, prénom, email professionnel, téléphone
• Nom de l'entreprise / restaurant
• Adresse postale (le cas échéant)
• Message libre, contexte commercial

2.3 Clients sous contrat

• Données de l'entreprise : SIRET, forme juridique, capital, dirigeant légal
• Coordonnées : email, téléphone, adresse, site web
• Données bancaires : IBAN/BIC pour mandat SEPA (jamais stockées en clair, traitées via Qonto)
• Accès tiers : tokens API Meta, comptes Google Business Profile, etc. (chiffrés au repos)
• Performances marketing : leads, conversions, ROAS, CPC issus de l'API Meta

3. Finalités du traitement

• Exécution du contrat de prestation (gestion des campagnes Meta, reporting, facturation)
• Communication commerciale (réponse aux demandes prospect, suivi commercial)
• Obligations légales (comptabilité, fiscalité, lutte anti-fraude)
• Amélioration du service (analyse statistique anonymisée)
• Sécurité (logs d'accès, détection d'intrusion)

4. Bases légales

• Exécution du contrat (art. 6.1.b RGPD) — données clients sous contrat actif
• Intérêt légitime (art. 6.1.f RGPD) — prospects ayant initié un contact
• Consentement (art. 6.1.a RGPD) — cookies non-essentiels (analytique, marketing)
• Obligation légale (art. 6.1.c RGPD) — facturation, comptabilité (10 ans)

5. Destinataires des données

Vos données sont traitées par les équipes de XY SAS (collaborateurs autorisés sous engagement de confidentialité) et, le cas échéant, par les sous-traitants suivants :

• Vercel Inc. (hébergement) — USA, transfert encadré par les Clauses Contractuelles Types UE
• Supabase Inc. (base de données) — USA, idem
• Resend (envoi d'emails transactionnels) — UE
• Qonto (banque pro, mandats SEPA) — UE (France)
• Meta Platforms (campagnes publicitaires, Pixel) — USA, encadré par DPF (Data Privacy Framework)
• Google LLC (Calendar, Gmail SaaS) — USA, encadré par DPF
• Anthropic (LLM Claude) — USA, encadré CCT
• Dropbox Sign (signature électronique) — USA, encadré CCT
• Sentry (monitoring) — USA, encadré CCT
• Inngest (orchestration agents) — USA, encadré CCT

XY SAS ne vend jamais vos données à des tiers à des fins commerciales.

6. Transferts hors UE

Certains sous-traitants (Vercel, Supabase, Meta, Google, Anthropic) sont situés aux États-Unis. Les transferts sont encadrés par :

• Le Data Privacy Framework (décision d'adéquation UE-USA du 10 juillet 2023)
• Les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne

7. Durée de conservation

• Prospects non convertis : 3 ans à compter du dernier contact
• Clients sous contrat : durée du contrat + 5 ans après la fin (prescription civile)
• Documents comptables / factures : 10 ans (obligation légale art. L.123-22 Code commerce)
• Cookies : 13 mois maximum (cf. Politique cookies)
• Logs techniques : 12 mois

8. Sécurité

XY SAS met en œuvre des mesures techniques et organisationnelles appropriées :

• Chiffrement TLS 1.3 sur toutes les transmissions
• Chiffrement au repos des données sensibles (tokens API, IBAN)
• Accès restreint par rôle (RLS Supabase, principe du moindre privilège)
• Authentification multi-facteurs (MFA) sur les accès admin
• Sauvegardes quotidiennes chiffrées (Supabase Point-in-Time Recovery)
• Audit logs HMAC immuables sur les actions sensibles

9. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

• Droit d'accès à vos données (art. 15 RGPD)
• Droit de rectification des données inexactes (art. 16)
• Droit à l'effacement / droit à l'oubli (art. 17)
• Droit à la limitation du traitement (art. 18)
• Droit à la portabilité (art. 20)
• Droit d'opposition au traitement (art. 21), notamment au démarchage commercial
• Droit de retirer votre consentement à tout moment
• Droit de définir des directives post-mortem (art. 85 loi I&L)

Pour exercer ces droits : contact@dosedefrance.com (objet : « RGPD ») avec une copie de votre pièce d'identité. Réponse sous 30 jours.

10. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Site : www.cnil.fr

11. Modifications

La présente politique peut être mise à jour pour refléter des évolutions réglementaires ou techniques. Date de la dernière mise à jour indiquée en haut de page.