Politique de Confidentialité
Dernière mise à jour : 16 mars 2026
Protection de vos données personnelles
La société Dativo (ci-après « Dativo », « nous ») s'engage à protéger vos données personnelles et à respecter votre vie privée conformément au Règlement (UE) 2016/679 (Règlement Général sur la Protection des Données, ci-après « RGPD ») et à la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et Libertés »).
La présente politique s'applique à l'ensemble des traitements de données personnelles effectués via le site app.dativo.fr et la plateforme Dativo.
Table des matières
1. Responsable du traitement
Conformément à l'article 13 du RGPD, le responsable du traitement de vos données personnelles est :
Identité
- Raison sociale : Dativo
- SIRET : 93513783900017
- Siège social : 22 Rue du Docteur Huet, 60200 Compiegne, France
Délégué à la Protection des Données (DPO)
- Nom : Guillaume
- Email : Formulaire de contact
-
Adresse : Dativo — À l'attention du DPO
22 Rue du Docteur Huet, 60200 Compiegne
2. Données personnelles collectées
Nous collectons uniquement les données personnelles nécessaires aux finalités décrites ci-dessous, dans le respect du principe de minimisation des données (article 5.1.c du RGPD).
Données d'identification
Nom, prénom, adresse email professionnelle, numéro de téléphone, mot de passe (hashé).
Collecte : formulaire d'inscription et de contact.
Données professionnelles
Raison sociale de l'organisation, numéro SIRET, adresse du siège social, fonction occupée.
Collecte : formulaire d'inscription.
Données de facturation
Adresse de facturation, historique des factures, plan d'abonnement souscrit.
Collecte : souscription à un abonnement payant.
Données techniques de connexion
Adresse IP, type de navigateur, système d'exploitation, date et heure de connexion, pages consultées.
Collecte : automatique lors de la navigation.
Données d'utilisation
Actions effectuées dans la plateforme (création de registre, gestion des droits, exports),
préférences utilisateur.
Collecte : automatique lors de l'utilisation de la plateforme.
Données de support
Messages échangés via le formulaire de contact ou le système de tickets de support.
Collecte : formulaire de contact et tickets support.
3. Finalités et bases légales des traitements
Conformément à l'article 6 du RGPD, chaque traitement de données repose sur une base légale spécifique. Le tableau ci-dessous détaille les finalités et leurs bases légales :
| Finalité du traitement | Base légale (Art. 6 RGPD) | Données concernées |
|---|---|---|
| Création et gestion de votre compte utilisateur | Exécution du contrat (Art. 6.1.b) | Données d'identification, données professionnelles |
| Fourniture et fonctionnement de la plateforme Dativo | Exécution du contrat (Art. 6.1.b) | Données d'identification, données d'utilisation |
| Facturation et gestion des abonnements (via notre ERP) | Exécution du contrat (Art. 6.1.b) | Données d'identification, données de facturation, données professionnelles |
| Traitement des paiements par carte bancaire (via Stripe) | Exécution du contrat (Art. 6.1.b) | Données d'identification, données de paiement (traitées par Stripe, non stockées par l'Éditeur) |
| Réponse à vos demandes de contact et support technique (via notre système de support) | Intérêt légitime (Art. 6.1.f) | Données d'identification, données de support |
| Envoi de communications relatives à votre compte (notifications de service, mises à jour) | Exécution du contrat (Art. 6.1.b) | Données d'identification |
| Envoi de communications commerciales (newsletters, offres) | Consentement (Art. 6.1.a) | Adresse email |
| Gestion de la relation client (CRM) et suivi commercial (via notre ERP) | Intérêt légitime (Art. 6.1.f) | Données d'identification, données professionnelles |
| Accès à l'environnement de démonstration (démo RGPD Facile) | Intérêt légitime (Art. 6.1.f) | Données d'identification, données professionnelles, données fictives de démonstration |
| Signature électronique des contrats d'abonnement (via notre ERP) | Exécution du contrat (Art. 6.1.b) | Données d'identification, données professionnelles, signature électronique |
| Amélioration de nos services et analyse d'utilisation | Intérêt légitime (Art. 6.1.f) | Données techniques, données d'utilisation |
| Sécurité de la plateforme et prévention de la fraude | Intérêt légitime (Art. 6.1.f) | Données techniques de connexion |
| Respect de nos obligations légales et réglementaires | Obligation légale (Art. 6.1.c) | Données d'identification, données de facturation, logs de connexion |
| Preuve de l'acceptation des documents légaux (CGU, politique de confidentialité) | Obligation légale (Art. 6.1.c) | Adresse IP, user-agent, horodatage d'acceptation, empreinte du document (SHA-256), durée de lecture |
4. Destinataires des données
Vos données personnelles sont strictement confidentielles et ne sont communiquées qu'aux destinataires suivants, dans la limite nécessaire à l'accomplissement des finalités décrites ci-dessus :
Personnel habilité
Les membres du personnel de Dativo dûment habilités, dans le cadre de leurs fonctions (direction, support technique, service commercial).
Sous-traitants (Art. 28 RGPD)
Nos sous-traitants techniques, liés par un contrat de sous-traitance conforme à l'article 28 du RGPD, qui garantit un niveau de protection équivalent :
| Sous-traitant | Prestation | Localisation des données |
|---|---|---|
| OVH SAS 2 rue Kellermann, 59100 Roubaix, France |
Hébergement du site web et de la plateforme, stockage des données | France / UE |
| Stripe Payments Europe Ltd 1 Grand Canal Street Lower, Dublin 2, Irlande |
Traitement sécurisé des paiements par carte bancaire (certifié PCI-DSS). Aucune donnée de carte bancaire n'est stockée sur nos serveurs. | Irlande / UE |
Autorités compétentes
Vos données peuvent être communiquées aux autorités administratives ou judiciaires compétentes lorsque nous y sommes légalement tenus (réquisition judiciaire, obligation légale de déclaration).
5. Transferts de données hors de l'Union européenne
Ressources techniques tierces (CDN)
Notre site charge certaines ressources techniques depuis des réseaux de distribution de contenu (CDN) situés en dehors de l'UE. Ces chargements peuvent entraîner la transmission de votre adresse IP aux serveurs concernés :
- Google Fonts (Google LLC, États-Unis) — polices de caractères
- Font Awesome (Fonticons Inc., États-Unis) — icônes
- jsDelivr / Bootstrap (CDN mondial) — framework CSS et bibliothèques JavaScript
Ces transferts sont encadrés par le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) et/ou par des clauses contractuelles types (CCT) approuvées par la Commission européenne. Ces ressources ne déposent aucun cookie et ne collectent que votre adresse IP à des fins de livraison technique du contenu.
6. Durée de conservation
Conformément au principe de limitation de la conservation (article 5.1.e du RGPD), vos données ne sont conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte (identification, professionnelles) | Durée de la relation contractuelle + 3 ans après la fin du contrat | Prescription civile de droit commun (art. 2224 du Code civil) |
| Données de facturation | 10 ans après la clôture de l'exercice | Obligation comptable (art. L123-22 du Code de commerce) |
| Données de prospection / formulaire de contact | 3 ans après le dernier contact | Recommandation CNIL (délibération n° 2016-264) |
| Logs de connexion (adresse IP, horodatage) | 12 mois | Obligation légale (art. 6 de la LCEN, décret n° 2011-219) |
| Cookies et traceurs | 13 mois maximum | Recommandation CNIL sur les cookies (délibération n° 2020-091) |
| Données de support (tickets, messages) | 2 ans après la résolution du ticket | Intérêt légitime (suivi qualité, amélioration du service) |
| Preuves de consentement (acceptation CGU, politique) | Durée de la relation contractuelle + 5 ans après la fin du contrat | Obligation de preuve du consentement (art. 7.1 RGPD, prescription civile art. 2224 Code civil) |
| Données de démonstration (compte démo RGPD Facile) | 3 jours après la création du compte démo | Données fictives pré-remplies, supprimées automatiquement. En cas de conversion en essai gratuit, les données réelles sont conservées selon les durées ci-dessus. |
À l'expiration de ces durées, vos données sont supprimées ou anonymisées de manière irréversible. En cas de contentieux, les données concernées peuvent être conservées jusqu'à l'issue définitive de la procédure.
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la Loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
Obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Faire corriger vos données inexactes ou compléter vos données incomplètes.
Obtenir la suppression de vos données dans les cas prévus par le RGPD (« droit à l'oubli »).
Demander le gel temporaire de l'utilisation de certaines de vos données.
Recevoir vos données dans un format structuré et couramment utilisé (CSV, JSON).
Vous opposer à un traitement fondé sur l'intérêt légitime ou la prospection commerciale.
Retirer votre consentement à tout moment, sans remettre en cause la licéité du traitement antérieur.
Définir des directives relatives au sort de vos données après votre décès.
Comment exercer vos droits ?
Vous pouvez exercer vos droits à tout moment en contactant notre Délégué à la Protection des Données :
- Par email : Formulaire de contact
- Par courrier : Dativo — DPO, 22 Rue du Docteur Huet, 60200 Compiegne
Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai d'un mois à compter de sa réception (article 12.3 du RGPD). Ce délai peut être prolongé de deux mois supplémentaires en cas de demandes complexes ou nombreuses, auquel cas vous en serez informé(e). Une pièce d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité (article 12.6 du RGPD).
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente (article 77 du RGPD) :
- Commission Nationale de l'Informatique et des Libertés (CNIL)
- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- +33 1 53 73 22 22
- www.cnil.fr/fr/plaintes
8. Sécurité des données
Conformément à l'article 32 du RGPD, nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque :
Chiffrement
- Communications chiffrées via SSL/TLS (HTTPS)
- Mots de passe hashés avec Argon2ID
- Données SMTP chiffrées en AES-256-CBC
Contrôle d'accès
- Authentification sécurisée avec gestion de sessions
- Séparation des données par tenant (multi-tenant)
- Principe du moindre privilège (rôles différenciés)
Traçabilité
- Journalisation des accès et des actions
- Protection CSRF sur tous les formulaires
- Requêtes préparées (protection injection SQL)
Disponibilité
- Sauvegardes régulières et sécurisées
- Hébergement professionnel en datacenter OVH (France)
- Surveillance et maintenance proactive
9. Notification de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés :
- Notification à la CNIL dans un délai de 72 heures suivant la découverte de la violation (article 33 du RGPD).
- Information des personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
- Documentation de toute violation dans un registre interne des violations, incluant les faits, les effets et les mesures correctives prises.
10. Cookies et traceurs
Conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL sur les cookies et traceurs (délibération n° 2020-091), nous vous informons de l'utilisation de cookies sur notre site.
Gestion du consentement
Nous utilisons la solution TarteAuCitron, un gestionnaire de consentement aux cookies conforme au RGPD, qui vous permet d'accepter ou de refuser chaque catégorie de cookies. Vous pouvez modifier vos préférences à tout moment en cliquant sur l'icône de gestion des cookies située en bas à droite de chaque page.
Liste des cookies utilisés
Cookies strictement nécessaires
| Nom du cookie | Finalité | Durée | Type |
|---|---|---|---|
PHPSESSID |
Identifiant de session PHP, nécessaire au fonctionnement de la plateforme | Session (supprimé à la fermeture du navigateur) | Strictement nécessaire |
tarteaucitron |
Mémorisation de vos choix de consentement aux cookies | 12 mois | Strictement nécessaire |
csrf_token |
Protection contre les attaques CSRF (Cross-Site Request Forgery) | Session | Strictement nécessaire |
Cookies de mesure d'audience (soumis au consentement)
Nous utilisons Matomo, une solution de mesure d'audience auto-hébergée sur nos propres serveurs situés en France. Ces cookies ne sont déposés qu'après votre consentement explicite via le bandeau TarteAuCitron. Aucune donnée n'est transmise à des tiers.
| Nom du cookie | Finalité | Durée | Type |
|---|---|---|---|
_pk_id.* |
Identifiant unique du visiteur pour les statistiques d'audience Matomo | 13 mois | Mesure d'audience |
_pk_ses.* |
Données de session temporaires pour Matomo (pages vues, durée de visite) | 30 minutes | Mesure d'audience |
_pk_ref.* |
Source de trafic initiale du visiteur (moteur de recherche, lien externe…) | 6 mois | Mesure d'audience |
mtm_consent |
Mémorisation du consentement au suivi Matomo | 13 mois | Mesure d'audience |
Analyse des logs serveur (sans cookie)
Nous utilisons également AWStats, un outil d'analyse des journaux (logs) du serveur web. AWStats ne dépose aucun cookie sur votre navigateur. Il traite les données techniques enregistrées automatiquement par le serveur web (logs) :
- Adresse IP
- Date et heure de la requête
- Page demandée et code de réponse HTTP
- Navigateur et système d'exploitation (User-Agent)
- Page de provenance (Referer)
L'adresse IP est une donnée personnelle au sens du RGPD. Toutefois, elle n'est ni croisée avec d'autres données, ni transmise à des tiers. Ces données servent uniquement à des fins techniques et de sécurité (détection d'attaques, analyse des erreurs, mesure d'audience agrégée).
Les logs serveur sont conservés pendant 12 mois glissants, puis supprimés automatiquement. Ce traitement repose sur notre intérêt légitime (article 6.1.f du RGPD) à assurer la sécurité et le bon fonctionnement de nos services.
11. Décision automatisée et profilage
12. Caractère obligatoire ou facultatif des données
Conformément à l'article 13.2.e du RGPD :
- Les données marquées d'un astérisque dans les formulaires sont obligatoires. Elles sont nécessaires à la création de votre compte, à la fourniture du service ou au traitement de votre demande. En cas de non-fourniture, nous ne serons pas en mesure de vous fournir le service demandé.
- Les autres données sont facultatives et visent à améliorer la qualité de nos services et la personnalisation de votre expérience.
13. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment afin de nous conformer aux évolutions législatives, réglementaires ou jurisprudentielles, ou pour refléter les modifications apportées à nos traitements de données.
La date de dernière mise à jour est indiquée en haut de cette page. En cas de modification substantielle, nous vous en informerons par tout moyen approprié (notification dans l'application, email) avant l'entrée en vigueur des changements.
Nous vous invitons à consulter régulièrement cette page pour prendre connaissance des éventuelles modifications.