Tes données personnelles
Cette page explique en clair quelles informations on collecte sur ce site pat-tate.fr, pourquoi, combien de temps on les garde, à qui on les transmet et quels droits tu as.
On a écrit ce texte pour être lisible par tout le monde, pas seulement par des juristes. Si quelque chose te paraît flou, écris-nous à contact@pat-tate.fr — on répond.
Ce document est conforme au Règlement Général sur la Protection des Données (RGPD)[^rgpd] et à la loi française Informatique et Libertés[^lil].
Qui traite tes données ?
La SAS Pat'tâte est responsable du traitement de tes données personnelles.
- SAS au capital de 1 000 €
- Siège : 3 rue Maurice Ravel, 33127 Martignas-sur-Jalle
- RCS Bordeaux : 945 193 308
- N° TVA intracommunautaire : FR82 945 193 308
- Représentée par sa Présidente, Cyrielle Mellano
- Contact RGPD :
contact@pat-tate.fr
Pas de Délégué à la Protection des Données (DPO)
La SAS Pat'tâte n'est pas tenue d'en désigner un[^dpo] (moins de 250 personnes, pas de traitement à grande échelle de données sensibles, pas d'autorité publique). Toutes les questions sur tes données passent directement par contact@pat-tate.fr.
Prestataire technique du site
Pat'tâte confie la gestion technique du site (hébergement, maintenance, déploiement) à Ta Fabrique à Sites, service de Domain Craft Solutions (EURL — RCS Bordeaux 931 443 980). DCS agit en qualité de sous-traitant au sens de l'article 28 du RGPD, sur les instructions de Pat'tâte.
Pourquoi on collecte tes données ?
On collecte le minimum, et uniquement pour les raisons listées ci-dessous.
| Finalité | Base légale RGPD | Données concernées |
|---|---|---|
| Répondre à une demande envoyée via le formulaire de contact | Mesures précontractuelles à ta demande[^precontractuel] (art. 6.1.b) | Prénom, nom, adresse email, message |
| Sécuriser le site (anti-fraude, anti-attaque) | Notre intérêt légitime[^interet] (art. 6.1.f) | Adresse IP, logs serveur, user-agent navigateur |
| Mesurer l'audience du site de manière anonyme, via Plausible Analytics auto-hébergé directement par Ta Fabrique à Sites (et non via un prestataire tiers) | Pas de consentement requis — mesure d'audience anonyme conforme aux conditions CNIL[^audience] | URL visitée, page d'origine, type de navigateur, IP anonymisée — sans cookie, sans identifiant traçable |
| Mesurer l'audience détaillée du site via Google Analytics et Google Tag Manager (uniquement avec ton consentement) | Consentement[^consentement] (art. 6.1.a) | Identifiants cookies Google, parcours utilisateur, données techniques navigateur |
| Mesurer la performance des campagnes publicitaires (uniquement avec ton consentement) via Meta Pixel | Consentement (art. 6.1.a) | Identifiants cookies Meta, événements de navigation |
| Conserver les contrats et factures clients (si tu fais appel à un service Pat'tâte facturé) | Obligation légale[^compta] (art. 6.1.c) | Identité, coordonnées, infos contractuelles |
On ne fait pas de profilage automatisé, pas de prospection commerciale automatisée, pas de revente de tes données.
Quelles données on collecte concrètement ?
- Si tu utilises le formulaire de contact : prénom, nom, adresse email, message libre
- Si tu visites simplement le site :
- Statistiques anonymes (sans consentement) : URL, page d'origine, navigateur, IP anonymisée
- Si tu acceptes les cookies : identifiants techniques Google et Meta (cf. politique cookies)
- Si tu deviens cliente ou client : informations contractuelles (identité, contact, devis signé, factures)
On ne collecte jamais de données dites « sensibles » au sens du RGPD (origine raciale, opinions politiques, religion, santé, orientation sexuelle, etc.).
Combien de temps on les garde ?
On applique le principe de minimisation du RGPD[^minimisation] : on conserve chaque donnée seulement le temps nécessaire.
| Type de donnée | Durée de conservation | Pourquoi |
|---|---|---|
| Demande de contact non transformée | 3 ans après le dernier échange | Recommandation CNIL prospection commerciale[^prospection] |
| Documents comptables (factures) | 10 ans à compter de la clôture de l'exercice | Obligation comptable légale (Code de commerce art. L.123-22)[^compta] |
| Documents contractuels (devis signés, échanges) | 5 ans après la fin de la relation | Prescription civile de droit commun (Code civil art. 2224)[^prescription] |
| Logs serveur (sécurité) | 12 mois maximum | Recommandation CNIL[^logs] |
| Sauvegardes BDD | 30 jours rolling | Continuité de service |
| Mesure d'audience anonyme (Plausible) | Cookies : aucun. Données brutes : 25 mois maximum | Conditions CNIL d'exemption[^audience] |
| Mesure d'audience Google Analytics (avec consentement) | 14 mois maximum (paramètre Google Analytics) ; cookies durée maximale 13 mois | Délibération CNIL 2020-091 |
| Pixel Meta (avec consentement) | Cookies max 13 mois | Délibération CNIL 2020-091 |
| Cookie de mémorisation de ton choix de consentement | 6 mois maximum | Recommandation CNIL durée du consentement |
Une fois ces délais écoulés, les données sont supprimées ou anonymisées de manière irréversible.
À qui on transmet tes données ?
On travaille avec un nombre minimal de prestataires. Tous sont contractuellement engagés par un accord de sous-traitance conforme au RGPD[^soustraitance] (sauf relations internes — voir « Prestataire technique » ci-dessus).
Prestataires actifs
| Prestataire | Rôle | Localisation des serveurs | Données concernées | Encadrement transfert |
|---|---|---|---|---|
| Scaleway SAS (France) | Hébergement du site, base de données, sauvegardes chiffrées | France — région PAR1 (Île-de-France) | Tout le contenu du site, logs serveur, contenu du formulaire de contact | N/A (intra-FR) |
| Domain Craft Solutions (France — Ta Fabrique à Sites) | Sous-traitant technique du site (hébergement, maintenance, déploiement) | France | Données techniques d'hébergement | N/A (intra-FR) — relation art. 28 RGPD |
| Resend Inc. (États-Unis — service d'envoi d'emails transactionnels) | Acheminement des messages envoyés via le formulaire de contact vers l'adresse email de Pat'tâte | États-Unis (option région européenne en cours d'évaluation) | Contenu du formulaire de contact (prénom, nom, email, message) | Clauses Contractuelles Types[^cct] + Data Privacy Framework UE-États-Unis[^dpf] |
| Google LLC (États-Unis) | Mesure d'audience détaillée (Google Analytics 4) via Google Tag Manager — uniquement avec ton consentement | États-Unis | Identifiants cookies, parcours utilisateur, données techniques | Clauses Contractuelles Types[^cct] + Data Privacy Framework UE-États-Unis[^dpf] |
| Meta Platforms Ireland Ltd (Irlande / États-Unis) | Mesure de performance des campagnes publicitaires (Meta Pixel) — uniquement avec ton consentement | Irlande puis États-Unis | Identifiants cookies, événements de navigation | CCT + DPF UE-États-Unis |
Pas considéré comme prestataire tiers
- Plausible Analytics : auto-hébergé directement par Domain Craft Solutions sur son infrastructure Scaleway. Pas une relation art. 28 RGPD séparée.
Ce qu'on n'utilise PAS
- Pas de revente de tes données à des tiers à des fins commerciales ou publicitaires
- Pas de croisement de tes données entre nos différents outils sans base légale claire
- Pas de partage des contenus de ton formulaire de contact avec des tiers extérieurs
Transferts internationaux de données
Plusieurs prestataires que nous utilisons sont établis aux États-Unis et certaines de tes données peuvent être transférées vers ce pays :
- Resend Inc. (envoi des messages du formulaire de contact)
- Google LLC (uniquement si tu acceptes les cookies de mesure d'audience détaillée — Google Analytics et Google Tag Manager)
- Meta Platforms Inc. (uniquement si tu acceptes les cookies publicitaires — Meta Pixel)
Ces transferts sont encadrés par :
- Le Data Privacy Framework UE-États-Unis[^dpf] (décision d'exécution (UE) 2023/1795 du 10 juillet 2023), auquel Resend, Google et Meta sont auto-certifiés
- Des Clauses Contractuelles Types de la Commission européenne en complément
Pour Google et Meta, si tu ne donnes pas ton consentement via le bandeau cookies, ces outils ne sont pas chargés et aucun transfert vers les États-Unis n'a lieu. Tu peux retirer ton consentement à tout moment via le lien « Gérer mes cookies » en bas de page.
Pour Resend, le transfert intervient uniquement lorsque tu utilises le formulaire de contact (envoi nécessaire à l'exécution de ta demande). Si tu ne souhaites pas utiliser ce service, tu peux nous écrire directement par email à contact@pat-tate.fr.
Si le cadre juridique du transfert vers les États-Unis vient à être invalidé (comme cela a été le cas par le passé pour Safe Harbor en 2015 et Privacy Shield en 2020 par la Cour de Justice de l'Union européenne), nous t'informerons et désactiverons les outils concernés si nécessaire.
Tes droits
Le RGPD te donne sept droits sur tes données. Tu peux tous les exercer en écrivant à contact@pat-tate.fr[^droits] :
- Accès — savoir quelles données on a sur toi et en recevoir une copie
- Rectification — corriger des données inexactes ou incomplètes
- Effacement (« droit à l'oubli ») — demander la suppression de tes données
- Opposition — t'opposer à un traitement basé sur notre intérêt légitime
- Limitation — geler temporairement le traitement le temps d'une vérification
- Portabilité — récupérer tes données dans un format réutilisable
- Retrait du consentement — quand le traitement repose sur ton consentement (cookies tiers notamment), à tout moment
Comment on traite ta demande
- Délai : on te répond sous 1 mois, prolongeable de 2 mois si la demande est complexe (on te prévient)
- Identification : on peut te demander une copie de pièce d'identité si on a un doute sérieux
- Coût : gratuit, sauf demande manifestement infondée ou répétitive
Droit de plainte auprès de la CNIL
Si tu estimes que tes droits ne sont pas respectés, tu peux porter plainte gratuitement auprès de la Commission Nationale de l'Informatique et des Libertés :
- En ligne : cnil.fr/plaintes
- Par courrier : CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris cedex 07
Comment on sécurise tes données ?
On prend des mesures techniques et organisationnelles pour protéger tes données[^securite] :
- Chiffrement des communications (HTTPS partout)
- Chiffrement des sauvegardes
- Accès aux données limité aux personnes habilitées
- Mots de passe forts + double authentification sur les services administrateurs
- Hébergement sur infrastructure dédiée Scaleway, en France
- Sauvegardes régulières
- Mise à jour systématique des composants logiciels
Aucun système n'est inviolable. Si malgré ces mesures une violation de tes données survenait, on notifierait la CNIL sous 72 heures conformément au RGPD et on t'informerait directement si tes droits ou libertés sont susceptibles d'être affectés.
Cookies et traceurs
Nous utilisons des cookies de mesure d'audience (Plausible, sans consentement) et, après ton consentement explicite, des cookies de mesure d'audience détaillée (Google Analytics via Google Tag Manager) et de mesure publicitaire (Meta Pixel).
Le détail des cookies, leurs finalités et les modalités de consentement sont expliqués dans notre politique cookies.
Modification de cette politique
Cette politique peut évoluer (nouveaux prestataires, nouvelles obligations légales). En cas de changement important, on te préviendra par un message visible sur le site avant l'entrée en vigueur.
La date de dernière mise à jour est indiquée en pied de page.
Dernière mise à jour : 2026-05-17.
[^rgpd]: Règlement (UE) 2016/679 du 27 avril 2016. Texte intégral : EUR-Lex.
[^lil]: Loi n° 78-17 du 6 janvier 1978 modifiée. Voir Légifrance.
[^dpo]: RGPD art. 37 — désignation d'un DPO obligatoire seulement pour autorités publiques, traitements à grande échelle de données sensibles, ou surveillance régulière et systématique à grande échelle.
[^precontractuel]: RGPD art. 6.1.b — exécution d'un contrat ou mesures précontractuelles.
[^interet]: RGPD art. 6.1.f — intérêt légitime, sous réserve que les droits et libertés fondamentaux de la personne concernée ne prévalent pas.
[^audience]: Conditions CNIL d'exemption de consentement pour la mesure d'audience. Voir cnil.fr — mesure d'audience.
[^consentement]: RGPD art. 6.1.a — consentement libre, spécifique, éclairé et univoque. Cf. délibération CNIL 2020-091 du 17 septembre 2020.
[^compta]: Code de commerce, article L.123-22 — conservation des documents comptables pendant 10 ans.
[^prescription]: Code civil, article 2224 — prescription civile de droit commun 5 ans.
[^minimisation]: RGPD art. 5.1.c et 5.1.e.
[^logs]: Recommandation CNIL sur la conservation des logs : 6 à 12 mois selon contexte.
[^prospection]: Recommandation CNIL : 3 ans après le dernier contact pour les prospects.
[^soustraitance]: RGPD art. 28 — encadrement strict de la sous-traitance par contrat écrit (DPA).
[^cct]: Clauses Contractuelles Types adoptées par la Commission européenne, décision (UE) 2021/914 du 4 juin 2021.
[^dpf]: Data Privacy Framework UE-États-Unis, décision d'exécution (UE) 2023/1795 du 10 juillet 2023.
[^droits]: RGPD articles 15 à 22.
[^securite]: RGPD article 32 — sécurité du traitement.