✅ Mise à jour v4.1 : La section §8 (Vos droits) a été enrichie pour refléter l'architecture 2 niveaux d'exercice des droits (SPEC-RGPD-DROITS-V1, Avril 2026). Les droits Niveau 1 (accès, rectification, portabilité, retrait consentement) sont désormais directement accessibles dans l'espace client.
🏢 1. Responsable du Traitement des Données
| Société | SAS SANAGENCY |
| SIREN | 932 944 242 |
| Siège social | 8 place Roger Salengro, 31000 Toulouse, France |
| Service | NUM-ECARD — plateforme de cartes de visite numériques |
| Email RGPD | rgpd@num-ecard.com |
| Téléphone | 09 81 19 84 02 |
📊 2. Données Personnelles Collectées
Nous collectons différentes catégories de données selon votre relation avec NUM-ECARD (Porteur de carte ou Visiteur) :
| Catégorie | Données concernées | Circonstance |
|---|---|---|
| Identité | Nom, prénom, photo professionnelle | Création de compte |
| Coordonnées | Email, téléphone, adresse professionnelle | Création de compte |
| Données professionnelles | Fonction, entreprise, secteur, réseaux sociaux | Paramétrage de la carte |
| Données de facturation | Adresse facturation, données de transaction | Commande |
| Analytics Visiteurs | IP anonymisée, pays, clics, durée (agrégés, sans identification) | Consultation automatique à chaque visite |
| Token push VAPID | Identifiant abonnement push, date de souscription | Sur consentement explicite (Premium & FDV) |
| Formulaire FDV (tiers) | Nom, email, message du prospect | Soumission volontaire — transmis au Porteur (voir §3.D) |
| Demandes RGPD | Référence demande, type de droit, description, IP, userAgent | Soumission via formulaire ou espace client |
🎯 3. Finalités et Bases Légales du Traitement
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion de compte | Exécution du contrat (Art. 6.1.b) | Identité, coordonnées |
| Personnalisation de la carte | Exécution du contrat (Art. 6.1.b) | Données professionnelles, photo |
| Traitement commandes & paiements | Exécution du contrat (Art. 6.1.b) | Coordonnées, facturation |
| Émission de factures | Obligation légale (Art. 6.1.c) | Données de facturation |
| Service client & support | Exécution du contrat (Art. 6.1.b) | Coordonnées, communications |
| Analytics Visiteurs des cartes | Intérêt légitime du Porteur (Art. 6.1.f) — IP anonymisée | Données analytics anonymes |
| Notifications push Web (Mon Actu) | Consentement (Art. 6.1.a) — révocable à tout moment | Token VAPID |
| Formulaire recommandation FDV | SANAGENCY = sous-traitant (Art. 28). Porteur = RT. | Nom, email, message prospect |
| Gestion des demandes de droits | Obligation légale (Art. 6.1.c) + intérêt légitime anti-abus (Art. 6.1.f) | Réf demande, description, IP, userAgent |
📢 3.D — Information des Visiteurs lors du Formulaire Prospect (Art. 13 RGPD)
Lorsqu'un Visiteur soumet le formulaire de contact sur une carte Force de Vente (nom, email, téléphone, message), ses données sont transmises directement au Porteur de la carte. Conformément à l'article 13 du RGPD, le Visiteur est informé au moment de la collecte des éléments suivants :
| Mention Art. 13 RGPD | Contenu affiché sur le formulaire |
|---|---|
| Identité du responsable de traitement | Le Porteur de la carte (professionnel). SANAGENCY = sous-traitant (Art. 28 RGPD). |
| Finalité et base légale | Prise de contact professionnelle à votre demande — intérêt légitime (Art. 6.1.f RGPD). |
| Durée de conservation | Maximum 24 mois sur les serveurs SANAGENCY. |
| Destinataires des données | Le Porteur (RT) + SANAGENCY (sous-traitant) + O2SWITCH (sous-traitant ultérieur, France). |
| Droits de la personne | Accès, rectification, suppression, opposition — via email du Porteur ou rgpd@num-ecard.com. |
| Droit de réclamation CNIL | Droit d'introduire une réclamation auprès de la CNIL — www.cnil.fr/fr/plaintes |
⏱️ 4. Durée de Conservation des Données
| Type de données | Durée de conservation | Base légale |
|---|---|---|
| Compte utilisateur actif | Tant que le compte est actif | Exécution du contrat |
| Compte inactif | 3 ans après dernière connexion | Intérêt légitime |
| Données de facturation | 10 ans (clôture exercice) | Obligation légale (Code de commerce) |
| Données de paiement | Non conservées (gérées par Stripe) | — |
| Données de carte de visite | Durée du service + 30 jours après suppression | Exécution du contrat |
| Logs de connexion / IP | 12 mois maximum | Obligation légale (LCEN) |
| Analytics Visiteurs des cartes | 12 mois glissants — suppression automatique | Intérêt légitime (Art. 6.1.f) |
| Token push VAPID | Jusqu'à révocation consentement ou désactivation carte | Consentement (Art. 6.1.a) |
| Données formulaire FDV | 24 mois maximum sur serveurs SANAGENCY | Sous-traitance (Art. 28 RGPD) |
| Données de prospection (newsletter) | 3 ans après dernier contact | Recommandation CNIL |
| Échanges service client | 5 ans après clôture du dossier | Intérêt légitime (gestion litiges) |
| Demandes de droits RGPD | 3 ans après clôture du dossier — purge auto CRON | Obligation légale (Art. 6.1.c) |
| Fichiers export utilisateur | 24 heures — purge CRON quotidien | Intérêt légitime |
👥 5. Destinataires de vos Données
Vos données sont destinées aux entités suivantes, selon les finalités décrites en §3 :
| Catégorie | Services fournis | Localisation |
|---|---|---|
| Personnel SANAGENCY | Service client, développement, comptabilité — dans la limite de leurs attributions | France |
| O2SWITCH (hébergeur) | Hébergement du site et des données | France (Clermont-Ferrand) |
| Cloudflare Inc. | CDN, protection DDoS — DPA signé | UE / USA (CCT) |
| Stripe Inc. | Traitement sécurisé des paiements — DPA signé, PCI-DSS | UE / USA (CCT) |
| Google Analytics 4 | Statistiques site vitrine uniquement (pas les cartes) | USA (DPF + CCT) |
| Porteur de la carte FDV | Responsable de traitement pour les données prospects via formulaire FDV | Variable (client SANAGENCY) |
🚫 Aucune vente de données : nous ne vendons jamais vos données personnelles à des tiers à des fins commerciales.
🌍 6. Transferts de Données Hors UE
Certains de nos prestataires sont établis hors de l'Union Européenne. Ces transferts sont encadrés par les garanties appropriées suivantes :
- Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne
- Data Privacy Framework UE-USA pour les prestataires éligibles
- Engagements contractuels de conformité RGPD (DPA signé avec chaque prestataire concerné)
- Hébergement principal (O2SWITCH) et analytics des cartes : 100% en France — aucun transfert hors UE
🔒 7. Mesures de Sécurité des Données
- Chiffrement HTTPS/TLS sur l'ensemble des communications
- Mots de passe hachés (bcrypt) — jamais stockés en clair
- Accès aux données restreint selon le principe du moindre privilège
- Authentification multi-facteurs (MFA) obligatoire sur tous les outils Cloud
- Sauvegardes chiffrées régulières avec plan de reprise d'activité
- Politique de mots de passe V1.0 (Bitwarden, 12 caractères min., renouvellement annuel)
- Hébergement certifié en France (O2SWITCH) — protection physique et logique
- Rate limiting sur les endpoints publics RGPD — anti-abus
- Tokens signés (TTL 24h) pour les liens de téléchargement des exports de données
✅ 8. Vos Droits sur vos Données Personnelles
NUM-ECARD met à votre disposition deux modes d'exercice de vos droits pour une expérience optimale :
⚡ Droits accessibles immédiatement dans votre espace client (Niveau 1 — sans délai) :
- Accès à vos données et export (Art. 15) →
/account/data - Portabilité (Art. 20) →
/account/data - Rectification de votre profil (Art. 16) →
/account/profile - Retrait de consentement newsletter et push (Art. 7) →
/account/preferences
| Droit RGPD | Mode d'exercice | Délai |
|---|---|---|
| Accès (Art. 15) | ⚡ Espace client : /account/data — export JSON/PDF | Immédiat (J+1) |
| Portabilité (Art. 20) | ⚡ Espace client : /account/data — export CSV/JSON | Immédiat (J+1) |
| Rectification (Art. 16) | ⚡ Espace client : /account/profile — modification directe | Immédiat (log auto) |
| Retrait consentement (Art. 7) | ⚡ Espace client : /account/preferences — toggle newsletter et push VAPID | Immédiat (synchrone) |
| Effacement (Art. 17) | 📋 Formulaire RGPD : /mes-droits — vérification manuelle requise | 30 jours max. |
| Opposition (Art. 21) | 📋 Formulaire RGPD : /mes-droits — suspension marketing immédiate | Immédiat / 30j (réponse) |
| Limitation (Art. 18) | 📋 Formulaire RGPD : /mes-droits — gel des traitements | Gel immédiat / 30j |
| Non-automatisation (Art. 22) | NUM-ECARD n'utilise aucun système de décision entièrement automatisé. | — |
| Réclamation (Art. 77) | 📋 Formulaire RGPD : /mes-droits — ou directement à la CNIL | 30 jours |
📧 Contact RGPD : rgpd@num-ecard.com | SAS SANAGENCY - Référent RGPD - 8 place Roger Salengro - 31000 Toulouse
⚠️ Note technique v4.1 : Chaque exercice de droit génère un enregistrement dans la table
rgpd_demande pour la traçabilité de la conformité (Art. 5.2 RGPD). Les droits Niveau 1 génèrent un log silencieux automatique. Les droits Niveau 2 (effacement, opposition, limitation, réclamation) génèrent une entrée avec statut suivi et délai de réponse de 30 jours.
🍪 9. Cookies et Technologies Similaires
| Type de cookie | Finalité | Consentement requis |
|---|---|---|
| Strictement nécessaires | Session, sécurité, authentification | Non (exemptés) |
| Performance | Google Analytics 4 — site vitrine uniquement | Oui |
| Fonctionnalité | Préférences utilisateur, langue, thème | Oui |
| Marketing | Non utilisés actuellement | — |
Voir le détail dans la Politique des cookies.
👶 10. Protection des Mineurs
Le service NUM-ECARD est destiné aux personnes âgées de 18 ans et plus. Nous ne collectons pas sciemment de données de personnes mineures sans le consentement parental. Si vous êtes parent ou tuteur et découvrez que votre enfant nous a fourni des données sans votre consentement, contactez-nous immédiatement à rgpd@num-ecard.com. Nous procéderons à la suppression immédiate du compte et des données.
🔄 11. Modifications de la Politique
Nous nous réservons le droit de modifier cette Politique à tout moment pour nous conformer aux évolutions réglementaires, jurisprudentielles, techniques ou organisationnelles. En cas de modification substantielle affectant vos droits, vous serez informé par email et par bannière d'information sur le site. La date de mise à jour est indiquée en haut de ce document.
⚖️ 12. Droit de Réclamation auprès de la CNIL
CNIL — Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07 — Tél. : 01 53 73 22 22
Site web : www.cnil.fr — Plainte en ligne : www.cnil.fr/fr/plaintes
💡 Recommandation : avant de saisir la CNIL, nous vous encourageons à nous contacter directement à rgpd@num-ecard.com. Nous nous engageons à traiter votre demande dans les plus brefs délais.
📞 13. Nous Contacter
| Email RGPD / Référent | rgpd@num-ecard.com |
| Email général | contact@num-ecard.com |
| Téléphone | 09 81 19 84 02 (lun-ven 9h-18h) |
| Courrier postal | SAS SANAGENCY — Référent RGPD — 8 place Roger Salengro — 31000 Toulouse |