Dernière mise à jour : 04/06/2026
La présente politique de protection des données personnelles (ci-après la « Politique ») détaille les conditions dans lesquelles Data Treat, en qualité de responsable de traitement pour les traitements liés à sa propre activité, procède au traitement des données à caractère personnel des utilisateurs du site internet www.datatreat.fr (ci-après le « Site »), des personnes prenant contact avec le cabinet, des abonnés à la newsletter, des bénéficiaires de ressources documentaires, et des clients dans le cadre de l'exécution de missions de conseil et de Délégué à la Protection des Données externalisé.
- Au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») ;
- À la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée (« Loi Informatique et Libertés ») ;
- Aux lignes directrices et recommandations de la Commission Nationale de l'Informatique et des Libertés (« CNIL »).
Cette Politique pourra être amenée à évoluer en fonction du contexte légal et réglementaire applicable ou de l'évolution de l'activité de Data Treat. Toute modification substantielle fera l'objet d'une information préalable des personnes concernées par les moyens appropriés.
Le responsable du traitement des données personnelles collectées via le Site est : Data Treat Société par actions simplifiée unipersonnelle au capital de 500,00 €
Immatriculée au RCS de Nanterre sous le numéro 952 606 184
Siège social : 99 avenue Achille Peretti, 92200 Neuilly-sur-Seine, France
Email : contact@datatreat.fr
Téléphone : 06 65 53 07 85
Représentée par sa Présidente, Lola Noël
Pour toute question relative à la protection des données, vous pouvez contacter le référent data protection de Data Treat à l'adresse : dpo@datatreat.fr Le Référent data protection peut être contacté pour toute question relative au traitement des données personnelles, à l'exercice des droits prévus par la réglementation, ou pour toute réclamation.
Data Treat s'engage à respecter, dans le cadre de tous ses traitements de données personnelles, les principes fondamentaux énoncés à l'article 5 du RGPD :
Les données personnelles sont traitées de manière licite, loyale et transparente. Chaque traitement repose sur une base légale identifiée notamment leconsentement, le contrat, l’obligation légale, l’intérêt légitime, la mission d'intérêt public ou encore la sauvegarde des intérêts vitaux et fait l'objet d'une information claire et accessible des personnes concernées.
Les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités initiales.
Seules les données adéquates, pertinentes et limitées à la réalisation des finalités poursuivies sont collectées et traitées. Aucune donnée non pertinente n'est demandée aux personnes concernées.
Les données personnelles collectées sont exactes et tenues à jour. Toute personne concernée peut demander la rectification ou l'effacement de données inexactes ou obsolètes.
Les données personnelles sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités du traitement. Les durées de conservation appliquées sont détaillées à l'article 6 de la présente Politique.
Data Treat met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels.
Data Treat tient à jour la documentation nécessaire à la démonstration de la conformité de ses traitements, notamment un registre des activités de traitement conformément à l'article 30 du RGPD.
Data Treat met en œuvre les traitements de données personnelles suivants, dont chacun est décrit ci-après avec sa finalité, sa base légale, les données collectées, sa durée de conservation et ses destinataires.
Permettre le bon fonctionnement technique du Site, assurer sa sécurité, mesurer son audience et améliorer l'expérience utilisateur.
Intérêt légitime de Data Treat pour les cookies strictement nécessaires au fonctionnement du Site (Article 6.1.f RGPD). Consentement de l'utilisateur pour les cookies non essentiels (Article 6.1.a RGPD et Article 82 de la Loi Informatique et Libertés).
Adresse IP, type de navigateur, système d'exploitation, pages visitées, durée de visite, source de référence.
13 mois maximum pour les cookies de mesure d'audience, conformément aux recommandations CNIL.
Permettre aux utilisateurs de contacter Data Treat pour toute demande d'information, de devis ou de prestation de services.
Exécution de mesures précontractuelles prises à la demande de la personne concernée (Article 6.1.b RGPD).
Nom, prénom, adresse email professionnelle, entreprise, fonction, numéro de téléphone (facultatif), contenu du message.
3 ans à compter du dernier contact si la demande ne donne pas suite à une relation contractuelle. Conservation contractuelle si la demande aboutit à une mission (voir section 3.6).
Envoyer aux abonnés une newsletter mensuelle relative à l'actualité réglementaire en matière de protection des données personnelles (RGPD) et de gouvernance de l'intelligence artificielle (IA Act).
Consentement libre, spécifique, éclairé et univoque de la personne concernée (Article 6.1.a RGPD), matérialisé par la coche d'une case dédiée lors de l'inscription. Ce consentement peut être retiré à tout moment via le lien de désinscription présent dans chaque email.
Adresse email professionnelle uniquement.
Pendant toute la durée de l'abonnement, puis 3 ans après désinscription à des fins de preuve du consentement.
Mettre à disposition gratuitement des ressources documentaires (guides pratiques, checklists, modèles, livres blancs) en contrepartie de la communication d'informations professionnelles permettant d'évaluer l'intérêt suscité par les publications de Data Treat.
Intérêt légitime de Data Treat à mesurer la portée de ses contenus éditoriaux et à proposer des accompagnements adaptés (Article 6.1.f RGPD), équilibré avec les attentes raisonnables des personnes téléchargeant volontairement les ressources. Une évaluation s’assurant du respect du principe de balance des intérêts à confirmer le recours à cette base légale.
Nom, prénom, adresse email professionnelle, entreprise, fonction.
3 ans à compter du téléchargement, période durant laquelle Data Treat pourra adresser des communications connexes en lien avec la fonction de la personne, dans les conditions de l'article L.34-5 du Code des postes et communications électroniques.
Permettre la prise de rendez-vous en ligne avec Data Treat pour une pré-analyse, un entretien stratégique ou une démonstration de prestation.
Exécution de mesures précontractuelles prises à la demande de la personne concernée (Article 6.1.b RGPD).
Nom, prénom, adresse email professionnelle, entreprise, créneau choisi, informations volontairement communiquées dans le champ libre.
3 ans à compter du dernier contact.
Les données sont traitées via Calendly (sous-traitant), dont les garanties en matière de transfert hors UE sont accessibles à : https://calendly.com/fr/help/your-privacy-and-security.
Assurer la réalisation des prestations contractuelles confiées à Data Treat : audits de conformité, conseil RGPD et IA Act, mise en conformité, formations, missions de Délégué à la Protection des Données externalisé.
Exécution du contrat de prestation (Article 6.1.b RGPD) et respect des obligations légales applicables, notamment au titre du RGPD pour les missions de DPO (Article 6.1.c RGPD).
Données d'identification professionnelle (nom, prénom, fonction, coordonnées professionnelles), données contractuelles (références, factures, paiements), correspondances échangées dans le cadre de la mission, livrables produits.
5 ans à compter de la fin de la mission au titre de la prescription civile (Article 2224 du Code civil), portée à 10 ans pour les documents comptables à compter de la clôture de l’exercice (Article L.123-22 du Code de commerce).
Les données personnelles collectées par Data Treat peuvent être communiquées aux catégories de destinataires suivantes, exclusivement dans la mesure nécessaire à la poursuite des finalités décrites à l'article 3 :
Les collaborateurs, stagiaires et apprentis de Data Treat dûment habilités, agissant dans le cadre de leurs missions et soumis à une obligation contractuelle de confidentialité.
Data Treat recourt à des sous-traitants au sens de l'article 28 du RGPD pour la fourniture de services techniques nécessaires au fonctionnement du Site et de son activité. Chaque sous-traitant fait l'objet d'un contrat de sous-traitance des données personnelles (Data Processing Agreement) garantissant un niveau de protection adéquat.
Les principales catégories de sous-traitants sont :
- Hébergeur du Site : Webflow, Inc. (États-Unis), voir section 5 sur les transferts hors UE
- Outil de prise de rendez-vous : Calendly LLC (États-Unis), voir section 5
- Outil de gestion de la newsletter : Mailchimp
- Outil de gestion de la relation client (CRM) : HubSpot
- Outil de mesure d'audience : Matomo
- Outil de signature éléctronique : DocuSign
Les autorités administratives ou judiciaires compétentes, sur demande légalement fondée, dans le respect des procédures applicables. Cela inclut notamment, le cas échéant, la CNIL dans le cadre de ses missions de contrôle ainsi que toute autorité de contrôle compétente d'un autre État membre.
Avocats, experts-comptables et commissaires aux comptes éventuels de Data Treat, soumis au secret professionnel, dans la stricte mesure nécessaire à l'exercice de leurs missions. Et tous prestataires intervenant conjointement dans le cadre de missions clients, dans les limites définies par les contrats correspondants.
Certaines données personnelles peuvent faire l'objet d'un transfert vers des pays situés en dehors de l'Espace Économique Européen (EEE), notamment vers les États-Unis du fait du recours à des sous-traitants techniques américains (Webflow, Calendly, et le cas échéant Google, Mailchimp ou équivalents).
Ces transferts sont encadrés conformément au Chapitre V du RGPD (Articles 44 à 50). Data Treat s'assure que les transferts reposent sur l'un des mécanismes suivants :
- Décision d'adéquation de la Commission européenne, notamment la décision d'exécution (UE) 2023/1795 du 10 juillet 2023 relative au niveau de protection adéquat des données à caractère personnel assuré par le cadre de protection des données UE-États-Unis (« Data Privacy Framework »), pour les organismes américains certifiés DPF, à savoir que Data Treat suit l'évolution du cadre juridique applicable et adaptera les mécanismes de transfert en conséquence en cas de modification ou d'invalidation de la décision d'adéquation ;
-Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision 2021/914 du 4 juin 2021), pour les sous-traitants non certifiés DPF. La mise en œuvre des CCT s'accompagne d'une évaluation de l'impact du transfert (Transfer Impact Assessment TIA) réalisée par Data Treat conformément aux recommandations 01/2020 du CEPD ;
- Garanties appropriées complémentaires, notamment les mesures techniques complémentaires (chiffrement, pseudonymisation) mises en œuvre en application des recommandations du CEPD adoptées à la suite de l'arrêt Schrems II (CJUE, 16 juillet 2020, C-311/18), en complément des CCT.
Data Treat vérifie au moins annuellement et lors de tout renouvellement contractuel le maintien de la certification Data Privacy Framework de ses sous-traitants américains via le registre officiel accessible à l'adresse www.dataprivacyframework.gov.
Les durées de conservation appliquées par Data Treat pour chaque traitement sont récapitulées dans le tableau ci-après. À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
Navigation sur le Site
Intérêt légitime / Consentement
IP, navigateur, pages visitées
13 mois maximum
Formulaire de contact
Mesures précontractuelles
Nom, email, entreprise, message
3 ans après dernier contact
Newsletter
Consentement
Email professionnel
Pendant la durée de l'abonnement, puis 3 ans après désinscription
Prise de RDV Calendly
Mesures précontractuelles
Nom, email, entreprise, créneau
3 ans après dernier contact
Missions de conseil
Contrat / Obligation légale
Données contractuelles
5 ans fin de mission / 10 ans clôture exercice comptable
Conformément à l'article 32 du RGPD, Data Treat met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- Chiffrement des données en transit (protocole HTTPS/TLS) sur l'ensemble du Site ;
- Authentification renforcée pour l'accès aux données par les collaborateurs habilités ;
- Sauvegardes régulières des données et tests de restauration ;
- Politique de gestion des habilitations limitant l'accès aux données aux seuls collaborateurs ayant un besoin légitime ;
- Engagement contractuel de confidentialité de l'ensemble des collaborateurs, stagiaires et apprentis ; - Sensibilisation et formation régulière du personnel aux enjeux de protection des données ;
- Sélection rigoureuse des sous-traitants offrant des garanties suffisantes en matière de protection des données (Article 28 RGPD) ;
- Procédure formalisée de gestion des violations de données personnelles, incluant la notification à la CNIL dans les 72 heures conformément à l'article 33 du RGPD.
Conformément aux articles 15 à 22 du RGPD et à la Loi Informatique et Libertés, toute personne dont les données personnelles sont traitées par Data Treat dispose des droits suivants :
Vous pouvez obtenir la confirmation que des données vous concernant sont traitées, et le cas échéant, en recevoir une copie ainsi que des informations sur les finalités, catégories de données, destinataires, durées de conservation et droits applicables.
Vous pouvez demander la rectification de données inexactes ou le complément de données incomplètes vous concernant.
Vous pouvez demander l'effacement de vos données personnelles dans les cas prévus par la réglementation, notamment lorsque les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou lorsque vous retirez votre consentement.
Vous pouvez demander la limitation du traitement de vos données dans certaines situations, notamment en cas de contestation de l'exactitude des données ou d'opposition au traitement.
Vous pouvez recevoir les données vous concernant que vous avez fournies à Data Treat dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
Vous pouvez vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement de vos données reposant sur l'intérêt légitime. Vous pouvez également vous opposer sans motif au traitement de vos données à des fins de prospection commerciale.
Lorsque le traitement repose sur votre consentement (notamment pour la newsletter), vous pouvez retirer ce consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement effectué avant ce retrait.
Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès. Ces directives peuvent être générales (auprès d'un tiers de confiance certifié par la CNIL) ou particulières (directement auprès de Data Treat).
Pour exercer l'un de ces droits, vous pouvez adresser votre demande au référent protection des données aux adresses de contact suivantes :
Par email : dpo@datatreat.fr
Par courrier postal : Data Treat, DPO, 99 avenue Achille Peretti, 92200 Neuilly-sur-Seine
Pour des raisons de sécurité et afin d'éviter toute demande frauduleuse, Data Treat peut vous demander de justifier de votre identité avant de répondre à votre demande. Data Treat s'engage à répondre à votre demande dans un délai d'un mois à compter de sa réception, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux mois compte tenu de la complexité ou du nombre de demandes, auquel cas vous en serez informé(e).
Le Site utilise des cookies et autres traceurs dont les modalités de fonctionnement, les finalités, les durées de conservation et les moyens de paramétrage sont détaillés dans la Politique de gestion des cookies, accessible depuis le pied de page du Site.
Conformément à l'article 82 de la Loi Informatique et Libertés et aux recommandations de la CNIL (Délibération n°2020-091 du 17 septembre 2020), aucun cookie non strictement nécessaire au fonctionnement du Site n'est déposé sans le consentement préalable de l'utilisateur.
Conformément à l'article 77 du RGPD, si vous estimez, après avoir contacté Data Treat, que vos droits relatifs à la protection de vos données personnelles ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site internet : www.cnil.fr
Data Treat se réserve le droit de modifier la présente Politique à tout moment, notamment pour tenir compte de l'évolution du cadre légal et réglementaire applicable, des recommandations de la CNIL, ou de l'évolution de son activité.
Toute modification substantielle de la présente Politique fera l'objet d'une information préalable des personnes concernées par les moyens appropriés (notamment par email pour les abonnés à la newsletter et par un bandeau d'information sur le Site).
La date de dernière mise à jour est indiquée en tête de la présente Politique. Il est recommandé de consulter régulièrement cette page afin de prendre connaissance des éventuelles modifications.
.png){kind=icon}