Explorez
Politique de Confidentialité
POLITIQUE DE CONFIDENTIALITÉ
SENHUB.IO
Version 2.0 – Dernière mise à jour : Janvier 2025
PRÉAMBULE
La société SENSOR FACTORY SAS, société par actions simplifiée au capital de 10 000 euros, immatriculée au Registre du Commerce et des Sociétés de Nantes sous le numéro B 985 036 613, dont le siège social est situé 5, Boulevard Vincent Gâche, 44200 Nantes, France (ci-après dénommée « nous », « notre », « Sensor Factory » ou la « Société »), éditrice et exploitante de la plateforme Senhub.io, considère la protection des données personnelles comme un enjeu fondamental de la confiance numérique et s’engage à garantir le plus haut niveau de protection des données de ses utilisateurs.
La présente Politique de Confidentialité constitue un engagement contractuel de la Société et a pour objet d’informer de manière complète, claire et transparente les utilisateurs du Service sur l’ensemble des traitements de données personnelles mis en œuvre dans le cadre de l’utilisation de la plateforme Senhub.io. Elle détaille les modalités de collecte, d’utilisation, de conservation et de protection des données personnelles, ainsi que les droits dont disposent les personnes concernées et les moyens de les exercer.
Cette politique s’applique à l’ensemble des services proposés sur la plateforme Senhub.io et a été élaborée en stricte conformité avec les dispositions du Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016⁄679), la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa version consolidée, ainsi que l’ensemble de la législation française et européenne applicable en matière de protection des données personnelles.
ARTICLE 1 – RESPONSABLE DE TRAITEMENT ET DISTINCTION FONDAMENTALE
1.1 Identification du responsable de traitement
Le responsable du traitement des données personnelles collectées via la plateforme Senhub.io est la société SENSOR FACTORY SAS, société par actions simplifiée au capital de 10 000 euros, immatriculée au Registre du Commerce et des Sociétés de Nantes sous le numéro B 985 036 613, dont le siège social est situé au 5, Boulevard Vincent Gâche, 44200 Nantes, France. La Société agit en cette qualité pour l’ensemble des données nécessaires à la gestion de la relation commerciale et à la fourniture du Service.
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données par courrier électronique à l’adresse privacy@senhub.io ou par voie postale à l’adresse du siège social susmentionnée. Notre équipe dédiée s’engage à traiter votre demande avec la plus grande diligence et dans le respect des délais légaux.
1.2 Distinction fondamentale pour un service iPaaS
La nature spécifique de notre Service en tant que plateforme d’intégration (iPaaS) nécessite d’établir une distinction fondamentale entre deux catégories de données traitées. Cette distinction est essentielle pour comprendre nos responsabilités respectives et les garanties que nous apportons.
Les données de compte correspondent à l’ensemble des données personnelles que nous collectons et stockons de manière permanente pour assurer la gestion de votre compte professionnel, la relation commerciale et la fourniture du Service. Pour ces données, nous agissons en qualité de responsable de traitement et assumons l’intégralité des obligations qui en découlent au titre du RGPD.
Les données en transit constituent une catégorie distincte correspondant aux métriques collectées par nos connecteurs depuis vos systèmes sources et susceptibles de contenir des données personnelles selon votre configuration. Ces données font l’objet d’un traitement purement technique sans analyse de contenu ni stockage permanent. Elles transitent par notre infrastructure uniquement pour transformation de format et transmission immédiate vers votre outil de monitoring. Pour ces données, nous intervenons exclusivement en qualité de sous-traitant selon vos instructions, le Client conservant la qualité de responsable de traitement.
ARTICLE 2 – DONNÉES COLLECTÉES ET STOCKÉES PAR SENSOR FACTORY
2.1 Données de compte professionnel
La création et la gestion de votre compte professionnel nécessitent la collecte de certaines données indispensables à l’établissement et au maintien de la relation commerciale. Ces données comprennent votre adresse électronique professionnelle qui constitue votre identifiant unique sur la plateforme et permet l’ensemble des communications relatives au Service. Nous collectons également vos nom et prénom en tant que représentant habilité de votre organisation, permettant une identification claire dans le cadre de nos échanges professionnels. La dénomination sociale complète de votre entreprise ainsi que son adresse de facturation sont nécessaires à l’établissement des documents commerciaux conformes aux exigences légales. Pour les entreprises assujetties, le numéro de TVA intracommunautaire est collecté afin d’appliquer correctement les dispositions fiscales européennes. De manière optionnelle, votre numéro de téléphone professionnel peut être renseigné pour faciliter la résolution rapide d’éventuelles difficultés techniques urgentes.
La collecte de ces données repose sur la base légale de l’exécution du contrat nous liant, conformément à l’article 6.1.b du RGPD. Ces informations sont indispensables à la fourniture du Service et leur défaut rendrait impossible l’exécution de nos prestations. La conservation de ces données s’étend sur toute la durée de la relation commerciale active, augmentée d’une période de trois ans à compter de la fin de cette relation pour répondre à nos obligations comptables et permettre la gestion d’éventuelles réclamations ou litiges.
2.2 Données de facturation et de paiement
Le traitement des aspects financiers de notre relation commerciale implique la collecte de données spécifiques variant selon les modalités de paiement choisies et la localisation géographique de votre entreprise. Cette différenciation s’explique par notre volonté d’optimiser les processus de paiement tout en respectant les réglementations locales et en minimisant les frais de transaction pour nos clients.
Pour les clients établis hors de l’Union européenne ainsi que pour l’ensemble des paiements par carte bancaire, nous faisons appel à Stripe Inc., leader mondial du traitement sécurisé des paiements en ligne. Cette solution garantit que les informations sensibles de carte bancaire sont traitées sous forme tokenisée, Sensor Factory n’ayant jamais accès aux données complètes de la carte. Stripe conserve ces informations dans le respect des normes PCI-DSS les plus strictes, assurant ainsi un niveau de sécurité optimal pour vos données financières.
Pour nos clients de l’Union européenne privilégiant le prélèvement SEPA, nous collaborons avec GoCardless SAS, établissement de paiement français régulé par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution). Cette solution européenne garantit que l’ensemble du traitement des coordonnées bancaires s’effectue au sein de l’Union européenne, dans le respect total du cadre réglementaire SEPA. La gestion comptable et le suivi détaillé de la facturation sont assurés par Pennylane, société française spécialisée dans la comptabilité digitale, garantissant ainsi une parfaite conformité avec les exigences comptables et fiscales françaises.
Le traitement de ces données financières s’appuie sur deux bases légales complémentaires. D’une part, l’exécution du contrat nécessite le traitement des paiements pour la fourniture du Service. D’autre part, nos obligations légales, notamment en matière fiscale et comptable, imposent la conservation de ces informations. La durée de conservation est ainsi fixée à dix ans à compter de la clôture de l’exercice comptable concerné, conformément aux dispositions du Code de commerce et du Code général des impôts.
2.3 Données techniques et journaux de connexion
L’exploitation sécurisée et optimisée de notre Service nécessite la collecte automatique de certaines données techniques lors de chaque interaction avec la plateforme. Cette collecte, effectuée de manière transparente, comprend plusieurs catégories d’informations essentielles au bon fonctionnement et à l’amélioration continue du Service.
Votre adresse IP est enregistrée à chaque connexion pour assurer la sécurité des accès, détecter d’éventuelles anomalies et prévenir les tentatives d’intrusion ou d’utilisation frauduleuse. Les caractéristiques techniques de votre environnement, incluant le type et la version de votre navigateur ainsi que votre système d’exploitation, nous permettent d’optimiser la compatibilité et les performances de notre interface. L’horodatage précis de vos connexions et actions sur la plateforme constitue un élément essentiel de la traçabilité et de la sécurité du Service. Les pages visitées et fonctionnalités utilisées font l’objet d’un suivi agrégé permettant d’identifier les parcours utilisateurs et d’améliorer l’ergonomie de la plateforme.
Cette collecte repose sur notre intérêt légitime, conformément à l’article 6.1.f du RGPD, à assurer la sécurité, la performance et l’amélioration continue du Service. Nous avons procédé à une analyse d’impact démontrant que cet intérêt légitime ne porte pas atteinte de manière disproportionnée à vos droits et libertés fondamentaux. Les durées de conservation sont différenciées selon la finalité des données. Les journaux d’accès standard sont conservés pendant un mois pour les besoins opérationnels immédiats. Les journaux de sécurité bénéficient d’une conservation étendue à six mois permettant l’analyse approfondie d’éventuels incidents et la détection de patterns d’attaque sophistiqués. Les statistiques agrégées et anonymisées peuvent être conservées jusqu’à deux ans pour permettre l’analyse des tendances d’usage et l’amélioration stratégique du Service.
2.4 Données de support et d’assistance
La qualité de notre support technique constitue un élément différenciant de notre offre. Pour assurer un service d’assistance optimal, nous utilisons la plateforme FreshDesk qui centralise l’ensemble des interactions de support. Cette centralisation garantit un suivi rigoureux de vos demandes et une résolution efficace de vos difficultés techniques.
Les données collectées dans ce cadre comprennent l’intégralité de l’historique des tickets de support incluant les descriptions détaillées de vos demandes et problèmes rencontrés, l’ensemble des communications échangées avec notre équipe technique incluant les questions complémentaires et clarifications apportées, les informations techniques que vous partagez volontairement pour faciliter le diagnostic et la résolution, notamment les captures d’écran, logs d’erreur ou configurations spécifiques, ainsi que les solutions apportées et validations de résolution constituant notre base de connaissances interne.
Le traitement de ces données s’effectue sur la base légale de l’exécution du contrat, le support technique faisant partie intégrante de notre offre de Service. Ces informations sont conservées pendant toute la durée de la relation commerciale active, augmentée d’une période d’un an permettant d’assurer la continuité du support en cas de réactivation, d’analyser les problématiques récurrentes pour améliorer le Service, et de constituer une base de connaissances enrichie bénéficiant à l’ensemble de nos clients.
ARTICLE 3 – DONNÉES EN TRANSIT ET RÔLE DE SOUS-TRAITANT
3.1 Nature et traitement des données en transit
La spécificité technique de notre Service en tant que plateforme d’intégration implique le traitement de métriques provenant de vos systèmes sources et destinées à vos outils de monitoring. Ces métriques, que nous qualifions de "données en transit", peuvent potentiellement contenir des données personnelles selon la nature de vos systèmes supervisés et la configuration que vous établissez. Il est fondamental de comprendre que ces données font l’objet d’un traitement radicalement différent de celui appliqué aux données de compte.
Les données susceptibles de transiter par notre infrastructure comprennent notamment des identifiants d’utilisateurs présents dans les journaux applicatifs ou les métriques d’utilisation, des adresses IP contenues dans les logs réseau ou les métriques de connexion, des informations nominatives pouvant apparaître dans les messages d’erreur, les traces d’exécution ou les logs de débogage, ainsi que toute autre donnée que votre configuration spécifique pourrait inclure dans les requêtes de collecte. Le traitement que nous effectuons sur ces données est strictement limité aux opérations techniques nécessaires à la fourniture du Service et comprend exclusivement la collecte automatisée depuis les Providers selon vos paramètres de configuration, la transformation du format pour assurer la compatibilité avec votre outil de monitoring de destination, le calcul éventuel de métriques dérivées ou agrégées selon vos instructions, le maintien temporaire minimal des données pour la gestion des reprises sur erreur et la stabilisation du flux, et enfin la transmission immédiate et sécurisée vers votre système de monitoring désigné.
Notre infrastructure maintient un cache temporaire strictement limité permettant uniquement la gestion technique des flux de données et la prévention des fausses alertes, sans aucun stockage permanent ni analyse du contenu au-delà des transformations techniques nécessaires.
3.2 Qualification juridique et répartition des responsabilités
Pour l’ensemble des données en transit, Sensor Factory intervient exclusivement en qualité de sous-traitant au sens de l’article 4.8 du RGPD. Cette qualification juridique emporte des conséquences importantes sur la répartition des responsabilités entre les parties. En tant que sous-traitant, nous agissons uniquement sur vos instructions documentées, matérialisées par la configuration technique que vous établissez. Nous n’avons aucune latitude décisionnelle quant aux finalités du traitement ni aux moyens essentiels de celui-ci. Notre intervention se limite à l’exécution technique des opérations nécessaires au transit et à la transformation des données.
Corrélativement, vous conservez la qualité de responsable de traitement pour ces données et assumez l’intégralité des obligations qui en découlent. Cette responsabilité implique notamment la détermination des finalités légitimes du traitement des métriques, l’établissement d’une base légale appropriée pour la collecte et le traitement de ces données, l’information des personnes concernées dont les données seraient présentes dans les métriques, le respect du principe de minimisation en limitant la collecte aux données strictement nécessaires, ainsi que la garantie du respect de l’ensemble des droits des personnes concernées.
Le Client reconnaît qu’il lui appartient de s’assurer de la conformité de sa configuration avec la réglementation applicable en matière de protection des données personnelles. SENSOR FACTORY ne saurait être tenue responsable d’une configuration non conforme établie par le Client.
3.3 Engagements et limitations de notre intervention
Notre position de sous-traitant pour les données en transit s’accompagne d’engagements stricts que nous respectons scrupuleusement. Nous garantissons formellement l’absence totale de stockage permanent de ces données dans nos systèmes, le cache temporaire étant automatiquement purgé après traitement. Aucune analyse du contenu des données n’est effectuée au-delà des transformations techniques strictement nécessaires à leur acheminement. Les données ne font l’objet d’aucune exploitation commerciale, statistique ou analytique pour notre propre compte. La confidentialité absolue est maintenue, notre personnel n’ayant pas accès au contenu des métriques en transit sauf nécessité technique exceptionnelle dûment justifiée et tracée.
Il est essentiel de comprendre que notre infrastructure fonctionne comme un canal de transmission sécurisé avec transformation de format, sans capacité ni volonté d’analyser, d’interpréter ou d’exploiter le contenu informationnel des données qui y transitent. Cette architecture technique a été spécifiquement conçue pour minimiser notre exposition aux données personnelles et garantir que notre rôle reste strictement limité aux aspects techniques du transit.
ARTICLE 4 – COOKIES ET TECHNOLOGIES DE TRAÇAGE
4.1 Typologie et finalités des cookies
Notre plateforme utilise différentes catégories de cookies, chacune répondant à des finalités spécifiques et faisant l’objet d’un régime juridique distinct. Les cookies strictement nécessaires au fonctionnement du Service constituent la première catégorie et comprennent les cookies de session garantissant l’authentification sécurisée et le maintien de votre connexion tout au long de votre navigation, les cookies de préférences linguistiques permettant l’affichage de l’interface dans votre langue choisie, ainsi que les tokens CSRF (Cross-Site Request Forgery) essentiels à la prévention des attaques par usurpation de requête. Ces cookies techniques sont exemptés de l’obligation de recueil du consentement conformément à l’article 82 de la loi Informatique et Libertés, leur désactivation rendant impossible l’utilisation normale du Service.
Les cookies de performance et d’analyse constituent une seconde catégorie soumise à votre consentement préalable. Nous utilisons Google Analytics dans une configuration respectueuse de la vie privée, avec anonymisation des adresses IP et désactivation du partage de données avec Google à des fins publicitaires. Ces cookies nous permettent de comprendre l’utilisation globale de la plateforme, d’identifier les fonctionnalités les plus utilisées et les éventuels points de friction dans les parcours utilisateurs. Les données collectées sont agrégées et ne permettent pas votre identification individuelle. Les transferts de données vers Google sont encadrés par les Clauses Contractuelles Types. Les utilisateurs peuvent s’opposer à ce traitement via notre centre de gestion des cookies.
4.2 Gestion et contrôle des cookies
Conformément aux dispositions de la directive ePrivacy et aux recommandations de la CNIL, nous mettons à votre disposition plusieurs moyens de contrôler l’utilisation des cookies. Un bandeau de consentement s’affiche lors de votre première visite, vous permettant d’accepter ou refuser sélectivement chaque catégorie de cookies non essentiels. Vos choix sont conservés pendant une durée de treize mois, après quoi le consentement vous est à nouveau demandé. Vous pouvez modifier vos préférences à tout moment via le centre de gestion des cookies accessible depuis le pied de page de notre site. Les paramètres de votre navigateur vous offrent également un contrôle granulaire sur l’acceptation et la conservation des cookies, bien que le blocage des cookies essentiels puisse compromettre le fonctionnement du Service.
ARTICLE 5 – DESTINATAIRES DES DONNÉES
5.1 Catégories de destinataires
Les données personnelles que nous collectons sont traitées selon le principe du besoin d’en connaître et ne sont accessibles qu’aux personnes strictement habilitées. Nos équipes internes constituent les premiers destinataires, avec des accès différenciés selon leurs fonctions. L’équipe technique accède aux données nécessaires à la maintenance et l’évolution de la plateforme, l’équipe support aux informations requises pour la résolution de vos demandes, l’équipe commerciale aux données de compte pour la gestion de la relation client, et l’équipe administrative aux informations comptables et fiscales nécessaires.
Nous faisons appel à des sous-traitants rigoureusement sélectionnés pour leurs garanties en matière de protection des données et liés par des clauses contractuelles strictes conformes à l’article 28 du RGPD. Ces partenaires techniques interviennent exclusivement sur nos instructions et dans le cadre défini contractuellement. OVH SAS assure l’hébergement de l’infrastructure dans ses datacenters français certifiés, garantissant la souveraineté et la sécurité physique de vos données. Stripe Inc. et GoCardless SAS traitent les aspects financiers dans le respect des normes les plus strictes du secteur bancaire. FreshDesk Inc. gère notre plateforme de support avec des garanties appropriées pour les transferts internationaux. Pennylane SAS assure notre gestion comptable dans le respect de la réglementation française. Google LLC, via Google Analytics, traite les statistiques d’usage de manière anonymisée.
5.2 Transferts internationaux
La localisation de nos sous-traitants et la nature de leurs services peuvent impliquer des transferts de données hors de l’Espace Économique Européen. Ces transferts sont strictement encadrés et limités au nécessaire. L’infrastructure principale et les données de compte restent exclusivement hébergées en France, garantissant l’application du droit européen. Les transferts vers les États-Unis, nécessaires pour certains services auxiliaires comme le support technique et l’analyse statistique, sont encadrés par les Clauses Contractuelles Types adoptées par la Commission Européenne (Décision 2021/914/UE). Une analyse d’impact relative aux transferts (TIA) a été réalisée conformément aux exigences de l’arrêt Schrems II. Les mesures techniques et organisationnelles supplémentaires mises en œuvre sont documentées et disponibles sur demande pour nos Clients sous accord de confidentialité.
Nous évaluons régulièrement le niveau de protection offert dans les pays tiers et adaptons nos mesures en conséquence. Une analyse d’impact relative aux transferts est maintenue et mise à jour pour chaque transfert, garantissant un niveau de protection essentiellement équivalent à celui offert au sein de l’Union Européenne.
ARTICLE 6 – SÉCURITÉ DES DONNÉES
6.1 Mesures techniques de protection
La sécurité de vos données personnelles constitue notre priorité absolue et se traduit par la mise en œuvre de mesures techniques conformes à l’état de l’art. L’ensemble des communications entre votre navigateur et nos serveurs est protégé par chiffrement TLS 1.2 minimum, avec des suites cryptographiques régulièrement mises à jour selon les recommandations de l’ANSSI. Les certificats font l’objet d’une surveillance continue et sont renouvelés avant expiration.
Notre architecture multi-tenant garantit une isolation complète entre les environnements clients au niveau réseau, calcul et stockage. Chaque tenant dispose de ses propres clés de chiffrement, générées et gérées selon les meilleures pratiques cryptographiques. Les données sensibles au repos, notamment les tokens d’authentification et les configurations contenant des credentials, sont chiffrées via AES-256-GCM. Les sauvegardes, effectuées toutes les quatre heures, sont chiffrées et répliquées géographiquement pour garantir la résilience en cas d’incident majeur.
Un système de détection et prévention des intrusions (IDS/IPS) analyse en temps réel l’ensemble du trafic réseau pour identifier et bloquer les tentatives d’attaque. Les logs de sécurité sont centralisés dans un SIEM (Security Information and Event Management) permettant la corrélation d’événements et la détection d’anomalies sophistiquées. Des scans de vulnérabilité automatisés sont conduits hebdomadairement, complétés par des tests d’intrusion manuels trimestriels effectués par des prestataires certifiés.
6.2 Mesures organisationnelles de protection
La sécurité technique est renforcée par un cadre organisationnel rigoureux. Notre politique de sécurité des systèmes d’information (PSSI) définit les règles et procédures applicables à l’ensemble du personnel. Cette politique fait l’objet d’une revue annuelle et d’une validation par la direction. Les accès aux systèmes et aux données sont gérés selon le principe du moindre privilège, avec une matrice d’habilitations régulièrement auditée. Chaque accès fait l’objet d’une traçabilité complète et les droits sont automatiquement révoqués lors du départ d’un collaborateur.
Le personnel bénéficie d’une formation initiale et continue sur les enjeux de sécurité et de protection des données. Des exercices de sensibilisation, incluant des campagnes de phishing simulé, sont régulièrement organisés. Les développeurs suivent une formation spécifique au développement sécurisé et appliquent les principes du Security by Design. Un processus de gestion des incidents de sécurité est formellement établi, incluant une cellule de crise mobilisable 24⁄7, des procédures de confinement et de remédiation documentées, ainsi qu’un processus de retour d’expérience systématique.
6.3 Gestion des violations de données
Conformément aux articles 33 et 34 du RGPD, nous avons établi une procédure rigoureuse de gestion des violations de données personnelles. Toute suspicion de violation déclenche immédiatement une investigation menée par notre équipe sécurité. Si la violation est confirmée et présente un risque pour les droits et libertés des personnes concernées, la notification à la CNIL intervient dans les soixante-douze heures maximum, incluant la nature de la violation et les catégories de données concernées, le nombre approximatif de personnes et d’enregistrements concernés, les conséquences probables de la violation, ainsi que les mesures prises ou envisagées pour y remédier.
Les clients concernés sont informés sans délai injustifié lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés. Cette notification comprend, en langage clair et accessible, la description de la nature de la violation, les recommandations sur les mesures à prendre pour en atténuer les effets négatifs potentiels, ainsi que les coordonnées de notre DPO pour obtenir des informations complémentaires. Chaque incident fait l’objet d’une documentation exhaustive dans notre registre des violations, incluant les faits, les effets, les mesures correctives et les enseignements tirés.
ARTICLE 7 – VOS DROITS RGPD
7.1 Panorama de vos droits
Le RGPD vous confère un ensemble de droits fondamentaux sur vos données personnelles que nous nous engageons à respecter et faciliter. Le droit d’accès, prévu à l’article 15 du RGPD, vous permet d’obtenir la confirmation que des données vous concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, d’accéder à ces données ainsi qu’à un ensemble d’informations sur leur traitement. Le droit de rectification, établi par l’article 16, vous autorise à obtenir dans les meilleurs délais la rectification de données inexactes ou incomplètes. Le droit à l’effacement ou "droit à l’oubli", codifié à l’article 17, permet dans certaines conditions de demander l’effacement de vos données, notamment lorsqu’elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
Le droit à la limitation du traitement, prévu à l’article 18, vous permet de demander le gel temporaire du traitement dans certaines situations, par exemple le temps de vérifier l’exactitude de données que vous contestez. Le droit d’opposition de l’article 21 vous autorise à vous opposer à tout moment aux traitements fondés sur l’intérêt légitime, sauf motifs légitimes et impérieux de notre part. Pour les traitements à des fins de prospection, votre droit d’opposition est absolu et s’exerce sans avoir à justifier de motifs particuliers. Le droit à la portabilité des données, introduit par l’article 20 du RGPD, vous permet de recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.
7.2 Modalités d’exercice de vos droits
L’exercice de vos droits s’effectue selon des modalités simples et accessibles. Vous pouvez adresser votre demande par courrier électronique à privacy@senhub.io en précisant clairement le droit que vous souhaitez exercer et en joignant tout élément utile à son traitement. Une demande par courrier postal peut également être envoyée à notre siège social à l’attention du Délégué à la Protection des Données. Pour garantir la sécurité du traitement et prévenir toute divulgation non autorisée, nous pouvons être amenés à vérifier votre identité, notamment par la demande d’une copie de votre pièce d’identité.
Nous nous engageons à répondre à votre demande dans un délai maximum d’un mois à compter de sa réception. Ce délai peut être prolongé de deux mois supplémentaires en raison de la complexité ou du nombre de demandes, auquel cas vous serez informé de cette prolongation et de ses motifs dans le délai initial d’un mois. L’exercice de vos droits est en principe gratuit, sauf demandes manifestement infondées ou excessives, notamment par leur caractère répétitif, pour lesquelles nous nous réservons le droit de demander le paiement de frais raisonnables ou de refuser de donner suite.
7.3 Voies de recours
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés ou que le traitement de vos données n’est pas conforme à la réglementation, vous disposez de plusieurs voies de recours. Vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité de contrôle compétente en France, soit par courrier postal à l’adresse 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, soit en ligne via le formulaire disponible sur www.cnil.fr, soit par téléphone au 01 53 73 22 22. Cette réclamation peut être introduite sans préjudice de tout autre recours administratif ou juridictionnel.
Vous disposez également de la possibilité de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle vous concernant, ou si l’autorité de contrôle ne traite pas votre réclamation ou ne vous informe pas de l’état d’avancement ou de l’issue de celle-ci dans un délai de trois mois. Un recours juridictionnel direct contre le responsable de traitement ou le sous-traitant est également possible devant les juridictions de l’État membre dans lequel nous avons un établissement ou dans lequel vous avez votre résidence habituelle.
ARTICLE 8 – CONSERVATION DES DONNÉES
8.1 Principes gouvernant les durées de conservation
Les durées de conservation de vos données personnelles sont déterminées conformément au principe de limitation de la conservation énoncé à l’article 5.1.e du RGPD. Nous ne conservons vos données que pendant la durée strictement nécessaire au regard des finalités pour lesquelles elles sont traitées, augmentée le cas échéant des durées de conservation imposées par les obligations légales ou nécessaires à la constatation, l’exercice ou la défense de droits en justice.
Nos durées de conservation sont établies selon une méthodologie rigoureuse prenant en compte la nature des données concernées et leur sensibilité, les finalités du traitement et la nécessité de conserver les données pour les atteindre, les obligations légales et réglementaires applicables imposant une durée de conservation spécifique, les délais de prescription applicables pour d’éventuelles actions en justice, ainsi que les recommandations des autorités de contrôle et les bonnes pratiques sectorielles.
8.2 Durées de conservation spécifiques
Les données de compte professionnel sont conservées pendant toute la durée de la relation commerciale active. À l’issue de cette relation, elles sont archivées pendant une période de trois ans pour permettre la gestion d’éventuelles réclamations et respecter nos obligations comptables, puis définitivement supprimées ou anonymisées de manière irréversible.
Les données de facturation et documents comptables obéissent à des obligations légales spécifiques et sont conservés pendant une durée de dix ans à compter de la clôture de l’exercice comptable concerné, conformément à l’article L123-22 du Code de commerce et à l’article L102 B du Livre des procédures fiscales. Les données techniques font l’objet de durées différenciées selon leur nature avec des journaux d’accès conservés un mois pour les besoins opérationnels, des journaux de sécurité conservés six mois pour l’analyse approfondie des incidents, et des statistiques agrégées pouvant être conservées jusqu’à deux ans sous forme anonymisée.
Les données de support sont conservées pendant la durée de la relation commerciale augmentée d’un an pour assurer la continuité du service et capitaliser sur les problématiques résolues. Les cookies ont des durées de vie variables, de la session pour les cookies d’authentification à treize mois maximum pour les cookies analytiques, conformément aux recommandations de la CNIL.
ARTICLE 9 – MINEURS ET CAPACITÉ JURIDIQUE
Notre Service est exclusivement destiné à une utilisation professionnelle dans un contexte B2B (Business to Business) et n’est pas conçu pour être utilisé par ou s’adresser à des personnes physiques âgées de moins de dix-huit ans. Nous ne collectons pas sciemment de données personnelles directement auprès de mineurs et nos conditions générales d’utilisation requièrent que les utilisateurs attestent de leur majorité et capacité juridique lors de l’inscription.
Dans l’hypothèse où nous serions informés qu’un mineur nous a fourni des données personnelles sans l’autorisation appropriée, nous prendrions immédiatement les mesures nécessaires pour supprimer ces informations de nos systèmes et résilier le compte concerné. Les entreprises clientes utilisant notre Service sont responsables de s’assurer que leurs propres utilisateurs autorisés disposent de la capacité juridique nécessaire et, le cas échéant, des autorisations parentales requises.
ARTICLE 10 – MODIFICATIONS DE LA POLITIQUE
10.1 Évolution de la politique de confidentialité
La présente politique de confidentialité peut faire l’objet de modifications pour refléter les évolutions de nos pratiques, nous conformer aux changements législatifs ou réglementaires, intégrer de nouvelles fonctionnalités ou services, ou répondre aux recommandations des autorités de contrôle. Ces modifications sont effectuées dans un souci constant d’amélioration de la protection de vos données et de transparence accrue.
Les modifications sont catégorisées selon leur impact sur vos droits. Les modifications mineures, incluant les corrections typographiques, clarifications rédactionnelles sans impact sur le fond, ou mises à jour d’informations de contact, sont appliquées immédiatement avec simple mise à jour de la date de révision. Les modifications substantielles, affectant la nature des traitements, les finalités, les catégories de données collectées, les destinataires, vos droits ou nos pratiques de sécurité, font l’objet d’une procédure de notification spécifique.
10.2 Procédure de notification et d’acceptation
Pour toute modification substantielle, nous vous informons par courrier électronique à l’adresse associée à votre compte avec un préavis minimum de trente jours avant l’entrée en vigueur. Cette notification comprend un résumé clair des modifications apportées, la nouvelle version complète de la politique, la date d’entrée en vigueur prévue, ainsi que vos options incluant l’acceptation ou la résiliation du Service si vous n’acceptez pas les modifications.
La poursuite de l’utilisation du Service après l’entrée en vigueur des modifications vaut acceptation de la politique révisée. Si vous n’acceptez pas les modifications proposées, vous devez cesser d’utiliser le Service avant leur entrée en vigueur et pouvez demander la clôture de votre compte conformément aux modalités prévues dans nos conditions générales. L’historique des versions précédentes de notre politique reste disponible sur demande pour assurer une transparence totale sur l’évolution de nos pratiques.
ARTICLE 11 – ACCORD DE TRAITEMENT DES DONNÉES (DPA)
11.1 Cadre contractuel du sous-traitement
Pour les métriques susceptibles de contenir des données personnelles transitant par notre Service, un Accord de Traitement des Données (Data Processing Agreement – DPA) conforme à l’article 28 du RGPD est disponible. Ce document contractuel formalise nos obligations respectives et garantit le respect de la réglementation dans le cadre de notre rôle de sous-traitant.
Le DPA détaille précisément l’objet et la durée du traitement correspondant à la collecte et transmission des métriques, la nature et les finalités du traitement limitées à la transformation technique et au transit, les types de données personnelles potentiellement concernées et les catégories de personnes concernées, nos obligations en tant que sous-traitant incluant le traitement selon vos seules instructions, la confidentialité, la sécurité et l’assistance, ainsi que vos obligations en tant que responsable de traitement notamment en termes de licéité et de minimisation.
11.2 Instructions permanentes et garanties
Dans le cadre de notre rôle de sous-traitant, vous nous donnez instruction permanente de collecter les métriques exclusivement selon la configuration technique que vous établissez, transformer le format des données pour assurer leur compatibilité avec votre outil de monitoring sans altération du contenu informationnel, transmettre immédiatement les données vers l’endpoint que vous avez désigné, maintenir un cache temporaire minimal pour la stabilisation du flux, et ne procéder à aucun stockage permanent ni analyse du contenu au-delà des transformations techniques nécessaires.
Un Accord de Traitement des Données (DPA) conforme à l’article 28 du RGPD est disponible pour les Clients dont l’utilisation du Service implique le traitement de données personnelles. Le Client est responsable de déterminer si sa configuration implique le transit de données personnelles et, le cas échéant, de demander l’exécution du DPA. Dans la majorité des cas d’usage (métriques purement techniques, logs système sans identifiants, données de performance agrégées), aucune donnée personnelle ne transite et le DPA n’est pas requis. En cas de doute sur la nature de vos données, nous recommandons par précaution la signature du DPA. Le DPA est disponible sur demande à privacy@senhub.io et peut être adapté pour répondre à des exigences spécifiques de votre organisation dans le respect du cadre légal.
ARTICLE 12 – CONTACT ET GOUVERNANCE
12.1 Délégué à la Protection des Données
Bien que la désignation d’un DPO ne soit pas obligatoire pour notre structure au regard des critères de l’article 37 du RGPD, nous avons choisi de désigner un référent protection des données pour garantir le plus haut niveau de conformité et faciliter vos démarches. Ce référent est votre interlocuteur privilégié pour toutes les questions relatives à la protection de vos données personnelles, l’exercice de vos droits RGPD, les demandes d’information sur nos pratiques, ainsi que toute préoccupation concernant la sécurité ou la confidentialité.
Vous pouvez contacter notre référent protection des données par courrier électronique prioritaire à privacy@senhub.io avec un engagement de réponse sous 48 heures ouvrées, ou par courrier postal à l’adresse SENSOR FACTORY SAS – Référent Protection des Données – 5, Boulevard Vincent Gâche – 44200 Nantes – France. Pour les questions générales non relatives à la protection des données, notre service client reste disponible à contact@senhub.io ou par téléphone au +33 9 74 99 81 06 du lundi au vendredi de 9h à 18h (heure de Paris).
12.2 Autorité de contrôle
L’autorité de contrôle compétente pour notre société établie en France est la Commission Nationale de l’Informatique et des Libertés (CNIL). Vous pouvez la contacter pour toute question relative à la protection des données ou pour déposer une réclamation via son site internet www.cnil.fr offrant de nombreuses ressources et un formulaire de réclamation en ligne, par courrier postal à l’adresse 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07, ou par téléphone au 01 53 73 22 22 pour obtenir des informations générales.
La CNIL est également compétente pour recevoir vos réclamations si vous résidez en France, même si le traitement litigieux est effectué par une entreprise établie dans un autre État membre de l’Union européenne. Si vous résidez dans un autre État membre, vous pouvez également vous adresser à l’autorité de contrôle de votre pays de résidence, la liste complète étant disponible sur le site du Comité Européen de la Protection des Données (EDPB).
La présente Politique de Confidentialité fait partie intégrante de nos Conditions Générales de Vente et d’Utilisation et s’applique sous réserve de leurs dispositions.
Version 2.0 – Janvier 2025
SENSOR FACTORY SAS
Capital social : 10 000 euros
RCS Nantes B 985 036 613
5, Boulevard Vincent Gâche
44200 Nantes, France