Politique de confidentialité
Version v1 — Mise à jour le 2026-05-25
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site et les services associés est :
Cyrille NOVOU, exerçant en entreprise individuelle (régime micro-entreprise)
38 rue Béranger, 49100 Angers, France
SIRET : en cours d'immatriculation (INPI du 2026-05-25)
Contact RGPD / DPO : rgpd@souverainauquotidien.com
2. Bases légales du traitement (RGPD art. 6 et 9)
Les traitements mis en œuvre reposent sur les bases légales suivantes :
- Exécution du contrat (art. 6.1.b RGPD) : gestion des commandes, des prestations de coaching, du parcours utilisateur, de la facturation.
- Consentement explicite (art. 6.1.a et art. 9.2.a RGPD) : envoi de communications marketing ; traitement des données concernant la santé via les réponses au test d'auto-évaluation. Les consentements marketing et données de santé sont recueillis séparément, via des cases distinctes (champs
consentement_marketingetconsentement_donnees_sante). - Obligations légales (art. 6.1.c RGPD) : conservation des factures et pièces comptables.
- Intérêt légitime (art. 6.1.f RGPD) : sécurité du site, prévention de la fraude, statistiques internes anonymisées.
3. Données collectées
- Identité et contact : prénom, adresse email.
- Données techniques : adresse IP (chiffrée), horodatage, parcours utilisateur.
- Réponses au test d'auto-évaluation : les réponses sont chiffrées avec une clé applicative dédiée (
TSA_HEALTH_KEY) lorsque le consentement « données de santé » a été recueilli. - Données contractuelles : prestations souscrites, échéances, factures.
- Événements de parcours : ouverture d'emails, validation d'étapes, prise de rendez-vous.
4. Durées de conservation
| Catégorie | Durée | Base |
|---|---|---|
| Données prospect (sans contrat) | 3 ans à compter du dernier contact | Recommandation CNIL prospection |
| Données client (avec contrat) | Durée de la relation contractuelle + 5 ans | Prescription civile (art. 2224 C. civ.) |
| Factures et pièces comptables | 10 ans | Art. L.123-22 Code de commerce |
| Données de santé chiffrées | Durée du contrat puis effacement | Consentement, art. 9 RGPD |
| Logs techniques | 12 mois maximum | Sécurité, LCEN |
5. Destinataires et sous-traitants
Les données peuvent être communiquées aux sous-traitants suivants, sélectionnés pour leurs garanties de conformité :
- Brevo (France / Union européenne) — emailing transactionnel et marketing.
- Stripe (Union européenne / États-Unis) — traitement sécurisé des paiements.
- YouCanBookMe (Royaume-Uni) — réservation des rendez-vous d'appels.
- IONOS SE (Allemagne, Union européenne) — hébergement du site et des bases de données.
Chacun de ces sous-traitants est lié au responsable du traitement par un contrat conforme à l'article 28 du RGPD.
6. Transferts hors Union européenne
- Stripe : certains traitements peuvent impliquer un transfert vers les États-Unis. Ce transfert est encadré par les clauses contractuelles types adoptées par la Commission européenne (décision d'exécution 2021/914).
- YouCanBookMe : transfert vers le Royaume-Uni, encadré par la décision d'adéquation de la Commission européenne du 28 juin 2021 relative au Royaume-Uni.
7. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- droit d'accès, de rectification, d'effacement (« droit à l'oubli ») ;
- droit à la limitation du traitement ;
- droit à la portabilité ;
- droit d'opposition, y compris à la prospection ;
- droit de retirer son consentement à tout moment ;
- droit de définir des directives relatives au sort des données après le décès ;
- droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).
Ces droits peuvent être exercés en écrivant à rgpd@souverainauquotidien.com. Une preuve d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur. Le droit à l'effacement est mis en œuvre via un mécanisme de soft-delete côté API qui garantit que les données effacées ne pourront pas être réactivées (les coordonnées d'un contact effacé sont définitivement neutralisées).
8. Cookies
À la date de publication, le site test.souverainauquotidien.com (application web Vite / React de type Single Page Application) n'embarque ni outil d'analyse d'audience tiers (Google Analytics, Plausible, Matomo), ni pixel publicitaire (Meta, Google Ads, LinkedIn, TikTok), ni traceur tiers. Seuls des cookies strictement nécessaires au fonctionnement du site peuvent être déposés (préférences locales, état de session).
Toute évolution de ce périmètre (ajout d'un outil d'analyse ou de publicité) sera annoncée par une mise à jour de la présente politique et soumise au recueil préalable du consentement de l'utilisateur, conformément à l'article 82 de la loi « Informatique et Libertés » et aux recommandations de la CNIL.
9. Sécurité
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données : chiffrement en transit (HTTPS), chiffrement applicatif des données de santé (clé TSA_HEALTH_KEY), contrôle d'accès aux interfaces d'administration, journalisation des accès, sauvegardes régulières chiffrées, mises à jour de sécurité.
10. Évolutions et version
La présente politique pourra être mise à jour à tout moment. La version applicable est celle accessible au moment de la collecte. Version v1 — 2026-05-25.