Politique de confidentialité
La présente Politique de confidentialité a pour objet d'informer les utilisateurs du site trustdata.tech et du service TrustData des modalités de collecte, de traitement et de protection de leurs données personnelles, conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).
Responsable du traitement : TRUSTDATA, SARL au capital de 1 000,00 EUR - 7 rue Cail, 75010 Paris - SIREN : 931 119 333 - [email protected]
1. Délégué à la Protection des Données (DPO)
Le Délégué à la Protection des Données peut être contacté à l'adresse suivante :
Email : [email protected]
Adresse postale : TRUSTDATA - DPO, 7 rue Cail, 75010 Paris, France
Le DPO est le point de contact pour toute question relative au traitement de vos données personnelles et à l'exercice de vos droits.
2. Données collectées
Données collectées directement auprès de vous
| Catégorie | Exemples |
|---|---|
| Données d'identification | Nom, prénom, adresse email professionnelle |
| Données professionnelles | Nom de l'entreprise, fonction, secteur d'activité |
| Données de connexion | Adresse IP, logs de connexion, type de navigateur |
| Données de paiement | Informations de carte bancaire (traitées exclusivement par Stripe, jamais stockées par TrustData) |
| Données d'utilisation | Pages visitées, fonctionnalités utilisées, préférences de configuration |
| Données de communication | Contenu des échanges avec le support, demandes de contact |
Données collectées pour le compte de nos clients (sous-traitement)
Dans le cadre du Service, TrustData collecte et traite des données pour le compte de ses clients (annonceurs, agences) agissant en qualité de responsables de traitement. Pour ces traitements, TrustData agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Les conditions de ce sous-traitement sont régies par l'Accord de Traitement des Données (DPA).
3. Bases légales et finalités des traitements
| Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Gestion du compte client et fourniture du Service | Exécution du contrat (art. 6.1.b) | Durée du contrat + 3 ans |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) | 10 ans |
| Support client | Exécution du contrat (art. 6.1.b) | Durée du contrat + 1 an |
| Communications marketing (newsletters) | Consentement (art. 6.1.a) | Jusqu'au retrait du consentement ou 3 ans d'inactivité |
| Amélioration du Service et statistiques | Intérêt légitime (art. 6.1.f) | 26 mois maximum |
| Prospection commerciale B2B | Intérêt légitime (art. 6.1.f) | 3 ans après le dernier contact |
| Respect des obligations légales | Obligation légale (art. 6.1.c) | Selon la loi applicable |
| Gestion des cookies et traceurs | Consentement (art. 6.1.a) | 13 mois maximum (CNIL) |
| Sécurité du Service (logs, détection d'intrusion) | Intérêt légitime (art. 6.1.f) | 12 mois |
4. Durées de conservation
Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités pour lesquelles elles sont traitées, conformément au tableau ci-dessus.
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
En cas de résiliation du contrat, les Données Client sont conservées pendant trente (30) jours pour permettre leur export, puis supprimées.
5. Destinataires des données
Sous-traitants
| Sous-traitant | Fonction | Localisation | Garanties transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement de l'application | Helsinki, Finlande (UE) | Données dans l'UE |
| Cloudflare, Inc. | CDN, protection DDoS, DNS | États-Unis | Clauses contractuelles types (CCT) |
| Stripe, Inc. | Traitement des paiements | États-Unis | Clauses contractuelles types (CCT) |
| Resend | Envoi d'emails transactionnels | États-Unis | Clauses contractuelles types (CCT) |
TrustData ne vend jamais les données personnelles de ses utilisateurs à des tiers.
6. Plateformes publicitaires et analytiques connectées
Lorsqu'un Client connecte un compte publicitaire ou analytique tiers au Service (Google, Meta, TikTok, LinkedIn, Pinterest, Snapchat, Shopify, Stripe), TrustData importe les données de ces plateformes pour le compte du Client et de l'utilisateur ayant autorisé la connexion. Ce traitement est régi par le DPA et par les conditions propres à chaque fournisseur.
Autorisation OAuth et stockage des identifiants
- Les connexions utilisent le flux d'autorisation OAuth 2.0. L'utilisateur accorde explicitement l'accès à TrustData sur l'écran de consentement du fournisseur, où chaque autorisation demandée (scope) est listée.
- Les jetons de rafraîchissement (refresh tokens) OAuth sont chiffrés au repos (AES-128-CBC + HMAC-SHA256, Fernet) et stockés exclusivement sur des serveurs situés dans l'UE (Hetzner, Helsinki).
- L'utilisateur peut révoquer l'accès à tout moment depuis la page Sources de données de la propriété dans le Service, ou directement depuis les paramètres de sécurité de son compte chez le fournisseur. La révocation supprime immédiatement le jeton stocké.
Google Workspace, Google Ads, GA4, GTM, Search Console
| Scope | Finalité |
|---|---|
| `.../auth/adwords` | Lecture des performances Google Ads (dépenses, clics, conversions) pour calculer ROAS et attribution ; et - lorsque le Client l'active - envoi de conversions via Enhanced Conversions / Offline Conversion Imports |
| `.../auth/analytics.readonly` | Lecture de la configuration GA4 (flux, événements, conversions, dimensions personnalisées) à des fins d'audit du tracking |
| `.../auth/tagmanager.readonly` | Lecture de la configuration GTM (balises, déclencheurs, variables) à des fins d'audit |
| `.../auth/webmasters.readonly` | Lecture des performances Search Console (requêtes, pages, clics, impressions) pour l'analyse SEO et GEO |
L'utilisation par TrustData des informations reçues des API Google respecte la Google API Services User Data Policy, y compris les exigences de Limited Use (utilisation limitée). Concrètement, les données utilisateur Google :
- sont utilisées uniquement pour fournir ou améliorer des fonctionnalités visibles et prééminentes du Service ;
- ne sont pas transférées à des tiers, sauf si nécessaire pour fournir ou améliorer ces fonctionnalités, pour se conformer à la loi, ou dans le cadre d'une fusion-acquisition avec notification aux utilisateurs ;
- ne sont jamais utilisées ni transférées pour la diffusion de publicités, y compris le reciblage et la publicité personnalisée ou basée sur les centres d'intérêt ;
- ne sont jamais vendues à quiconque ;
- ne sont pas lues par des humains, sauf (a) avec l'accord exprès de l'utilisateur, (b) pour des raisons de sécurité (enquête sur des abus), (c) pour se conformer à la loi, ou (d) dans le cadre d'opérations internes sur des données agrégées et anonymisées.
API Meta (Facebook, Instagram) Marketing
TrustData demande un accès aux comptes publicitaires (`ads_read`) et aux actifs Business (`business_management`) pour importer les données de performance de campagne, d'audience et de conversion pour le compte du Business autorisant, et - lorsque le Client l'active - pour renvoyer les événements de conversion via l'API Conversions Meta (voir « Envoi server-side de conversions » ci-dessous).
Les données de plateforme Meta sont traitées conformément aux Meta Platform Terms et à la Developer Data Use Policy. TrustData n'utilise pas les données de plateforme Meta pour sa propre publicité, ne les revend pas, et honore les demandes de suppression utilisateur via l'endpoint dédié : https://app.trustdata.tech/legal/data-deletion.
API TikTok Business et Marketing
TrustData demande un accès à TikTok Ads (`ad.list`, `report.read`, `audience.read`) pour le compte des annonceurs autorisants, pour importer les performances de campagne et les insights d'audience, et - lorsque le Client l'active - pour renvoyer les événements de conversion via l'API TikTok Events. Les données TikTok sont traitées conformément aux TikTok for Business Terms et ne sont pas utilisées pour la publicité propre de TrustData ni revendues.
Autres plateformes connectées
LinkedIn Ads, Pinterest, Snapchat, Shopify, Stripe et autres connecteurs similaires suivent le même modèle : accès OAuth limité aux données nécessaires aux fonctionnalités demandées, stockage dans l'UE, pas de revente, pas d'utilisation pour la publicité propre de TrustData, suppression des identifiants et des données importées lors de la déconnexion.
Envoi server-side de conversions (opt-in)
Lorsque le Client l'active explicitement, TrustData peut renvoyer les événements de conversion aux plateformes publicitaires connectées - Google Ads (Enhanced Conversions / Offline Conversion Imports), Meta (Conversions API), TikTok (Events API), et endpoints équivalents sur les autres plateformes - afin d'améliorer la mesure et le bidding de l'annonceur.
- Cette fonctionnalité est désactivée par défaut. Le Client l'active connecteur par connecteur depuis le Service.
- Les données envoyées se limitent aux événements de conversion provenant du site ou de l'application du Client (par exemple achat, lead, inscription) et aux identifiants requis par la plateforme (email haché, téléphone haché, identifiant de clic, IP, user agent). Elles n'incluent pas de données reçues d'une autre plateforme connectée.
- Les champs d'identification utilisateur sont hachés (SHA-256) côté client ou en transit, conformément à la spécification de chaque plateforme.
- La base légale est l'instruction du Client au titre du DPA ; le Client est responsable d'obtenir le consentement approprié des personnes concernées (par exemple via une Consent Management Platform) avant activation.
- La désactivation depuis la page Sources de données de la propriété interrompt les envois immédiatement. Les données déjà reçues par la plateforme publicitaire sont régies par les politiques de cette plateforme et ne sont plus sous le contrôle de TrustData.
7. Transferts de données hors UE
Les Données Client (données collectées via le Service pour le compte de nos clients) sont hébergées exclusivement dans l'Union européenne, sur les serveurs Hetzner à Helsinki, Finlande.
Certains sous-traitants techniques (Cloudflare, Stripe, Resend) sont situés aux États-Unis. Les transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021).
Une évaluation d'impact du transfert (Transfer Impact Assessment) a été réalisée pour chaque sous-traitant situé hors UE. Vous pouvez obtenir une copie des garanties en contactant notre DPO à [email protected].
8. Sécurité des données
TrustData met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles, notamment :
- Chiffrement des données en transit (TLS 1.2+) et au repos
- Contrôle d'accès basé sur les rôles (RBAC)
- Journalisation et surveillance des accès
- Sauvegardes régulières
- Tests de sécurité périodiques
9. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
| Droit | Description |
|---|---|
| Droit d'accès (art. 15) | Obtenir la confirmation que vos données sont traitées et en recevoir une copie |
| Droit de rectification (art. 16) | Faire corriger des données inexactes ou incomplètes |
| Droit à l'effacement (art. 17) | Demander la suppression de vos données, sous réserve des obligations légales |
| Droit à la limitation (art. 18) | Demander la limitation du traitement dans certains cas |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine |
| Droit d'opposition (art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime |
| Retrait du consentement | Retirer votre consentement à tout moment |
Pour exercer vos droits : [email protected] ou par courrier à TRUSTDATA - DPO, 7 rue Cail, 75010 Paris.
Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de votre demande.
10. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL :
CNIL - 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site web : https://www.cnil.fr - Téléphone : 01 53 73 22 22
11. Cookies et traceurs
Pour des informations détaillées sur les cookies utilisés, consultez notre Politique de cookies.
12. Modifications de la politique
TrustData se réserve le droit de modifier la présente Politique de confidentialité à tout moment. Toute modification substantielle sera notifiée aux utilisateurs par email ou par une notification dans le Service. La date de dernière mise à jour est indiquée en haut du présent document.
13. Contact
Pour toute question relative à la présente Politique de confidentialité :
Email : [email protected]
Adresse : TRUSTDATA - DPO, 7 rue Cail, 75010 Paris, France