Responsable du traitement#
Le responsable du traitement, au sens de l'article 4.7 du RGPD, est l'Éditeur du service :
Bordoly
Société en cours d'immatriculation
Siège : Adresse complète disponible sur demande — France, France
Contact : [email protected]
Le détail complet de l'identification de l'Éditeur figure dans les mentions légales.
Délégué à la protection des données#
L'Éditeur a désigné un délégué à la protection des données (DPO) joignable à l'adresse : [email protected].
Le DPO est l'interlocuteur privilégié de toute personne concernée souhaitant exercer ses droits ou obtenir des informations sur les traitements mis en œuvre. Toute demande adressée au DPO fait l'objet d'une réponse dans un délai d'un mois, pouvant être prolongé de deux mois en cas de complexité, conformément à l'article 12.3 du RGPD.
Catégories de données collectées#
L'Éditeur collecte exclusivement les catégories de données suivantes :
- Données d'identification du compte : nom, prénom, adresse électronique professionnelle, fonction, raison sociale, SIRET du producteur ou du transporteur.
- Données d'authentification : identifiants de session, empreintes (hash) de codes PIN à usage unique pour l'application mobile, jetons OAuth pour la connexion via TrackDéchets ou Google.
- Données opérationnelles : bordereaux de suivi de déchets (BSD), sites de collecte, sessions de collecte, enlèvements, photos de justificatifs, signatures, notes textuelles.
- Données de facturation : pour les comptes payants, raison sociale, adresse de facturation, numéro de TVA intracommunautaire, identifiants client Stripe (les coordonnées bancaires ne transitent pas par nos serveurs et sont traitées par Stripe en sa qualité de responsable de traitement indépendant).
- Données techniques : adresse IP, journaux d'accès, type de navigateur, plateforme mobile, identifiants de notification push (Expo).
- Données de support : contenu des messages adressés à l'équipe support et toute pièce jointe que vous nous transmettez volontairement.
Aucune donnée sensible au sens de l'article 9 du RGPD (origine raciale, opinions politiques, données de santé, données biométriques, etc.) n'est collectée.
Finalités du traitement#
Les données sont traitées pour les finalités suivantes :
- fourniture du service (création de compte, authentification, gestion des BSD) ;
- respect des obligations légales liées à la traçabilité des déchets dangereux (article R. 541-45 et suivants du Code de l'environnement) ;
- facturation et recouvrement (clients abonnés) ;
- support technique et fonctionnel ;
- sécurité, prévention de la fraude et lutte contre les abus ;
- amélioration du service (statistiques agrégées et anonymisées) ;
- communication commerciale auprès de prospects ou clients ayant manifesté un intérêt explicite, dans le respect de l'article L. 34-5 du Code des postes et des communications électroniques.
Bases légales#
Les traitements reposent sur les bases légales suivantes (article 6 du RGPD) :
- Exécution du contrat (art. 6.1.b) : création et gestion du compte, fourniture du service, facturation.
- Obligation légale (art. 6.1.c) : traçabilité des déchets via TrackDéchets (art. R. 541-45 Code env.), conservation des factures (art. L. 102 B LPF), comptabilité (art. L. 123-22 Code com.).
- Intérêt légitime (art. 6.1.f) : sécurité du service, prévention de la fraude, mesure d'audience anonyme, prospection auprès de professionnels en lien direct avec le service.
- Consentement (art. 6.1.a) : dépôt de cookies non essentiels (le cas échéant), envoi d'emails marketing à des prospects nouveaux, témoignages clients.
Durées de conservation#
| Catégorie | Durée active | Archivage intermédiaire |
|---|---|---|
| Compte utilisateur actif | Pendant toute la durée de la relation contractuelle | 3 ans après le dernier contact |
| Sessions et journaux d'accès | 30 jours | 1 an (sécurité) |
| BSD et données opérationnelles | Pendant l'usage | 5 ans (art. R. 541-45 Code env.) |
| Factures et pièces comptables | — | 10 ans (art. L. 123-22 Code com.) |
| Coordonnées de prospection B2B | 3 ans à compter du dernier contact | — |
| Demandes d'exercice de droits | — | 5 ans (preuve de la demande, art. 17 + 21 RGPD) |
| Cookies de session essentiels | 30 jours maximum | — |
| Choix de consentement cookies | 12 mois (recommandation CNIL) | — |
À l'issue des durées indiquées, les données sont supprimées ou anonymisées de manière irréversible.
Destinataires#
Les données ne sont accessibles qu'aux personnes habilitées de l'Éditeur et à ses sous-traitants ultérieurs (cf. section suivante), strictement dans la limite de ce qui est nécessaire à l'exécution de leurs missions. Aucune donnée n'est revendue ni louée à des tiers.
Les BSD et les informations transporteur / producteur sont, par construction, transmis à la plateforme nationale TrackDéchets (trackdechets.beta.gouv.fr), service public obligatoire pour la traçabilité des déchets dangereux.
Sous-traitants#
L'Éditeur fait appel aux sous-traitants suivants, encadrés par des accords de traitement conformes à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation | Garantie |
|---|---|---|---|
| OVH SAS | Hébergement infrastructure (compute, base de données PostgreSQL, stockage objet) | France (Gravelines, Roubaix) | Hébergement intégral en UE — aucune CCT requise. |
| Stripe Payments Europe Ltd | Paiement, facturation, gestion des abonnements | Irlande (siège UE) | Clauses Contractuelles Types UE (Module 2 Responsable→Sous-traitant) entre Stripe Payments Europe Ltd et Stripe Inc. |
| Resend Inc. | Envoi d'emails transactionnels (codes PIN, invitations, factures) | États-Unis (Delaware) | Clauses Contractuelles Types UE (Module 2). Données limitées à l'adresse email du destinataire et au contenu transactionnel strictement nécessaire. |
| Functional Software Inc. (Sentry) | Suivi des erreurs applicatives et performance (observabilité) | États-Unis (Californie) | Clauses Contractuelles Types UE + scrubbing automatique des données sensibles (tokens, mots de passe, PII) via filtres serveur. Conservation : 90 jours. |
| Ministère de la Transition Écologique — TrackDéchets | Échange de bordereaux de suivi de déchets (BSD) avec la plateforme nationale TrackDéchets, conformément à l'article R. 541-45 du Code de l'environnement | France | Échange de données réglementaire opéré dans le cadre d'une obligation légale (article 6.1.c RGPD). |
Le détail contractuel (engagements, audits, fin de contrat) est exposé dans l'accord de traitement de données mis à disposition des clients B2B.
Transferts hors Union européenne#
L'hébergement principal et la base de données sont opérés en France (OVHcloud Gravelines + Roubaix). Aucun transfert hors UE n'est opéré pour ces données.
Certains sous-traitants ultérieurs (Stripe, Resend, Sentry) peuvent être amenés à traiter des données depuis ou vers les États-Unis. Ces transferts sont encadrés par :
- les Clauses Contractuelles Types de la Commission européenne (décision (UE) 2021/914 du 4 juin 2021, Module 2 « Responsable→Sous-traitant ») ;
- lorsque pertinent, l'adhésion du sous-traitant au EU-U.S. Data Privacy Framework (décision d'adéquation du 10 juillet 2023) ;
- des mesures techniques supplémentaires (chiffrement en transit, scrubbing automatique des données sensibles côté serveur).
Vous pouvez obtenir copie des garanties applicables sur simple demande à [email protected].
Sécurité#
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, notamment :
- chiffrement HTTPS/TLS 1.2+ pour tous les échanges client ↔ serveur ;
- chiffrement au repos pour la base de données et les sauvegardes ;
- cookies de session marqués
HttpOnly,SecureetSameSite=Lax; - cloisonnement multi-tenant strict (chaque SIRET ne voit que ses propres données) ;
- journalisation immuable (audit log) des actions sensibles, conservée pour traçabilité ;
- politique d'accès minimale (RBAC) et revue des habilitations ;
- sauvegardes chiffrées quotidiennes, restauration testée régulièrement ;
- scrubbing automatique des données sensibles avant envoi à l'observabilité (Sentry) ;
- tests de pénétration applicatifs et revues de sécurité périodiques.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur s'engage à notifier la CNIL dans un délai de 72 heures (art. 33 RGPD) et à informer les personnes concernées sans délai injustifié lorsque le risque est élevé (art. 34 RGPD).
Décisions automatisées#
Aucun traitement n'est fondé exclusivement sur une décision automatisée produisant des effets juridiques ou affectant significativement les personnes concernées au sens de l'article 22 du RGPD.
Vos droits#
Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en obtenir une copie.
- Droit de rectification (art. 16) : corriger des données inexactes ou les compléter.
- Droit à l'effacement (art. 17, dit « droit à l'oubli ») : dans les cas prévus par le RGPD.
- Droit à la limitation (art. 18) : suspendre temporairement le traitement.
- Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer à un traitement fondé sur l'intérêt légitime, ou à la prospection commerciale (à tout moment, sans motif).
- Droit de retirer votre consentement (art. 7) : lorsque le traitement repose sur le consentement, à tout moment et sans préjudice de la licéité du traitement effectué auparavant.
- Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 LIL).
Pour exercer ces droits, écrivez à [email protected]. Une preuve d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur (art. 12.6 RGPD). L'Éditeur s'engage à répondre dans un délai d'un mois maximum, éventuellement prolongé de deux mois selon la complexité de la demande.
Modifications de la politique#
La présente politique peut évoluer. Toute modification substantielle sera signalée par un bandeau d'information sur le site et, lorsque les coordonnées sont disponibles, par un email aux utilisateurs concernés au moins quinze jours avant l'entrée en vigueur. Les utilisateurs sont invités à consulter régulièrement la version en ligne. La date de dernière mise à jour figure en tête de page.
Réclamation auprès de la CNIL#
Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
CNIL — 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes
Inventaire détaillé des cookies, leur finalité, leur durée et la manière de les configurer.
Pour nos clients B2B : accord article 28 RGPD, sous-traitants, sécurité, audits.
Éditeur, hébergeur, propriété intellectuelle, droit applicable.