Permanence ouverte · lundi → vendredi · 08:30 — 18:30 Place Molire 194b · Angers (49100) Astreinte abonnés · +33 (0)7 93 76 23 62
Demander un diagnostic
Accueil  /  Politique de confidentialité
§ Document RGPD · version 7 · mise à jour 14 février 2026

Données personnelles : ce que nous gardons, et combien de temps.

La présente politique décrit les traitements de données à caractère personnel mis en œuvre par la société itbasicsforbusiness, en application du Règlement (UE) 2016/679 dit RGPD et de la loi n° 78-17 modifiée dite Informatique et Libertés. Elle est rédigée en français clair et n'inclut aucune clause renvoyant à un document tiers.

1. Responsable de traitement

Le responsable du traitement, au sens de l'article 4.7 du RGPD, est la société itbasicsforbusiness SARL, immatriculée au registre du commerce et des sociétés d'Angers sous le numéro SIRET 829 451 738 00024, dont le siège social est situé Place Molire 194b, 49100 Angers. Le représentant légal est Monsieur Yann Boudoire, gérant.

Le cabinet n'emploie pas de délégué à la protection des données (DPO) désigné formellement auprès de la CNIL, le périmètre des traitements ne le rendant pas obligatoire au sens de l'article 37 du RGPD. Néanmoins, un point de contact unique est désigné en interne : Madame Sophie Renaut, technicienne support, joignable à l'adresse donnees@itbasicsforbusiness.com.

2. Données collectées et catégories

Le cabinet collecte exclusivement les données nécessaires à l'exécution des prestations ou à la réponse aux sollicitations adressées. Quatre catégories sont distinguées :

  • Données d'identification — civilité, nom, prénom, fonction, raison sociale, adresse postale professionnelle.
  • Données de contact — courriel professionnel, ligne téléphonique directe.
  • Données de mission — relevés techniques produits pendant l'audit, captures d'écran, journaux d'événements, schémas réseau.
  • Données de facturation — coordonnées de facturation, références bancaires lorsque communiquées par chèque ou virement.

Aucune donnée dite sensible au sens de l'article 9 du RGPD (origine, santé, opinions politiques, syndicales, religieuses) n'est sciemment collectée. Si un journal technique d'incident révèle accessoirement une telle information, elle est expurgée avant restitution écrite.

3. Finalités et bases légales

Chaque traitement repose sur une base légale identifiable au sens de l'article 6 du RGPD :

  • Exécution contractuelle (art. 6.1.b) — pour la gestion des missions d'audit, d'infogérance et de formation souscrites.
  • Obligation légale (art. 6.1.c) — pour la conservation des pièces comptables et fiscales (livre journal, factures émises, justificatifs).
  • Intérêt légitime (art. 6.1.f) — pour la prospection commerciale à destination de personnes morales déjà clientes du cabinet, dans la limite des produits ou services similaires.
  • Consentement (art. 6.1.a) — pour l'inscription à la lettre d'information mensuelle et le formulaire de contact libre.

4. Durées de conservation

Les durées appliquées sont mesurées à compter du dernier contact actif et obéissent à la grille suivante :

  • Données prospects, demandes via formulaire sans suite : 3 ans, conformément à la délibération CNIL n° 2016-264.
  • Données de clients sous contrat : durée du contrat + 5 ans, alignée sur la prescription quinquennale du Code de commerce.
  • Pièces comptables et fiscales : 10 ans, en application de l'article L.123-22 du Code de commerce.
  • Journaux d'audit technique remis aux clients : 2 ans côté cabinet (sauf demande écrite contraire), illimité côté client.
  • Inscriptions à la lettre d'information : jusqu'au désabonnement actif via le lien présent dans chaque envoi.

5. Destinataires et sous-traitants

Les données ne font l'objet d'aucune cession à des tiers à fin de prospection. Trois catégories de destinataires sont identifiées : (i) les salariés et associés du cabinet, dans la stricte limite de leur mission ; (ii) l'expert-comptable du cabinet, le Cabinet Brossard-Tournon situé à Angers, pour les pièces de facturation ; (iii) les sous-traitants techniques listés ci-dessous.

La liste des sous-traitants techniques, au sens de l'article 28 du RGPD, est tenue à jour :

  • Scaleway SAS — hébergement du serveur courriel et de la plate-forme documentaire, data center Paris DC5, contrat de sous-traitance signé le 12 mai 2023.
  • OVHcloud SAS — hébergement du présent site et du sous-domaine journal, data center Roubaix RBX7, contrat de sous-traitance signé le 03 avril 2022.
  • Plausible Insights OÜ — comptage d'audience anonyme du site, données traitées en Allemagne, contrat type-clause article 28 signé le 18 juin 2023.
  • Sellsy SAS — outil de facturation et de gestion commerciale, hébergement en France, contrat de sous-traitance reconduit annuellement.

6. Transferts hors Union européenne

Aucun transfert de données vers un pays tiers à l'Union européenne n'est mis en œuvre, à l'exception accessoire de courriels reçus depuis des correspondants hors UE, traités sur infrastructure européenne. Le cabinet a fait le choix explicite de ne pas recourir à des outils dont la maison mère est soumise au Cloud Act ou à des dispositions extra-territoriales équivalentes.

7. Sécurité et mesures techniques

Les mesures techniques et organisationnelles appropriées au sens de l'article 32 du RGPD comprennent notamment :

  • Chiffrement au repos des sauvegardes (AES-256) et chiffrement en transit (TLS 1.3) sur toutes les interfaces exposées publiquement.
  • Authentification à deux facteurs obligatoire pour tous les comptes salariés du cabinet, sans exception.
  • Cloisonnement strict entre les espaces clients (un compartiment par client, accès nominatif tracé).
  • Politique de mots de passe : 16 caractères minimum, rotation tous les 180 jours, gestionnaire centralisé Bitwarden auto-hébergé.
  • Revue annuelle des accès en janvier de chaque année civile.
  • Plan de réponse à incident testé deux fois par an, avec procédure de notification CNIL sous 72 h en cas de violation grave.

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose, sur ses propres données, des droits suivants :

  • Droit d'accès et de copie des données la concernant ;
  • Droit de rectification en cas d'inexactitude ou d'incomplétude ;
  • Droit à l'effacement dans les cas prévus par la réglementation ;
  • Droit à la limitation du traitement ;
  • Droit à la portabilité des données fournies sur la base d'un contrat ou d'un consentement, au format CSV ou JSON ;
  • Droit d'opposition au traitement fondé sur l'intérêt légitime ;
  • Droit de définir des directives sur le sort des données après le décès, au sens de l'article 85 de la loi Informatique et Libertés.

L'exercice de ces droits s'effectue par courriel à donnees@itbasicsforbusiness.com, ou par courrier postal à l'adresse du siège, accompagné le cas échéant d'une copie d'un titre d'identité. Le cabinet s'engage à répondre dans un délai d'un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité.

9. Recours auprès de l'autorité de contrôle

Toute personne concernée a le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via le formulaire en ligne du site officiel de l'autorité. Cette voie est ouverte sans qu'il soit nécessaire de saisir préalablement le cabinet, bien que cela soit recommandé pour une résolution amiable.

10. Cookies et traceurs

Les modalités précises de gestion des cookies, traceurs et compteurs d'audience sont décrites dans la page dédiée Cookies & traceurs. En résumé, le présent site n'utilise aucun traceur publicitaire ; le compteur d'audience Plausible Analytics est anonyme par conception et ne nécessite pas de consentement préalable.

11. Décisions automatisées et profilage

Aucune décision produisant des effets juridiques ou affectant significativement les personnes concernées n'est prise sur la base d'un traitement automatisé au sens de l'article 22 du RGPD. Le cabinet ne pratique pas de profilage à fin de scoring commercial, de segmentation comportementale ou de tarification dynamique.

12. Modifications de la présente politique

La présente politique peut être modifiée pour tenir compte des évolutions réglementaires, jurisprudentielles ou organisationnelles. Toute modification substantielle fait l'objet d'une information dédiée aux personnes concernées par courriel, au moins quinze jours avant son entrée en vigueur. La version courante est datée en tête du document, et les versions antérieures sont archivées et communicables sur demande.

Document arrêté à Angers, le 14 février 2026, par Yann Boudoire, gérant.