1.Introduction et Objectif

1.1 Objet et portée

La présente Politique de Confidentialité (ci-après la « Politique ») a pour objet d’informer de manière complète, claire et transparente toutes les personnes physiques, clients professionnels, visiteurs du site, candidats, partenaires, fournisseurs, participants aux formations et événements (ci-après collectivement les « Personnes concernées »), sur les modalités de collecte, d’utilisation, de conservation, de partage et de protection de leurs données à caractère personnel par NatureBio Dental (ci-après « NBD », « nous », « notre » ou « NatureBio Dental »).

Cette Politique s’applique à l’ensemble des traitements mis en œuvre par NBD pour les finalités décrites ci-dessous, notamment lorsque vous utilisez ou interagissez avec :

• le site web professionnel de NatureBio Dental (y compris toutes ses URL, formulaires et pages associées) ;
• les plateformes de formation en ligne gérées par NBD ;
• les formulaires d’inscription à la newsletter, aux événements, aux webinaires ou aux formations ;
• les relations commerciales, administratives et contractuelles entre NBD et ses clients/partenaires ;
• les candidatures et processus de recrutement ;
• les comptes et pages gérés par NBD sur les réseaux sociaux (LinkedIn, YouTube, Facebook, Instagram, etc.) ;
• les échanges par e-mail, téléphone ou messagerie professionnelle.

Remarque importante : lorsque NBD agit en qualité de sous-traitant pour le compte d’un client (par exemple prestations de communication, hébergement de données pour un tiers), les traitements applicables relèvent du contrat conclu entre le client (responsable de traitement) et NBD ; dans ce cas, la Politique du client prime quant aux finalités et bases juridiques du traitement. Cette Politique décrit les traitements lorsque NBD est responsable de traitement.

1.2 Définitions Utiles (pour éviter toute ambiguïté)

• Donnée à caractère personnel : toute information se rapportant à une personne physique identifiée ou identifiable (ex. : nom, adresse e-mail, numéro de téléphone, identifiants techniques).
• Traitement : toute opération ou ensemble d’opérations effectuées sur des données personnelles, quel que soit le procédé (collecte, enregistrement, organisation, consultation, conservation, modification, transmission, effacement…).
• Responsable de traitement : la personne physique ou morale qui détermine les finalités et les moyens du traitement (ici : NatureBio Dental lorsque NBD prend ces décisions).
• Sous-traitant : la personne physique ou morale qui traite des données pour le compte du responsable de traitement.
• Consentement : manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte que des données la concernant soient traitées.
• Données sensibles (données particulaires) : données révélant l’origine raciale ou ethnique, opinions politiques, convictions religieuses, santé, vie sexuelle, etc. Le traitement de telles données est strictement encadré et n’est réalisé que dans des conditions légales très spécifiques et avec des garanties renforcées.

1.3 Principes directeurs appliqués par NBD

NBD s’engage à respecter les principes suivants, conformes au Règlement (UE) 2016/679 (RGPD) et à la loi française « Informatique et Libertés » :

• Laïcité, loyauté et transparence : les traitements reposent sur une base juridique identifiée et la personne concernée est informée.
• Finalités limitées : les données ne sont collectées que pour des finalités déterminées, explicites et légitimes, et ne seront pas traitées ultérieurement de manière incompatible avec ces finalités.
• Minimisation des données : seules les données strictement nécessaires à la finalité sont collectées.
• Exactitude : NBD met en œuvre des mesures pour garantir l’exactitude et la mise à jour des données.
• Conservation limitée : les données sont conservées pendant une durée proportionnée aux finalités, puis supprimées ou anonymisées, sauf obligation légale contraire. Les durées précises de conservation figurent à la section dédiée de cette Politique.
• Sécurité et confidentialité : NBD met en place des mesures techniques et organisationnelles appropriées pour protéger les données contre la perte, la modification, l’accès non autorisé et la divulgation.
• Responsabilité (accountability) : NBD documente les traitements et peut démontrer le respect du RGPD.

1.4 Cadre légal et autorités compétentes

Les traitements effectués par NBD sont mis en œuvre conformément au droit applicable en matière de protection des données, en particulier :

• le Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD) ;
• la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (Loi « Informatique et Libertés ») ;
• les recommandations et les contrôles de la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la France.

Les personnes concernées disposent des voies de recours prévues par le RGPD et la loi nationale, notamment la possibilité d’introduire une réclamation auprès de la CNIL si elles estiment que leurs droits n’ont pas été respectés.

1.5 Transparence et information complète

Conformément au principe de transparence, cette Politique vise à fournir :

• la liste exhaustive des catégories de données traitées ;
• les finalités précises pour chaque catégorie de traitement ;
• les bases juridiques sur lesquelles reposent ces traitements (consentement, exécution du contrat, obligation légale, intérêt légitime, protection des intérêts vitaux, mission d’intérêt public) ;
• l’identification des destinataires des données (services internes, sous-traitants, partenaires, autorités compétentes) ;
• les modalités de transfert éventuel vers des pays tiers à l’Union européenne et les garanties associées ;
• les durées de conservation ou, à défaut, les critères d’en détermination ;
• les droits des personnes et les modalités pratiques d’exercice de ces droits ;
• les mesures de sécurité mises en place pour protéger les données ;
• la procédure de modification de la Politique et la date d’entrée en vigueur.

Les sections de la présente Politique détaillent chacune de ces obligations. NBD s’engage à tenir cette Politique à jour et accessible à tout moment sur son site Internet.

1.6 Public visé et cas particuliers

Cette Politique s’adresse prioritairement aux professionnels de santé et parties prenantes qui consultent la section « professionnels » du site NatureBio Dental ; elle couvre néanmoins toute personne physique dont NBD traite les données dans le cadre des activités listées au §1.1.
Cas des mineurs : les services professionnels de NBD sont destinés à un public majeur. NBD n’autorise pas la fourniture volontaire de données d’enfants mineurs dans le cadre des services professionnels ; si des données d’un mineur étaient transmises, le parent/tuteur légal doit contacter NBD immédiatement pour prise en charge et suppression, conformément aux règles applicables.

1.7 Consentement et informations préalables

Lorsque le traitement repose sur le consentement, celui-ci est recueilli de façon libre, spécifique, éclairée et univoque via un acte positif clair (ex. : case à cocher non pré-cochée, bouton d’acceptation explicite). La personne concernée peut retirer son consentement à tout moment, sans que ce retrait n’affecte la licéité du traitement antérieur au retrait. Les modalités de retrait du consentement sont décrites dans la section « Droits des personnes ».

1.8 Transparence sur l’usage d’outils tiers (bref rappel)

Pour assurer la fourniture de ses services, NBD utilise des outils tiers (hébergeurs, plateformes d’emailing, solutions de paiement, outils d’analyse, outils vidéo/formation, plateformes sociales). Les traitements effectués via ces outils sont décrits précisément dans les sections concernées ; NBD veille à contracter avec des sous-traitants conformes au RGPD (clauses contractuelles, garanties techniques et organisationnelles). Lorsqu’un service tiers impose des règles différentes, NBD informe explicitement les personnes concernées.

1.9 Droits généraux et modalités de contact (rappel synthétique)

Les personnes disposent des droits suivants, détaillés et opératoires dans les sections ultérieures de la Politique : droit d’accès, de rectification, d’effacement (droit à l’oubli), de limitation, d’opposition, de portabilité, droit de retirer un consentement, droit d’introduire une réclamation auprès d’une autorité de contrôle (CNIL en France). Pour exercer ces droits, la personne pourra contacter NBD à l’adresse e-mail dédiée ou à l’adresse postale indiquée ci-dessous. (Coordonnées complètes et procédures pratiques figurent dans la section « Contact / Exercice des droits ».)

Coordonnées :
NatureBio Dental – NatureBio Dental Sarl au capital de 7 500 €
Adresse : 12 lot Hameau de Rambaud, 97150 SAINT MARTIN
SIRET / Identifiant : RCS de Paris 801 118 894
Délégué à la Protection des Données (DPO) / Référent RGPD : [nom ou « DPO interne / cabinet externe »] – e-mail : [privacy@naturebiodental.com] (à compléter)
Adresse postale pour les demandes : 12 lot Hameau de Rambaud, 97150 SAINT MARTIN

1.10 Conséquences du refus de fournir les données

Le refus de communiquer certaines données nécessaires pour l’exécution d’un contrat ou pour la fourniture d’un service (ex. : coordonnées pour l’envoi de facture, éléments obligatoires pour l’inscription à une formation) peut empêcher NBD de fournir le service demandé. NBD informera systématiquement lorsque la fourniture d’une donnée est impérative afin de réaliser une prestation : dans ce cas, l’absence de communication entraînera l’impossibilité de conclure ou d’exécuter le service.

1.11 Traitements automatisés et profilage

NBD indique dès maintenant, en toute transparence, si certains traitements s’appuient sur des décisions automatisées ou du profilage ayant des effets significatifs sur la personne. Le détail, le cas échéant, de ces traitements (nature, logique, conséquences prévues et mesures de protection) sera indiqué dans la section dédiée « Décisions automatisées & Profilage ». Si NBD recourt à de tels traitements, la personne concernée bénéficiera des droits prévus par le RGPD (information, contestation, intervention humaine, etc.).

1.12 Transferts internationaux

Si des transferts de données vers des pays hors Union européenne / EEE sont nécessaires (ex. : hébergeur, sous-traitant technique), NBD s’engage à encadrer ces transferts par des garanties appropriées : décision d’adéquation, clauses contractuelles types (SCC), règles d’entreprise contraignantes (BCR) ou autres mesures conformes au RGPD. Les détails et les pays concernés seront précisés dans la section « Transferts internationaux ».

1.13 Mise à jour de la Politique

Cette Politique peut être modifiée pour se conformer à l’évolution du cadre légal, des pratiques techniques ou des services proposés par NBD. Toute modification substantielle fera l’objet d’une information préalable (bannière, email aux personnes concernées inscrites à la newsletter ou notification sur le site). La date d’entrée en vigueur de la version applicable sera systématiquement indiquée en tête de la politique.

2.Responsable du traitement des données , version complète, explicite et juridiquement claire

2.1 Identification du responsable de traitement

Responsable de traitement
La société responsable du traitement des données personnelles décrits dans la présente Politique est :

NatureBio Dental
Raison sociale : NatureBio Dental Sarl au capital de 7 500 €
Adresse du siège social : 12 lot Hameau de Rambaud, 97150 Saint-Martin
SIRET / Identifiant : RCS de Paris 801 118 894
Représentant légal : Catherine Rossi
Adresse postale pour les demandes RGPD : 12 lot Hameau de Rambaud, 97150 SAINT MARTIN
Adresse e-mail générale : contact@naturebiodental.com
Numéro de téléphone : 07 83 56 31 56

Précision de rôle : Pour l’ensemble des traitements décrits dans cette politique (collecte via le site web professionnel, inscriptions à des formations, gestion des clients professionnels, facturation, envois de newsletter à des professionnels, gestion des candidatures, etc.), NatureBio Dental agit en qualité de responsable de traitement, c’est-à-dire qu’elle détermine les finalités et les moyens des traitements de données à caractère personnel.

2.2 Délégué à la Protection des Données (DPO) / Référent RGPD

Délégué à la Protection des Données (DPO)
Conformément aux obligations applicables (Règlement (UE) 2016/679 , RGPD), NatureBio Dental a :

• soit désigné un Délégué à la Protection des Données (DPO) interne ou externalisé ;
• soit désigné un référent RGPD (si la nomination d’un DPO n’est pas exigée par la législation ou par le profil des traitements).

Coordonnées du DPO / Référent RGPD :
Nom : [A REMPLIR , ex. Madame/Monsieur X]
Fonction : [A REMPLIR , ex. DPO / Référent RGPD]
Email dédié : [A REMPLIR , ex. dpo@naturebiodental.com]
Téléphone (si applicable) : [A REMPLIR]

Rôle du DPO / Référent : Le DPO conseille et contrôle le respect du RGPD au sein de NBD, agit comme point de contact pour les personnes concernées et la CNIL, et collabore avec l’autorité de contrôle si nécessaire.

2.3 Coordonnées et modalités pour exercer les droits des personnes

Contact pour l’exercice des droits
Toute personne souhaitant exercer ses droits (accès, rectification, effacement, limitation, opposition, portabilité, retirer son consentement, etc.) peut contacter NBD aux coordonnées suivantes :

• Email : privacy@naturebiodental.com
• Courrier postal : NATUREBIO DENTAL, 12 lot Hameau de Rambaud, 97150 SAINT MARTIN
• Téléphone : 07 83 56 31 56

Pièces justificatives : Pour des raisons de sécurité et pour vérifier l’identité du demandeur, NBD peut demander une copie d’une pièce d’identité ou tout autre justificatif raisonnable. Ces justificatifs sont traités uniquement aux fins de vérification d’identité et seront supprimés une fois la vérification effectuée, sauf obligation légale contraire.

Procédure et délai de réponse : Conformément au RGPD, NBD traite les demandes de droits de façon diligente et communique une réponse en respectant les exigences légales (information sur l’acceptation, le refus et les motifs). Les modalités pratiques (formulaires, pièces à fournir) figurent sur la page « Exercice de vos droits » du site ou peuvent être transmises sur simple demande.

Recours : Si vous estimez, après contact avec NBD, que vos droits ne sont pas respectés, vous avez la possibilité d’introduire une réclamation auprès de l’autorité de contrôle compétente (ex. CNIL pour la France).

2.4 Distinction très claire : NBD en qualité de responsable vs sous-traitant

1. a) Quand NBD est responsable de traitement
   NBD est responsable des traitements lorsque NBD détermine les finalités et moyens du traitement (ex. : gestion des clients professionnels, inscriptions à ses formations, newsletters professionnelles, gestion des contrats, facturation). Dans ce cas, NBD assume l’ensemble des obligations prévues par le RGPD (information, sécurisation, respect des droits, tenue du registre des traitements, etc.).
2. b) Quand NBD agit en qualité de sous-traitant
   Dans certains cas précis, NBD peut être amenée à traiter des données pour le compte d’un client (par exemple, prestations de communication, gestion d’une campagne, hébergement ou exploitation de données client pour le compte d’un établissement partenaire). Dans ce cas :

• NBD agit uniquement sur instruction documentée du client (le client demeure le responsable de traitement).
• Un contrat de sous-traitance (DPA – Data Processing Agreement) écrit et conforme à l’article 28 du RGPD lie NBD et le client, précisant : finalités, durées, nature des données, obligations de confidentialité, sécurité, modalités de restitution et suppression, recours en cas d’incident, liste des sous-traitants autorisés, etc.
• Lorsque NBD agit en sous-traitant, les personnes concernées (ex. : patients, clients du client) doivent être informées par le responsable de traitement principal ; NBD fournit, sur demande, les éléments nécessaires au respect de l’information.

1. c) Transparence sur les relations contractuelles
   Lorsque NBD agit en sous-traitant, elle tient à la disposition des responsables de traitement des éléments prouvant le respect du RGPD (ex. copies des DPA, mesures techniques et organisationnelles, audits de sécurité des sous-traitants).

2.5 Liste (type) des catégories de sous-traitants / prestataires et finalités

Important : la politique doit impérativement indiquer les prestataires réellement utilisés. Ci-dessous figure une liste exhaustive type des catégories de prestataires couramment mobilisées par NBD, la finalité pour laquelle chaque catégorie est utilisée et les catégories de données susceptibles d’être partagées. Remplir et publier la liste effective de vos prestataires (fournisseurs) dans l’annexe « Sous-traitants » est obligatoire pour la transparence.

Catégories de sous-traitants & exemples de finalités :

1. Hébergeur / infrastructure (cloud / serveurs)
   1. Finalité : hébergement du site web, bases de données, sauvegardes.
   2. Données partagées : données de contact, contenus des formulaires, fichiers contractuels, logs d’accès.
   3. Exigence contractuelle : contrat d’hébergement + clauses de sécurité + SCCs si transfert hors UE.
2. Plateformes d’e-mailing / marketing (newsletter, envois transactionnels)
   1. Finalité : envoi d’e-mails marketing, newsletters, relances administratives.
   2. Données partagées : adresse e-mail, nom, préférences, catégorie professionnelle.
   3. Exigence : DPA + gestion du consentement et des listes de désabonnement.
3. Plateforme de gestion des formations / LMS (Learning Management System)
   1. Finalité : diffusion de modules de formation, gestion des inscrits, délivrance de certificats.
   2. Données partagées : nom, email, organisme, justificatifs, progression pédagogique.
   3. Exigence : DPA + contrôle des accès et confidentialité des ressources pédagogiques.
4. Solutions de paiement
   1. Finalité : encaissement des paiements pour prestations/formations.
   2. Donnes partagées : données de facturation (nom, adresse, SIRET), données transactionnelles (souvent traitées directement par le PSP).
   3. Exigence : ne pas stocker de données sensibles de carte (conformité PCI-DSS) ; utilisation de passerelle de paiement tierce.
5. Solutions d’analytics / web tracking
   1. Finalité : statistiques de fréquentation, optimisation UX, suivi des conversions.
   2. Données partagées : données techniques (IP anonymisée, pages consultées, durée).
   3. Exigence : préciser les outils (ex. Google Analytics) et mécanismes d’anonymisation / durée de conservation.
6. CDN, sauvegardes & services de sécurité (WAF, anti-DDoS)
   1. Finalité : performance et protection du site.
   2. Données partagées : logs, adresses IP, traces techniques.
   3. Exigence : DPA + chiffrement des sauvegardes.
7. Prestataires de support client / CRM / téléphonie
   1. Finalité : gestion des relations clients, prise de rendez-vous, assistance.
   2. Données partagées : coordonnées, historique d’échanges, notes commerciales.
   3. Exigence : accès restreint, journalisation des accès.
8. Prestataires de vérification d’identité / vérification documentaire
   1. Finalité : vérification de l’identité de stagiaires ou clients selon nécessité contractuelle.
   2. Données partagées : copies de pièces d’identité (données sensibles).
   3. Exigence : mesures de sécurité renforcées et justification légale explicite.
9. Prestataires d’archivage & destruction des documents
   1. Finalité : conservation légale des factures, contrats, dossiers.
   2. Données partagées : documents contractuels, factures.
   3. Exigence : durée de conservation légale respectée et sécurisée.
10. Plateformes médias (vidéo, webinaire)
    1. Finalité : diffusion de contenus vidéos, enregistrements de sessions.
    2. Données partagées : enregistrements audio/vidéo (peuvent inclure image/voix), identifiants de participants.
    3. Exigence : information préalable des participants et recueil de consentement si diffusion publique.

Action requise : pour chaque prestataire réellement utilisé, indiquer le nom du prestataire, son siège social, sa localisation (pays), finalités, durée de conservation des données chez le prestataire, et les garanties contractuelles (DPA, certifications ISO 27001, SOC2, etc.). Mettre cette liste à jour et la publier en annexe de la Politique.

2.6 Principes et processus de sélection et de contrôle des sous-traitants (exigences contractuelles)

NBD applique une politique stricte lors du choix et du contrôle des sous-traitants :

1. Due diligence préalable : avant toute contractualisation, NBD évalue : sécurité technique, conformité RGPD, localisation des données, certifications (ISO 27001, SOC2), politique de confidentialité du prestataire, politique de gestion des incidents et capacité à signer un DPA conforme.
2. Contrat écrit et DPA : signature d’un contrat incluant un accord de sous-traitance (DPA) conforme à l’article 28 du RGPD. Ce contrat précise notamment :
   1. les finalités du traitement ;
   2. la nature et la durée du traitement ;
   3. les catégories de données et personnes concernées ;
   4. les obligations de confidentialité et de sécurité ;
   5. l’obligation pour le sous-traitant de ne recourir à aucun autre sous-traitant sans autorisation écrite (liste des sous-sous-traitants autorisés) ;
   6. les modalités d’audit et de vérification ;
   7. les règles de notification des violations de données.
3. Mesures techniques et organisationnelles : exigence de chiffrement des données en transit et au repos lorsque cela est possible, gestion des accès basée sur le principe du moindre privilège, journalisation des accès, sauvegardes et plan de reprise d’activité.
4. Contrôles périodiques : audits périodiques, questionnaires sécurité, revue des certificats et conformité, et mise à jour des DPA si nécessaire.
5. Transferts internationaux : en cas de transfert hors UE/EEE, signature de garanties appropriées (clauses contractuelles types , SCCs , ou équivalent), et, si nécessaire, mise en œuvre de mesures supplémentaires (chiffrement, pseudonymisation).

2.7 Sous-traitance en cascade (sous-sous-traitants)

Lorsque NatureBio Dental (NBD) autorise l’un de ses sous-traitants à recourir à un autre prestataire (sous-sous-traitant), elle applique des règles strictes destinées à garantir le même niveau de protection et de transparence :

1. Autorisation contractuelle obligatoire :
   1. Aucun sous-traitant ne peut confier les données à un tiers sans autorisation écrite et préalable de NBD.
   2. Cette autorisation est donnée dans le cadre du contrat principal de sous-traitance (DPA – Data Processing Agreement) et précise les finalités, catégories de données et mesures de sécurité attendues.
2. Information et transparence :
   1. Le sous-traitant initial doit informer NBD de l’identité exacte du sous-sous-traitant, de sa raison sociale, de son siège social et du pays dans lequel les traitements sont réalisés.
   2. Cette information doit être transmise avant la mise en œuvre du traitement afin de permettre à NBD de l’évaluer et de valider la conformité.
3. Obligations contractuelles équivalentes :
   1. Le sous-sous-traitant doit être lié par un contrat imposant des obligations au moins équivalentes à celles prévues dans la relation initiale (confidentialité, sécurité, assistance en cas d’incident, respect des durées de conservation, interdiction d’utiliser les données pour ses propres finalités, etc.).
   2. NBD s’assure par écrit que le sous-traitant a obtenu un engagement de conformité RGPD du sous-sous-traitant.
4. Liste actualisée des sous-sous-traitants :
   1. NBD maintient un registre interne recensant l’ensemble des sous-traitants et sous-sous-traitants impliqués dans ses traitements.
   2. Cette liste est tenue à jour en temps réel et peut être communiquée aux clients ou personnes concernées sur simple demande, garantissant une totale transparence.

2.8 Transferts internationaux de données (pays tiers)

Si certaines données personnelles sont transférées hors de l’Union européenne (UE) ou de l’Espace économique européen (EEE), NBD veille à ce que ces transferts soient réalisés dans un cadre juridique strictement conforme au RGPD :

1. Cadres juridiques valides :
   1. Décisions d’adéquation de la Commission européenne (pays reconnus comme offrant un niveau de protection adéquat).
   2. Signature des Clauses Contractuelles Types (SCCs) de la Commission européenne, assorties, si nécessaire, d’analyses d’impact sur les transferts (Transfer Impact Assessment).
   3. Mise en place de Règles d’Entreprise Contraignantes (BCR) lorsque cela est pertinent.
   4. Utilisation d’autres garanties appropriées prévues par le RGPD (codes de conduite, certifications).
2. Mesures techniques et organisationnelles supplémentaires :
   1. Lorsque le pays destinataire n’offre pas de garanties équivalentes à celles de l’UE, NBD applique des mesures renforcées : chiffrement des données, pseudonymisation, séparation logique des données, hébergement des clés de chiffrement dans l’UE.
   2. Ces mesures sont documentées, vérifiées et mises à jour régulièrement.
3. Transparence des transferts :
   1. Tous les transferts internationaux sont consignés dans une annexe spécifique “Transferts internationaux”, indiquant : le prestataire, le pays de destination, les données concernées, la finalité du transfert, et les garanties appliquées.
   2. Cette annexe est mise à jour à chaque nouveau transfert et communiquée aux personnes concernées sur demande.

2.9 Registre des activités de traitement (documentation et conformité)

Conformément à l’article 30 du RGPD, NBD maintient un registre détaillé de l’ensemble de ses activités de traitement. Ce registre constitue une preuve de conformité et comprend :

• Les finalités du traitement (ex. gestion des clients, facturation, envoi de newsletters, formation en ligne).
• Les catégories de personnes concernées (clients professionnels, stagiaires, partenaires, salariés, candidats).
• Les catégories de données collectées (identité, coordonnées, données de facturation, données de navigation, etc.).
• Les destinataires des données (internes et externes, y compris sous-traitants).
• Les transferts internationaux, s’ils existent, avec mention des garanties.
• Les délais de conservation de chaque catégorie de données.
• Les mesures de sécurité mises en place (techniques et organisationnelles).

En cas de demande de l’autorité de contrôle (ex. CNIL), NBD s’engage à fournir ce registre ainsi que les preuves documentaires de conformité.

2.10 Notification des violations de données (data breach)

1. Procédure interne :
   1. NBD dispose d’un protocole strict de détection, d’analyse et de traitement des incidents.
   2. Chaque violation (perte, divulgation non autorisée, accès illégitime, etc.) est enregistrée dans un registre spécifique des incidents.
2. Obligations en cas de violation :
   1. Notification à l’autorité de contrôle compétente (CNIL en France) dans les 72 heures suivant la découverte, lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes.
   2. Information directe des personnes concernées sans délai injustifié si la violation présente un risque élevé pour leurs droits (ex. fuite de données financières ou médicales).
   3. Mise en place immédiate de mesures correctives (blocage d’accès, réinitialisation des clés, audit de sécurité, communication corrective, etc.).
3. Contact d’urgence :
   Pour signaler toute suspicion d’incident lié à vos données, vous pouvez écrire à :
   1. Email : [A REMPLIR – ex. security@naturebiodental.com]
   2. Téléphone : [A REMPLIR]

NBD s’engage à répondre et à tenir informé le déclarant de l’évolution du traitement de l’incident.

2.11 Exigences contractuelles et garanties offertes aux clients / partenaires

2.11.1 Principes généraux
NatureBio Dental (ci-après « NBD ») s’engage contractuellement à respecter, dans toutes ses relations commerciales et partenariales, les obligations suivantes relatives à la protection des données personnelles :

• Limitation des finalités : les données personnelles traitées ne sont utilisées que pour les finalités expressément définies dans le contrat signé entre NBD et le client/partenaire (exécution de la prestation, administration, facturation, support, formation). Toute utilisation hors de ces finalités est strictement interdite sans un accord écrit préalable du client.
• Traçabilité contractuelle : chaque prestation impliquant un traitement de données fait l’objet d’un contrat formel précisant les finalités, la nature des données, les catégories de personnes concernées, la durée du traitement, et les obligations réciproques.

2.11.2 Contrat de sous-traitance (DPA)
Avant le démarrage de toute prestation impliquant un traitement de données pour le compte d’un client, NBD signe systématiquement un Data Processing Agreement (DPA) contenant, au minimum, les stipulations requises par l’article 28 du RGPD :

• description précise des finalités, de la nature, des catégories de données et des personnes concernées ;
• durée du traitement et conditions de restitution / suppression des données à la fin du contrat ;
• obligations de confidentialité et d’éthique pour le personnel ;
• mesures techniques et organisationnelles mises en place (ex. chiffrement, pseudonymisation, gestion des accès) ;
• conditions de recours à des sous-traitants et liste des sous-sous-traitants autorisés ou procédure d’autorisation préalable ;
• modalités d’assistance au responsable de traitement (client) pour répondre aux demandes des personnes concernées et aux obligations RGPD ;
• obligations de notification des violations de données (délais, contenu, canal de transmission) ;
• modalités d’audit et de vérification ;
• règles de transferts internationaux (SCCs, décisions d’adéquation ou garanties équivalentes).

2.11.3 Mesures de sécurité techniques et organisationnelles
NBD garantit la mise en œuvre et le maintien des mesures de sécurité adaptées au risque, notamment (liste indicative – adapter selon réalité opérationnelle) :

• Chiffrement des données sensibles en transit (TLS/HTTPS) et, lorsque possible, au repos (AES-256 ou équivalent) ;
• Pseudonymisation / anonymisation lorsque la finalité le permet ;
• Contrôle d’accès strict : principe du moindre privilège, gestion centralisée des comptes, authentification forte/MFA pour accès administrateur ;
• Journalisation et traçabilité des accès et actions sur les données (logs conservés et protégés) ;
• Sauvegardes régulières (planning défini : quotidien/hebdomadaire selon catégorie) et tests périodiques de restauration ;
• Plan de continuité / reprise d’activité (PCA/ PRA) et tests annuels ;
• Tests de vulnérabilité et pentests réguliers, avec suivi des remédiations ;
• Segmentation réseau et sécurité périmétrique (WAF, anti-DDoS) ;
• Contrôle et chiffrement des médias externes ;
• Gestion des incidents documentée (détection, confinement, notification, retours d’expérience).

Les mesures techniques sont proportionnées au risque présenté par le traitement et sont revues périodiquement.

2.11.4 Traitement des demandes des personnes concernées
Lorsqu’une personne concernée (ex. client final, stagiaire, contact professionnel) adresse directement une demande d’exercice de droits (accès, rectification, effacement, portabilité, limitation, opposition), NBD :

• transmet sans délai , et au plus tard dans les [48 heures] ouvrables suivant la réception , toute demande portant sur des données traitées pour le compte d’un client au responsable de traitement (le client) ;
• fournit au client toutes les informations et documents utiles pour répondre au droit exercé (extraction, format, justificatifs) ;
• n’effectue aucune suppression, rectification ou communication de données sans instruction écrite du client, sauf si la loi l’exige et après information préalable du client (sauf interdiction légale) ;
• s’engage à collaborer pour que la réponse au demandeur soit fournie dans les délais prévus par le RGPD (1 mois, prorogeable de 2 mois selon complexité), en assistant le client si celui-ci l’instruit.

2.11.5 Auditabilité et droit de contrôle
NBD reconnaît aux clients (responsables de traitement) un droit d’audit et de contrôle afin de vérifier la conformité des traitements et l’effectivité des mesures de sécurité mises en place, selon les modalités suivantes :

• Modalités : audit documentaire et/ou audit sur site, questionnaires de sécurité, revue des DPA, et, le cas échéant, audit réalisé par un auditeur tiers indépendant choisi par le client et agréé par NBD ;
• Préavis : demande d’audit soumise avec un préavis minimum de 30 jours calendaires, sauf en cas de suspicion avérée d’incident grave nécessitant investigation immédiate ;
• Champ et limites : l’audit couvre uniquement les éléments contractuels et les mesures liées aux données du client ; les informations confidentielles d’autres clients ou données techniques sensibles (secrets d’exploitation) sont exclues ;
• Coûts : sauf clause contractuelle contraire, les audits sont à la charge du client ; si un audit révèle des manquements imputables à NBD, les frais d’audit seront à la charge de NBD ;
• Confidentialité : l’auditeur signe un engagement de confidentialité strict et restitue à NBD tout document non-public à la demande.

2.11.6 Notification et transparence
NBD s’engage à informer ses clients, sans délai indu, de tout événement ou changement significatif impactant la sécurité ou la conformité des traitements : changements de sous-traitants critiques, changement d’hébergeur, découverte de vulnérabilités majeures, etc.

2.12 Conservation des justificatifs et preuves de conformité

2.12.1 Documents conservés
Pour garantir la traçabilité et la conformité, NBD conserve et tient disponibles , sous forme électronique sécurisée et/ou papier selon les exigences légales , les documents suivants relatifs à ses obligations RGPD et contractuelles :

• Registres des activités de traitement (article 30 RGPD) : description des traitements, finalités, catégories de données, destinataires, transferts, durées de conservation, mesures de sécurité ;
• Contrats, DPA et accords de sous-traitance signés avec chaque client et sous-traitant ;
• Rapports d’audit, rapports de conformité, évaluations d’impact (DPIA) et preuves d’évaluation des risques ;
• Rapports d’incidents et preuves des notifications adressées aux autorités de contrôle et, le cas échéant, aux personnes concernées ;
• Preuves de formation : listes de présence, supports pédagogiques, attestations de formation du personnel sur la protection des données ;
• Preuves de due diligence dans la sélection des sous-traitants : analyses, questionnaires de sécurité, échanges contractuels ;
• Procédures internes (politique sécurité, PCA/PRA, procédures d’accès, politiques de conservation et suppression) ;
• Logs d’accès critiques et preuves de tests de sauvegarde/restauration (conservés dans des conditions sécurisées).

2.12.2 Durée de conservation des preuves
Sauf disposition sectorielle ou légale contraire, NBD conserve ces justificatifs pour une durée proportionnée aux besoins légaux et opérationnels, et en tout état de cause au minimum trois (3) ans après la fin du traitement concerné ou après la fin du contrat avec le client.

• Exceptions légales : lorsque la loi impose une durée de conservation supérieure (ex. obligations comptables, fiscales, dossiers de formation, sécurité sociale), NBD conserve les documents pour la durée requise par la réglementation applicable (ex. 10 ans pour certains documents comptables en France , à vérifier selon la nature).
• Conservation minimale pratique : pour faciliter d’éventuels contrôles, NBD recommande une conservation des preuves durant la période durant laquelle un risque résiduel subsiste, puis 3 années supplémentaires.

2.12.3 Conditions de conservation
Les justificatifs sont conservés dans des environnements sécurisés, avec mesures techniques (chiffrement des sauvegardes, contrôle d’accès) et organisationnelles (répertoire dédié, gestion des droits, journalisation). Les accès à ces documents sont limités aux personnes dûment habilitées et enregistrés.

2.12.4 Suppression et archivage
À l’issue des périodes de conservation, les documents sont soit supprimés de manière sécurisée (procédure de destruction électronique / physique certifiée), soit archivés si une conservation continue est requise (archivage sécurisé avec accès restreint et durée documentée).

2.13 Publicité, communication et obligations légales (transparence)

2.13.1 Publication et mise à jour de la Politique
NBD s’engage à maintenir la Politique de Confidentialité accessible en permanence sur son site internet (section « Politique de Confidentialité »). Toute version publiée sera datée et numérotée (versioning).

2.13.2 Annexe publique des sous-traitants et transferts
NBD tient à disposition en accès public (page dédiée ou annexe téléchargeable) une liste des sous-traitants majeurs impliqués dans le traitement des données et des transferts internationaux effectués, comprenant pour chaque prestataire :

• nom, pays de siège, finalité du traitement confié ;
• catégories de données traitées ;
• durée de conservation chez le prestataire ;
• garanties contractuelles (DPA, SCCs, certifications : ISO 27001, SOC2, etc.).

Cette annexe est mise à jour au moins chaque trimestre ou plus fréquemment en cas de changement critique.

2.13.3 Modalités pratiques d’exercice des droits
NBD met à disposition des personnes concernées des moyens simples et pratiques pour exercer leurs droits :

• Formulaire en ligne : accessible via la page « Exercice de vos droits » ;
• Adresse mail dédiée : privacy@naturebiodental.com ;
• Adresse postale : pour les demandes signées ;
• Pièces justificatives acceptées : liste des documents acceptés pour vérifier l’identité (ex. copie carte d’identité, passeport), et procédure de masquage des données sensibles ;
• Délai de réponse : conformément au RGPD, NBD répondra dans un délai d’un (1) mois à compter de la réception de la demande ; ce délai pourra être prorogé de deux (2) mois supplémentaires en cas de complexité ou de nombre élevé de demandes ; la prorogation sera motivée et notifiée dans le mois.

2.13.4 Information en cas de modification substantielle
En cas de modification substantielle de la Politique (ex. nouvelle finalité de traitement, transfert hors UE significatif, changement d’hébergeur majeur), NBD informera préventivement les personnes concernées par l’un des moyens suivants :

• Bannière clairement visible sur le site web ;
• E-mail aux personnes identifiables (clients, abonnés) lorsque la modification affecte leurs données ;
• Notification directe via tableau de bord client / interface utilisateur si applicable.

Sauf circonstances exceptionnelles (problème de sécurité critique rendant impossible un préavis), la notification interviendra au moins 30 jours avant l’entrée en vigueur de la modification substantielle.

2.14 Clause relative aux demandes émanant d’autorités publiques

2.14.1 Principe général
NBD ne communique pas de données personnelles à une autorité publique étrangère ou nationale sans base légale claire, documentée et vérifiable (décision de justice, réquisition administrative, demande fondée sur texte applicable). NBD examine systématiquement la légitimité de toute demande.

2.14.2 Procédure interne de traitement des réquisitions
Lorsqu’une requête émanant d’une autorité publique est reçue :

1. Vérification formelle : NBD vérifie l’authenticité de la demande, la compétence de l’autorité requérante, le fondement juridique invoqué et la portée (données demandées, période, finalité).
2. Recours au conseil juridique : si la demande n’est pas immédiatement satisfaite par une base légale claire ou si sa portée semble excessive, NBD saisit son conseil juridique interne/externe pour avis.
3. Contestations : si possible et approprié, NBD conteste la demande (procédure judiciaire ou recours) lorsqu’elle est manifestement disproportionnée, vague ou contraire au droit.
4. Notification préalable : sauf interdiction légale expresse (secret de l’enquête, injonction de non-divulgation), NBD informe sans délai le client/responsable de traitement concerné de la demande et des données susceptibles d’être communiquées.
5. Enregistrement : toute communication à une autorité est tracée et archivée (justificatifs, décision, note de conformité).

2.14.3 Cas des autorités publiques étrangères
Pour les demandes émanant d’une autorité publique étrangère, NBD vérifie si la demande est assortie d’un Titre exécutoire reconnu et d’un cadre de coopération internationale. En l’absence d’un tel fondement, NBD s’oppose à la transmission et saisit, le cas échéant, les juridictions compétentes.

2.14.4 Transparence et rapport
NBD tient un registre des demandes d’accès par les autorités (nombres, juridictions, motifs et décisions). Sauf interdiction légale, NBD publie un rapport public annuel récapitulant le nombre de demandes reçues et celles auxquelles il a donné suite.

2.15 Limitation de responsabilité et recours

2.15.1 Principes de responsabilité
La responsabilité de NBD pour les obligations liées à la protection des données est définie contractuellement et conformément au droit applicable (notamment articles relatifs à la responsabilité civile et au RGPD). NBD s’engage à mettre en œuvre les moyens techniques et organisationnels décrits dans ses contrats et dans la présente Politique.

2.15.2 Limitations contractuelles
Sous réserve des obligations impératives du droit applicable, les limitations de responsabilité insérées dans les contrats conclus entre NBD et ses clients / partenaires peuvent prévoir, de façon équitable et proportionnée (à ajuster par contrat) :

• une limitation des dommages directs à la somme totale des rémunérations effectivement perçues par NBD au titre du contrat au cours des [douze (12) derniers mois] précédant le fait générateur ;
• l’exclusion des dommages indirects (perte de marge, perte de clientèle, image, opportunités commerciales) sauf en cas de faute lourde ou dolosive ;
• l’absence d’indemnité pour un dommage résultant d’une instruction illégale donnée par le client, de la fourniture de données erronées, ou d’un manquement du client à ses obligations de sécurité/consentement.

2.15.3 Recours des personnes concernées
Les personnes concernées disposent des voies de recours suivantes en cas de litige relatif au traitement de leurs données :

1. Contact direct : en priorité, contacter NBD via [privacy@naturebiodental.com] ou par courrier postal à [adresse DPO] afin d’obtenir une recherche et, le cas échéant, une résolution amiable ;
2. Saisine du responsable de traitement principal : si NBD agit en qualité de sous-traitant, la personne peut adresser sa demande au responsable de traitement qui lui indique si NBD doit agir ;
3. Recours auprès de l’autorité de contrôle : en France, dépôt d’une plainte auprès de la CNIL ; ailleurs, auprès de l’autorité compétente locale ;
4. Recours juridictionnel : action en justice devant les juridictions compétentes pour obtenir réparation en cas de préjudice résultant d’un traitement illicite.

2.15.4 Procédure interne de traitement des litiges
NBD dispose d’une procédure interne d’escalade pour le traitement des réclamations : accusé de réception sous 7 jours ouvrés, instruction sous 1 mois (avec possibilité de prorogation détaillée), et proposition de remédiation (correction, suppression, compensation le cas échéant) selon les responsabilités établies.

2.16 Mise à jour de la section « Responsable du traitement » et versioning

2.16.1 Révision périodique
Cette section (et l’ensemble de la Politique de Confidentialité) fait l’objet d’une revue régulière au moins annuellement, ou plus fréquemment en cas d’évènements significatifs (changements réglementaires, changement d’hébergeur, nouveau modèle de traitement, fusion/acquisition).

2.16.2 Traçabilité des versions
Chaque mise à jour est enregistrée avec :

• un numéro de version (ex. v1.0, v1.1, v2.0) ;
• une date d’entrée en vigueur ;
• un journal des modifications listant précisément les clauses modifiées et la raison de la modification.

2.16.3 Notification des changements

• Modifications techniques non substantielles : publication de la nouvelle version sur le site (mise à jour de la date) ;
• Modifications substantielles (nouvelle finalité, nouveau type de données traitées, transfert international majeur, changement de DPO ou changement d’hébergeur) : information proactive des personnes concernées via l’un des canaux suivants (selon la nature des données et l’impact) : bannière sur site, e-mail aux contacts identifiables, notification dans l’espace client, et publication d’un résumé des changements. Cette notification interviendra au moins 30 jours avant l’application lorsque la nature du changement le permet.
• Modifications d’urgence (ex. nécessité de remédiation immédiate suite à incident de sécurité) : publication immédiate et, si possible, information directe des personnes concernées ; ces changements sont suivis d’un rapport circonstancié expliquant le motif, l’impact et les mesures correctrices.

2.16.4 Responsables de la mise à jour
La mise à jour est pilotée par le référent RGPD / DPO en concertation avec la direction juridique et les responsables opérationnels ; une copie de la version consolidée est archivée dans le registre de conformité.

3. Données personnelles collectées

3.1 Principes généraux

Conformément à la définition du RGPD, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (cf. art. 4 RGPD).
NatureBio Dental (NBD) peut collecter , selon le contexte d’utilisation de ses services , des catégories variées de données. Ces collectes sont toujours effectuées en respect des principes de minimisation, de finalité et de proportionnalité (RGPD).
Pour chaque catégorie ci-dessous, est indiqué :

• Exemples concrets (champs de formulaires / documents) ;
• Source de la donnée (directement fournie par la personne, collectée automatiquement, fournie par un tiers) ;
• Obligation : si la donnée est généralement requise pour fournir le service (Obligatoire / Facultative) ;
• Conséquence du refus : impact pratique lorsque la donnée n’est pas fournie.

Pour les finalités et la base juridique liées à chacune des catégories, consultez la Section 4 (Finalités & Bases juridiques).

3.2 Données d’identification et de contact (personnes physiques)

Exemples / champs : civilité, nom, prénom, pseudonyme, adresse postale, adresse email, numéro(s) de téléphone, date de naissance (le cas échéant pour vérification d’éligibilité), photo de profil.
Source : formulaire d’inscription (site, formation, newsletter), correspondance e-mail/téléphone, import manuel depuis CRM, réseaux sociaux (si utilisateur publie/autorise).
Obligation : Souvent obligatoire pour toute relation contractuelle ou administrative (inscription, facturation, contact commercial).
Conséquence du refus : impossibilité d’envoyer documents contractuels, d’inscrire à une formation, de délivrer une facture, ou d’établir un contact commercial.

3.3 Données professionnelles et administratives (personnes morales / personnes physiques exerçant)

Exemples / champs : raison sociale, nom de l’établissement, fonction/titre, service, SIRET / numéro d’immatriculation / N° d’ordre professionnel (ex. : RPPS, ADELI le cas échéant), adresse professionnelle, site web, numéro de TVA intracommunautaire, coordonnées de facturation professionnelles.
Source : formulaire entreprise, contrat, facture, bases publiques (registre du commerce), interactions commerciales.
Obligation : Souvent obligatoire pour contractualisation, facturation et émission de certificats/attestations.
Conséquence du refus : impossibilité de contractualiser, de facturer ou de délivrer une certification/attestation.

3.4 Données de facturation et de paiement

Exemples / champs : nom/raison sociale à facturer, adresse de facturation, numéro de commande, numéro de facture, référence de bon de commande, IBAN (si virement), informations de paiement (identifiants de transaction, statut de paiement).
Remarque : NBD ne stocke pas les numéros complets de carte bancaire sur ses serveurs si une solution de paiement tierce (PSP) est utilisée , les données sensibles de paiement sont traitées par le prestataire de paiement conformément aux règles PCI-DSS. NBD conserve la trace de la transaction (référence, date, montant) pour sa comptabilité.
Source : formulaire de commande, plateforme de paiement, service comptable.
Obligation : Obligatoire pour facturation et exécution des services.
Conséquence du refus : impossibilité d’effectuer le paiement et donc de fournir la prestation.

3.5 Données liées aux formations, parcours pédagogiques et certifications

Exemples / champs : statut d’inscription, parcours suivi, modules complétés, notes, certificats délivrés, dates de connexion, résultats d’évaluation, attestations, justificatifs professionnels fournis (copie diplôme, carte professionnelle), préférences pédagogiques, statut de présence (présentiel/en ligne), identifiants LMS.
Source : formulaires d’inscription, LMS (Learning Management System), professeurs/formateurs, saisie manuelle.
Obligation : Obligatoire pour la fourniture de la formation et la délivrance d’un certificat. Certains justificatifs (diplôme, carte pro) peuvent être requis pour valider l’accès à des modules réservés aux professionnels.
Conséquence du refus : impossibilité d’accéder à la formation, de valider la certification ou d’obtenir les supports.

3.6 Données de santé & données particulièrement protégées (catégories « spéciales »)

Exemples / champs : informations médicales personnelles (p. ex. antécédents médicaux, allergies, traitements, situation de handicap, informations cliniques partagées dans le cadre d’un cas pédagogique) ; images radiologiques ou photos intra-orales (dossiers cliniques) ; informations pouvant révéler l’état de santé.
Nature juridique : il s’agit de données sensibles telles que définies à l’article 9 du RGPD. Leur traitement est strictement encadré. NBD ne collecte et ne traite ces données que lorsque cela est nécessaire (ex. : pour des formations cliniques, accompagnement spécifique, adaptation de l’accueil d’un stagiaire ou exigence réglementaire), et avec une base juridique appropriée : généralement le consentement explicite de la personne concernée ou une autre base légale spécifiquement applicable (obligation légale, protection des intérêts vitaux, missions d’intérêt public si et dans la mesure prévues).
Exemples concrets de situations :

• stagiaire signale un handicap nécessitant un aménagement ;
• cas clinique anonymisé soumis au forum pédagogique (avec consentement patient) ;
• enregistrement d’une séance de simulation incluant des données de santé.
  Source : directement fourni par la personne concernée (ou, exceptionnellement, par un tiers avec justificatif légal).
  Obligation : Facultative sauf si nécessaire pour la sécurité ou l’exécution du service (ex. adaptation d’un stage).
  Conséquence du refus : si le renseignement est nécessaire à l’adaptation ou à la sécurité (p.ex. nécessité d’un aménagement pour un handicap), le refus peut empêcher l’accès au service dans des conditions adaptées. Si la donnée clinique d’un patient est fournie par un professionnel, NBD exige que cette donnée soit pré-anonymisée ou que le professionnel fournisse la preuve d’un consentement éclairé du patient pour la finalité visée.

Garantie : tout traitement de données de santé fait l’objet de mesures renforcées (accès restreint, chiffrement, DPA spécifiques, conservation limitée). Voir Section 6 sur la conservation et Section 8 sur la sécurité.

3.7 Données biométriques, images et vidéos (photos/vidéos de personnes)

Exemples / champs : photographies d’identification (photo CV), photos/vidéos de sessions de formation, enregistrements de webinaires, captures d’écran, images cliniques (intra-orales, radiographies).
Remarque juridique : les images peuvent être des catégories de données biométriques si elles sont traitées pour identifier une personne de manière unique. Le traitement de données biométriques est en principe soumis à des règles très strictes (art. 9 RGPD).
Pratiques NBD : NBD ne publie aucune image ou vidéo identifiable sans consentement explicite ; pour les enregistrements de sessions, NBD informe préalablement et sollicite l’accord (case à cocher) pour diffusion / archivage. Les images nécessaires à un dossier clinique sont stockées avec sécurité renforcée et uniquement pour les finalités de traitement, formation ou preuve.
Source : fournies par la personne, prises lors d’événements, enregistrement automatique de sessions.
Obligation : Variable , souvent facultative ; mais certaines images (photo d’identité pour certificat) peuvent être obligatoires.
Conséquence du refus : impossibilité d’émettre certains documents (ex. carte d’accès, certificat comportant photo) ; refus de diffusion publique des contenus dans lesquels la personne apparaît.

3.8 Données collectées automatiquement (logs techniques & analytics)

Exemples : adresse IP (ou version IP partiellement anonymisée), identifiant de cookie, identifiant d’appareil, type et version de navigateur, système d’exploitation, pages consultées, temps passé, URL de provenance (referer), résolutions d’écran, identifiants de session, date et heure des accès, événements applicatifs (clics), identifiants anonymisés d’appareil mobile, données de géolocalisation approximative (pays, région) si l’utilisateur l’autorise.
Source : collecte automatique via le site web, applications, serveurs et services tiers (outils d’analyse).
Obligation : Non obligatoire pour la navigation basique, mais certaines données techniques sont nécessaires pour fournir le service (ex. logs serveur pour dépannage).
Conséquence du refus / blocage : blocage de cookies non-essentiels peut limiter certaines fonctionnalités (personnalisation, statis­tiques, accès à certaines ressources protégées). Voir Section « Cookies » pour détails et choix.

3.9 Données issues des réseaux sociaux et plateformes tierces

Exemples : nom, identifiant public, photo publique, adresse email transmise via OAuth, messages privés envoyés via la page professionnelle, commentaires publics.
Source : comptes et pages de réseaux sociaux (LinkedIn, Facebook, Instagram, YouTube) lorsque l’utilisateur interagit avec NBD ou autorise un transfert d’informations.
Obligation : Facultatif.
Conséquence du refus : aucune incidence sur l’accès aux services principaux ; refus d’autorisation d’importer des données depuis un réseau social empêchera l’importation mais pas l’inscription manuelle.

3.10 Contenus fournis par les utilisateurs / générés par les utilisateurs (UGC)

Exemples : témoignages, avis, commentaires, contributions à des forums ou groupes (FB), études de cas partagées, cas cliniques soumis, fichiers joints, PDF, supports pédagogiques fournis.
Source : fournis volontairement par la personne via le site, email ou réseaux sociaux.
Obligation : Facultatif.
Conséquence du refus : l’utilisateur ne pourra pas participer aux discussions publiques ou partager ses contenus. NBD se réserve le droit de modérer et, en cas de publication, demandera le consentement si contenu identifiable.

3.11 Données relatives au recrutement / candidatures

Exemples : nom, prénom, coordonnées, CV, lettre de motivation, diplômes, certificats, historiques professionnels, références, résultats d’évaluations, appréciations, permis de travail. Le cas échéant : vérifications d’antécédents si la loi l’autorise.
Source : formulaires de candidature, envoi par email, portails d’emploi.
Obligation : Facultatif pour candidater ; néanmoins, l’absence d’informations requises empêche l’examen de la candidature.
Conséquence du refus : candidature non recevable si pièces obligatoires manquantes.

3.12 Données relatives à la relation contractuelle et aux échanges (correspondances)

Exemples : copies de contrats, bons de commande, courriels échangés, historique des échanges, notes internes sur la relation commerciale, documents légaux signés.
Source : échanges contractuels et administratifs.
Obligation : Obligatoire pour l’exécution du contrat.
Conséquence du refus : impossibilité d’exécuter ou de suivre la relation contractuelle.

3.13 Données fournies par des tiers et sources publiques

Exemples : informations obtenues via des partenaires, organismes publics, bases professionnelles (annuaires, registre du commerce), plateforme de vérification d’identité, cabinet de recouvrement, prescripteurs.
Source : tiers (partenaires, organismes publics, sources ouvertes).
Obligation : Variable selon le contexte.
Conséquence du refus : possibilité limitée d’utiliser ou de corriger ces données ; la personne peut demander la rectification via les droits RGPD.

3.14 Données de sécurité & vidéosurveillance (locaux physiques)

Exemples : enregistrements vidéos / photos issus de caméras de surveillance installées dans les locaux professionnels (si applicables), logs d’accès au bâtiment, badge d’accès, horodatage.
Cadre : sous réserve de l’existence physique de locaux exploités par NBD, la vidéosurveillance ne doit être mise en œuvre que dans le strict respect du cadre légal (signalétique, finalités légitimes – sécurité des personnes et des biens, conservation limitée) et des obligations de déclaration / information locale (CNIL).
Obligation : Non obligatoire , uniquement si existant.
Conséquence du refus : non concerné ; toutefois les personnes filmées sont informées et peuvent exercer leurs droits.

3.15 Données de preuve, logs de sécurité et prévention des fraudes

Exemples : historiques d’accès, empreintes techniques, notifications d’alerte, identifiants d’évènements, preuves de consentement (horodatage, IP au moment du consentement), journaux d’audit.
Source : systèmes internes et outils de sécurité.
Obligation : Généralement obligatoire pour conformité, sécurité et conservation des preuves.
Conséquence du refus : non applicable (ces données sont générées automatiquement).

3.16 Données agrégées, anonymisées et pseudonymisées

Exemples : données statistiques de fréquentation, taux de réussite des formations, parcours types, analyses agrégées d’usage.
Remarque : les données anonymisées (irréversiblement anonymisées) ne sont plus des données personnelles au sens du RGPD. Les données pseudonymisées restent des données personnelles au sens du RGPD et bénéficient de mesures de protection. NBD peut produire et utiliser ces données pour l’analyse, l’amélioration des services et la recherche interne.
Source : traitements internes à partir de données personnelles brutes.
Obligation : N/A (usage interne).

3.17 Données relatives aux patients fournies par des professionnels (cas clinique)

Exemples : dossiers cliniques, images, radiographies, compte-rendu opératoire, observation clinique, antécédents.
Important – règle stricte : NBD n’accepte pas la transmission de données patients identifiantes sans le consentement explicite préalable du patient. À défaut, les professionnels doivent anonymiser (suppression des noms, dates de naissance, adresses, identifiants) toute donnée patient fournie à des fins pédagogiques ou de partage. Si NBD devait recevoir des données patients identifiantes par erreur, elle en informera le responsable de l’envoi et les supprimera immédiatement sauf obligation légale contraire.
Source : professionnels (avec obligations légales de confidentialité et d’obtention du consentement du patient).
Obligation : Strictement encadrée , l’envoi de données patient identifiantes sans consentement est interdit.
Conséquence du refus / manquement : refus de prise en compte du cas clinique, obligation de suppression et signalement selon le droit applicable.

3.18 Données particulières non collectées sauf exception stricte

Par principe, NBD n’a pas vocation à collecter des données révélant : origine raciale ou ethnique, opinions politiques, convictions religieuses/philosophiques, appartenance syndicale, orientation sexuelle, données génétiques, ou condamnations pénales/infractions, sauf si :

• la collecte est indispensable pour l’exécution d’une obligation légale ; ou
• la personne a donné un consentement explicite pour cette finalité ; ou
• une autre base légale le permet expressément.

3.19 Données de consentement et preuve (log)

NBD enregistre les éléments de preuve du consentement des personnes (horodatage, version de la Politique acceptée, identifiant technique) lorsque le traitement repose sur le consentement (ex. envoi de newsletter, publication d’images, enregistrement de sessions). Ces preuves sont conservées afin d’être en mesure de démontrer la licéité du traitement (principe d’accountability du RGPD).

3.20 Données issues d’analyses prédictives / profils

NBD peut, dans le cadre de l’amélioration de ses services ou d’un service personnalisé, élaborer des profils (segmentation : préférences, parcours de formation, recommandations pédagogiques). Toute décision automatisée ayant des effets juridiques ou un impact significatif fera l’objet d’une information explicite et les personnes conserveront leurs droits (contestation, intervention humaine). Ces traitements seront détaillés dans la section « Décisions automatisées & Profilage » si appliqués.

3.21 Exemples concrets de formulaires & champs

Pour faciliter la compréhension, voici une liste non exhaustive de champs que vous pouvez rencontrer sur les formulaires NBD :

• Formulaire contact : Civilité / Nom / Prénom / E-mail / Téléphone / Message / Opt-in newsletter (case à cocher) ;
• Inscription formation (professionnel) : Nom / Prénom / Structure / Fonction / N° RPPS ou autre identifiant pro / Adresse pro / E-mail pro / Téléphone pro / Justificatif (diplôme) / Modalités de paiement / Besoins d’accessibilité / Consentement diffusion image (case à cocher) ;
• Commande / Facturation : Raison sociale / SIRET / Adresse facturation / Référence commande / Mode paiement / IBAN (si virement) ;
• Candidature : CV (fichier), lettre de motivation (fichier), diplômes (scan), références ;
• Témoignage : texte libre / photo / autorisation de publication ;
• Webinaire / Vidéo : autorisation d’enregistrement et de diffusion (case à cocher), nom et institution affichés au public.

3.22 Modalités d’obtention des données depuis un tiers (exemples)

NBD peut recevoir des données via :

• le client (lorsque NBD agit comme sous-traitant) ;
• organismes et partenaires (partages de listes pour invitations à des événements) ;
• services de paiement (références de transaction) ;
• annuaires professionnels (données publiques) ;
• intégrations techniques (API) autorisées par l’utilisateur.

Dans tous les cas, NBD vérifie la licéité de la source et, lorsque nécessaire, exige que le tiers ait informé les personnes concernées et obtenu les consentements requis.

3.23 Transparence et affichage des données collectées

NBD s’engage à afficher de manière claire, au moment de la collecte, quelles données sont demandées, pour quelle finalité, si la communication est obligatoire ou facultative, et les conséquences pratiques d’un refus. Les formulaires en ligne préciseront les mentions légales requises (finalité, base juridique, durée de conservation, destinataires) et les cases de consentement ne seront jamais pré-cochées.

3.24 Renvoi

Pour chaque catégorie identifiée ci-dessus, la finalité précise, la base juridique (art. 6 RGPD ; pour les données sensibles : art. 9 RGPD) et les durées de conservation correspondantes sont détaillées dans les Sections 4 (Finalités & Base juridique) et 6 (Durées de conservation). Les mesures techniques et organisationnelles de protection sont exposées en Section 8 (Sécurité).

4. Finalités & Bases légales

4.1 Principes généraux

Les traitements mis en œuvre par NatureBio Dental (NBD) reposent sur l’une des bases juridiques prévues par le Règlement (UE) 2016/679 (RGPD) :

• Consentement de la personne concernée (art. 6.1.a RGPD) ;
• Exécution d’un contrat auquel la personne est partie (art. 6.1.b RGPD) ;
• Obligation légale à laquelle NBD est soumise (art. 6.1.c RGPD) ;
• Intérêt vital (art. 6.1.d RGPD) , cas rare ;
• Exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6.1.e RGPD) , cas rare pour NBD ;
• Intérêt légitime poursuivi par NBD ou par un tiers, après mise en balance des droits et libertés de la personne (art. 6.1.f RGPD).

Pour les données sensibles (dont les données de santé), l’alinéa général d’interdiction prévu à l’art. 9 RGPD est écarté uniquement si une des dérogations légales s’applique (notamment : consentement explicite , art. 9.2.a , ou traitement nécessaire aux fins des soins de santé/gestion des services de santé, art. 9.2.h et la législation nationale applicable). NBD documente systématiquement la base légale retenue pour chaque traitement.

4.2 

1) Données d’identification et de contact (nom, prénom, email, téléphone, adresse)

• Finalités : gestion des demandes de contact, réponse commerciale, prise de rendez-vous, communication administrative, envoi de confirmations et informations liées au service (facturation, contrat).
• Base légale : exécution du contrat (art. 6.1.b) lorsque lié à une prestation ; consentement (art.6.1.a) pour les sollicitations marketing non contractuelles ; intérêt légitime (art.6.1.f) pour la gestion administrative et le suivi nécessaire à la relation commerciale.
• Destinataires types : service commercial, service facturation, CRM, hébergeur, sous-traitant en charge de la prise de rendez-vous.
• Conséquence du refus : impossibilité de répondre aux demandes, d’établir un contrat ou d’envoyer des informations utiles à l’exécution du service.

2) Données professionnelles / administratives (SIRET, N° RPPS, fonction, raison sociale)

• Finalités : contractualisation, facturation, vérification d’éligibilité aux formations réservées aux pros, émission de certificats.
• Base légale : exécution du contrat (art.6.1.b) ; obligation légale pour facturation / conformité fiscale (art.6.1.c).
• Destinataires : service comptabilité, prestataire de facturation, administration fiscale, hébergeur de documents.
• Conséquence du refus : impossibilité de contractualiser ou de facturer légalement.

3) Données de facturation et paiement (références de transaction, IBAN, archives comptables)

• Finalités : encaissement, émission de factures, justificatifs comptables, gestion des litiges.
• Base légale : exécution du contrat (art.6.1.b) ; obligation légale (conservation fiscale, art.6.1.c).
• Destinataires : prestataire de paiement, service comptabilité, cabinet d’audit, administration fiscale.
• Conséquence du refus : impossibilité d’effectuer la prestation sans paiement ; impossibilité d’émettre facture.

4) Données liées aux formations & parcours pédagogiques (LMS : progression, résultats, justificatifs)

• Finalités : gestion pédagogique, délivrance de certificats, contrôle d’accès aux modules, suivi des acquis, statistiques pédagogiques.
• Base légale : exécution du contrat (art.6.1.b) ; obligation légale pour certains modules certifiants ou pour conformité réglementaire. Pour l’envoi de communications marketing relatives à des formations similaires, consentement (art.6.1.a) ou intérêt légitime selon le contexte B2B (voir §4.7).
• Destinataires : LMS (sous-traitant), formateurs, service pédagogique, autorités de certification (si applicable).
• Conséquence du refus : impossibilité de participer au parcours ou d’obtenir un certificat.

5) Données de santé / données sensibles (antécédents, images cliniques)

• Finalités : adaptation pédagogique (ex. aménagement pour handicap), gestion de cas cliniques à des fins pédagogiques, conservation de dossiers cliniques pour la formation (anonymisés par défaut).
• Base légale : consentement explicite (art.9.2.a) pour diffusion / publication d’images ou cas cliniques identifiants ; article 9.2.h (traitement nécessaire pour des finalités de soins de santé/gestion de systèmes de santé) ou autre base légale prévue par la loi nationale lorsqu’applicable ; art.6.1.b si nécessaire à l’exécution d’un contrat de soin ou de formation comportant des activités cliniques.
• Destinataires : accès restreint au personnel autorisé, hébergeur sécurisé, sous-traitant LMS, professionnels formateurs.
• Mesures & conséquences : prioritairement anonymisation avant toute diffusion. Si la donnée est exigée et non fournie, impossibilité d’assurer l’adaptation ou la partie clinique du service. Toute transmission de données patients identifiantes ne peut se faire qu’avec le consentement éclairé du patient ou justification légale ; NBD exige preuves de consentement si un professionnel transmet ces données.

6) Images, photos et vidéos (événements, webinaires)

• Finalités : communication, archivage pédagogique, promotion (avec consentement spécifique).
• Base légale : consentement explicite (art.6.1.a et art.9.2.a si les images révèlent des données de santé) pour toute publication ; exécution du contrat (art.6.1.b) si inclusion prévue contractuellement pour un service.
• Destinataires : service communication, plateformes vidéo, hébergeur.
• Conséquence du refus : refus de diffusion publique de la personne ; possible impossibilité d’apparaître sur supports promotionnels.

7) Données techniques & logs automatiques (IP, cookies, analytics)

• Finalités : sécurité, détection des erreurs, optimisation du site, statistiques de fréquentation.
• Base légale : intérêt légitime (art.6.1.f) pour la sécurité et l’amélioration technique ; consentement (art.6.1.a) pour les cookies et traceurs non essentiels et le tracking marketing (conformément aux règles en vigueur).
• Destinataires : hébergeur, prestataire analytics, CDN, prestataires de sécurité.
• Conséquence du refus : limitation de certaines fonctionnalités, mesures d’optimisation et de personnalisation désactivées.

8) Données issues des réseaux sociaux (identifiants publics, messages)

• Finalités : gestion de la relation et de la communauté, réponses aux messages, modération.
• Base légale : intérêt légitime (art.6.1.f) pour la gestion de la présence en ligne ; consentement si réutilisation marketing ou publication d’un message privé.
• Destinataires : community manager, outils de moderation / CRM.
• Conséquence du refus : n/a (interaction volontaire) ; en cas de retrait d’autorisation, suppression de contenu publicée si possible.

9) Contenus fournis par les utilisateurs (témoignages, avis)

• Finalités : publication d’avis, preuve sociale, amélioration des services.
• Base légale : consentement (art.6.1.a) pour publication identifiable ; intérêt légitime pour la modération et la gestion interne (ex. modération de commentaires).
• Destinataires : service communication, plateformes d’avis, hébergeur.
• Conséquence du refus : le témoignage ne sera pas publié.

10) Données de recrutement (CV, diplômes, références)

• Finalités : gestion des candidatures, évaluation, recrutement, vérifications réglementaires.
• Base légale : exécution de mesures précontractuelles (art.6.1.b) ; consentement pour certaines vérifications spécifiques (ex. vérification d’antécédents) ; obligation légale (art.6.1.c) pour obligations liées au droit du travail.
• Destinataires : service RH, cabinet de recrutement, sous-traitants pour tests, autorités en cas d’obligation légale.
• Conséquence du refus : impossibilité de traiter la candidature complète ou de procéder à certaines vérifications.

11) Données contractuelles et échanges (contrats, correspondances)

• Finalités : exécution des contrats, preuve, gestion des litiges, conformité légale.
• Base légale : exécution du contrat (art.6.1.b) ; obligation légale (archivage fiscal et comptable).
• Destinataires : service juridique, comptabilité, hébergeur documentaire.
• Conséquence du refus : non exécution du contrat ou impossibilité de répondre à des obligations légales.

12) Données fournies par des tiers / sources publiques

• Finalités : enrichissement de la relation commerciale, recherche de partenaires, vérifications administratives.
• Base légale : intérêt légitime (art.6.1.f) lorsque la finalité est compatible et légitime ; obligation légale si applicable.
• Destinataires : service commercial, CRM.
• Conséquence du refus : possibilité limitée de correction (demander rectification).

13) Vidéosurveillance & données de sécurité des locaux (si applicables)

• Finalités : sécurité des personnes et des biens, prévention des infractions.
• Base légale : intérêt légitime (art.6.1.f) ou obligation légale selon le cas ; information préalable, signalétique visible.
• Destinataires : service sécurité, autorités compétentes en cas d’incident.
• Conséquence du refus : non applicable si dans la zone publique ; droit d’accès possible selon loi locale.

14) Données de preuve, logs de conformité et preuve de consentement

• Finalités : preuve de conformité RGPD (horodatage du consentement), preuve contractuelle, prévention/follow-up en cas d’incident.
• Base légale : obligation légale et intérêt légitime (art.6.1.c / art.6.1.f).
• Destinataires : DPO, service juridique, autorités sur demande légale.
• Conséquence du refus : non applicable (données générées automatiquement pour conformité).

15) Données agrégées / anonymisées

• Finalités : études statistiques, amélioration services, recherche interne.
• Base légale : intérêt légitime (art.6.1.f) ; si complètement anonymisées, hors RGPD.
• Destinataires : service analyse, direction.
• Conséquence du refus : peut diminuer la qualité des statistiques individuelles mais pas l’offre globale.

4.3 Bases légales particulières pour les données de santé (art. 9 RGPD)

Pour les données de santé, NBD n’opérera ces traitements que si l’une des bases de l’article 9 s’applique :

• Consentement explicite (art.9.2.a) : lorsqu’une personne accepte clairement et sans ambiguïté le traitement de données de santé pour une finalité donnée (ex. publication d’images cliniques pour une formation). Le consentement sera recueilli par écrit ou case à cocher non pré-cochée et horodaté.
• Traitement nécessaire aux fins de la médecine préventive ou de la gestion de systèmes de santé (art.9.2.h) : lorsque la loi nationale le permet (ex. suivi médical lié à une formation pratique, gestion d’un dossier patient dans un cadre réglementé).
• Protection des intérêts vitaux (art.9.2.c) : cas d’urgence extrême.
• Traitement nécessaire à des fins de recherche scientifique / historique / statistique (art.9.2.j) : sous réserve des garanties et des règles nationales.

Mesures spécifiques : pour tout traitement de données de santé, NBD applique : accès restreint, chiffrement, DPA renforcé avec le prestataire, conservation limitée et anonymisation systématique pour toute diffusion pédagogique/publication.

4.4 Traitement fondé sur l’intérêt légitime : principe et documentation

Quand NBD se base sur l’intérêt légitime (art.6.1.f) , par exemple pour la sûreté du site, la lutte contre la fraude, l’amélioration de services, ou la gestion raisonnable de la relation client , NBD a procédé à un “test de mise en balance” documenté (Legitimate Interest Assessment , LIA) qui inclut :

1. But légitime clairement défini ;
2. Nécessité du traitement ;
3. Impact sur les personnes et mise en place de mesures d’atténuation (minimisation, anonymisation, opt-out).

NBD tient ces LIAs à disposition des autorités de contrôle sur demande. Pour les communications marketing vers des professionnels (B2B), NBD peut se prévaloir de l’intérêt légitime dans certains cas, sous réserve d’un droit d’opposition effectif et d’une évaluation préalable. Pour la prospection auprès des consommateurs (B2C), NBD privilégie le consentement.

4.5 Marketing, newsletters et prospection commerciale

• Newsletters & e-mailing marketing (non essentielles) : consentement préalable (opt-in) sauf si la prospection vise strictement des professionnels et que la législation locale l’autorise sur base d’intérêt légitime ; NBD enregistre la preuve du consentement ( horodatage, version de la politique acceptée ).
• Ciblage publicitaire : soumis au consentement pour les cookies et traceurs non essentiels.
• Droit d’opposition / désabonnement : chaque communication comporte un lien de désabonnement clair et l’exercice du droit est effectif sous 30 jours maximum.

4.6 Décisions automatisées et profilage

• Profiling / décisions automatisées : NBD n’utilise pas de décisions entièrement automatisées produisant des effets juridiques ou analogues sans intervention humaine, sauf information contraire et justification explicite dans la présente politique.
• Si NBD met en œuvre un traitement automatisé ayant des effets significatifs, la personne sera informée de la logique impliquée, de l’importance et des conséquences prévues, et pourra demander une intervention humaine, exprimer son point de vue et contester la décision (art.22 RGPD).

4.7 Transferts internationaux : base légale et garanties

• Tout transfert de données vers un pays hors UE/EEE repose sur : décision d’adéquation, clauses contractuelles types (SCCs), règles d’entreprise contraignantes (BCR), ou mesures complémentaires (chiffrement, pseudonymisation) documentées.
• NBD renseigne la liste des transferts (prestataires hors UE) dans l’annexe « Transferts internationaux » et met à disposition les garanties contractuelles existantes.

4.8 Conservation et suppression (renvoi à Section 6)

• Les durées de conservation des différentes catégories de données sont définies en Section 6. La base juridique conditionne fréquemment la durée (ex. obligations fiscales imposent des durées minimales). Les données ne sont pas conservées au-delà de la durée nécessaire aux finalités.

4.9 Mesures d’atténuation, sécurité et confidentialité

• Pour chaque finalité et base légale, NBD met en œuvre des mesures techniques et organisationnelles proportionnées (chiffrement, contrôle d’accès, pseudonymisation, contrats DPA, audits de sécurité, journalisation) décrites en Section 8.
• Pour les traitements sensibles, NBD exige des garanties supplémentaires de la part des sous-traitants (certifications, audits, SCCs).

4.10 Conséquences pratiques et informations pour la personne

• Transparence au point de collecte : au moment de chaque collecte (formulaire, inscription, webinaire), NBD indique la finalité, la base juridique, la durée et les destinataires. Les cases de consentement ne sont jamais pré-cochées.
• Retrait du consentement : possible à tout moment ; le retrait n’affecte pas la licéité du traitement antérieur. Les modalités de retrait figurent dans chaque communication (lien de désabonnement) et dans la Section « Exercice des droits ».
• Opposition : la personne peut s’opposer à un traitement fondé sur l’intérêt légitime ; NBD examinera la demande et, si les intérêts du demandeur l’emportent, cessera le traitement.

4.11 Documentation & preuve de conformité

• NBD tient un registre des activités de traitement (article 30 RGPD) précisant pour chaque traitement : finalités, base légale, catégories de données, destinataires, transferts, durées et mesures de sécurité.
• Pour chaque traitement fondé sur le consentement, la preuve du consentement est conservée (horodatage, version de la politique).
• Pour chaque traitement fondé sur l’intérêt légitime, la LIA est documentée et archivée.

5. Conservation, transfert et suppression de Vos Données Personnelles

5.1 Durée de conservation

La Société ne conservera Vos Données Personnelles que le temps nécessaire aux finalités décrites dans la Section 4. Cette durée est déterminée en fonction de la nature des données et des obligations légales, contractuelles ou réglementaires.

• Les données d’identification et de contact sont conservées tant que la relation avec vous existe et pendant une période raisonnable après votre dernière interaction pour permettre la gestion administrative ou la réponse à des sollicitations.
• Les données professionnelles et administratives (numéro SIRET, RPPS, fonction, etc.) et les données de facturation sont conservées pendant toute la durée exigée par les obligations fiscales et comptables.
• Les données relatives aux formations et parcours pédagogiques, y compris les certificats et justificatifs, sont conservées le temps nécessaire à la délivrance des certificats et à la conformité réglementaire, puis anonymisées lorsque possible.
• Les données de santé ou sensibles sont conservées uniquement pour assurer la réalisation du service ou de la formation, et pour répondre aux obligations légales spécifiques, avec une priorité à l’anonymisation dès que possible.
• Les données techniques (logs, IP, cookies) sont conservées pour une période limitée nécessaire à la sécurité et à l’optimisation du service.
• Les contenus multimédias, photos, vidéos ou témoignages, sont conservés uniquement tant que le consentement de la personne concernée est actif, ou jusqu’à anonymisation pour un usage pédagogique ou statistique.

La Société procède à un examen régulier de toutes les données stockées afin de s’assurer qu’elles ne sont pas conservées au-delà de la durée nécessaire.

5.2 Transfert de Vos Données Personnelles

Vos informations peuvent être traitées et stockées dans les bureaux de la Société ainsi que chez nos prestataires, dans l’Union Européenne ou en dehors de l’UE. Cela signifie que vos données peuvent transiter ou être hébergées dans des pays dont la législation sur la protection des données diffère de celle de votre pays de résidence.

Tout transfert en dehors de l’UE ou de l’Espace Économique Européen est effectué uniquement si l’une des conditions suivantes est remplie :

1. Décision d’adéquation de la Commission Européenne : le pays destinataire a été reconnu par la Commission Européenne comme offrant un niveau de protection des données personnelles équivalent à celui de l’UE.
2. Clauses contractuelles types (SCC) : la Société met en place avec le prestataire ou le sous-traitant des clauses contractuelles standard approuvées par la Commission Européenne, garantissant un niveau de protection suffisant pour vos données.
3. Mesures techniques et organisationnelles appropriées : si aucune décision d’adéquation ou SCC n’est disponible, la Société s’assure que le transfert est sécurisé par des mesures concrètes comme le chiffrement des données, la pseudonymisation, et la restriction stricte des accès aux seules personnes autorisées.

Votre consentement à cette Politique de Confidentialité implique votre accord à ces transferts. La Société s’engage à ce que toutes les données transférées bénéficient d’un niveau de protection adéquat et conforme au RGPD et à documenter ces transferts.

5.3 Suppression, accès et rectification

Conformément aux articles 15 à 20 du RGPD, vous disposez à tout moment des droits suivants :

• Accès : savoir quelles données sont conservées sur vous, dans quel but et avec qui elles sont partagées.
• Rectification : corriger ou compléter vos données si elles sont inexactes ou incomplètes.
• Suppression / droit à l’oubli : demander l’effacement de vos données lorsque leur conservation n’est plus nécessaire ou n’est plus justifiée. Ce droit est limité si des obligations légales ou contractuelles imposent la conservation des données.
• Limitation du traitement : suspendre temporairement l’utilisation de vos données, par exemple si vous contestez leur exactitude.
• Portabilité : obtenir vos données dans un format structuré, couramment utilisé et lisible par machine, afin de les réutiliser ou transférer vers un autre service.
• Opposition : vous opposer à certains traitements, notamment ceux fondés sur l’intérêt légitime ou à des fins marketing directes.

Ces droits peuvent être exercés via votre compte utilisateur si disponible, ou en contactant directement la Société à l’adresse indiquée dans la section contact. La Société traite toutes les demandes dans un délai maximum de 30 jours, et conserve un registre documenté de chaque demande et action effectuée, comme preuve de conformité.

5.4 Divulgation de Vos Données Personnelles

La Société s’engage à protéger vos données personnelles et ne les divulgue que dans des circonstances strictement encadrées. Les cas possibles de divulgation sont détaillés ci-dessous :

1. Transactions commerciales
   En cas de fusion, acquisition, vente d’actifs, restructuration ou tout autre changement d’organisation, vos données personnelles peuvent être transférées à la nouvelle entité ou au repreneur. Dans ces situations :

• Vous serez informé à l’avance du transfert,
• Vos données continueront à être protégées selon des standards équivalents à ceux décrits dans cette Politique,
• Le transfert sera documenté pour garantir traçabilité et conformité aux obligations légales.

2. Exigences légales et judiciaires
   La Société peut être contrainte de divulguer vos données pour :

• Se conformer à une obligation légale,
• Répondre à une décision de justice,
• Respecter une demande officielle d’une autorité publique (par exemple enquête, contrôle réglementaire, demande policière).

Dans ce cas, la divulgation est strictement limitée aux informations requises et documentée pour assurer la traçabilité.

3. Protection des droits et sécurité
   Vos données peuvent être utilisées pour :

• Défendre les droits légaux ou contractuels de la Société,
• Protéger les biens et la sécurité de la Société, de ses utilisateurs ou du public,
• Détecter, prévenir ou enquêter sur des activités illégales ou abusives sur le service.

Chaque divulgation est limitée à la finalité spécifique et enregistrée pour permettre un audit ou un contrôle légal ultérieur.

5.5 Sécurité de vos données

La Société met en œuvre des mesures de sécurité strictes pour protéger vos données personnelles contre tout accès non autorisé, modification, divulgation ou destruction :

Mesures techniques :

• Chiffrement des données en transit et au repos pour garantir la confidentialité,
• Pseudonymisation des données sensibles lorsque cela est possible,
• Utilisation de pare-feu, antivirus et systèmes de détection d’intrusion,
• Surveillance continue des systèmes pour prévenir tout accès non autorisé ou tentative de piratage.

Mesures organisationnelles :

• Limitation des accès aux données aux personnes strictement autorisées,
• Formation régulière du personnel sur la sécurité et la confidentialité,
• Contrats de traitement de données (DPA) signés avec tous les prestataires et sous-traitants, garantissant qu’ils respectent des normes équivalentes de sécurité et de confidentialité.

Limites de sécurité :
Malgré toutes ces mesures, aucune méthode de transmission ou de stockage électronique n’est totalement sûre. La Société prend toutes les précautions raisonnables, mais ne peut garantir une sécurité absolue.

5.6 Confidentialité des enfants

La Société accorde une attention particulière à la protection des données des mineurs, conformément aux exigences légales, réglementaires et aux bonnes pratiques en matière de protection des données :

1. Public visé
   Le Service n’est pas destiné aux enfants de moins de 13 ans. Tout contenu, formulaire ou service proposé sur le site est conçu pour un public adulte ou professionnel, et les mineurs ne sont pas autorisés à y fournir des données personnelles.
2. Collecte volontaire limitée
   La Société ne collecte aucune information personnelle identifiable auprès d’enfants de moins de 13 ans de manière intentionnelle. Toutes les données soumises par erreur ou accidentellement par des mineurs sont traitées comme suit :
3. Action corrective immédiate

• Si un parent ou tuteur constate que des informations personnelles concernant son enfant ont été transmises au Service, il doit contacter immédiatement la Société via l’adresse email ou le formulaire dédié.
• La Société s’engage à supprimer rapidement et intégralement toutes les informations relatives au mineur de ses systèmes, bases de données et tout support électronique ou papier, sauf obligation légale contraire.
• La suppression inclut toutes les copies, sauvegardes et traitements dérivés des données concernées.

1. Consentement parental obligatoire
   Lorsque la législation locale l’exige pour le traitement des données personnelles de mineurs :

• Le consentement explicite d’un parent ou tuteur légal doit être obtenu avant toute collecte ou traitement.
• La Société met en place des mécanismes permettant de vérifier le consentement parental (ex : formulaire spécifique ou vérification par email).
• En l’absence de consentement valide, aucune donnée ne peut être collectée ou traitée.

1. Mesures préventives

• Les formulaires et espaces du site sont conçus pour limiter la saisie de données personnelles par des mineurs, incluant des avertissements clairs et visibles.
• Les employés et prestataires sont formés pour identifier et gérer tout incident impliquant des données de mineurs.
• La Société réalise des contrôles réguliers pour s’assurer qu’aucune donnée de mineur n’est stockée sans consentement légal.

1. Documentation et traçabilité
   Toutes les actions entreprises pour supprimer ou protéger les données des mineurs sont documentées pour assurer traçabilité et conformité réglementaire, notamment en cas d’audit ou de contrôle par la CNIL ou une autorité compétente.

5.7 Mise à jour de la politique

La Politique de Confidentialité est un document vivant, susceptible d’être mis à jour pour tenir compte des évolutions législatives, réglementaires, technologiques ou opérationnelles.

1. Publication des modifications

• Chaque mise à jour sera publiée sur cette page, avec la date de dernière modification clairement indiquée en haut du document.
• Les anciennes versions sont conservées en archive pour référence interne et auditabilité.

1. Notification des utilisateurs

• Pour tout changement significatif pouvant affecter vos droits ou l’utilisation de vos données, les utilisateurs seront informés par email ou par notification visible sur le service.
• Les utilisateurs sont encouragés à consulter régulièrement cette page pour rester informés des changements.

1. Version en vigueur

• La version la plus récente publiée sur le site prévaut sur toutes les versions précédentes.
• Toute utilisation continue du Service après la publication d’une mise à jour constitue une acceptation tacite des modifications.

1. Traitements fondés sur l’intérêt légitime
2. Pour chaque traitement basé sur l’intérêt légitime, la Société conserve et archive un Legitimate Interest Assessment (LIA).
3. Le LIA documente :
   1. la finalité du traitement,
   2. la justification légale,
   3. l’évaluation des risques pour les utilisateurs,
   4. les mesures prises pour limiter ces risques.
4. Cette documentation permet de démontrer la conformité au RGPD et d’assurer la transparence auprès des utilisateurs et des autorités de contrôle.

Plus d’infos