Politique de confidentialité — ITWATCHYOU

Politique de Confidentialité

Date de dernière mise à jour : 3 juillet 2026

1. Responsable du traitement

Le responsable du traitement des données collectées sur ce site est :

ITWATCHYOU : Alix Froissart, entrepreneur individuel
2 rue Dr Gambini, 20250 Corte, France
SIRET : 10363961300019
Contact : contact@itwatchyou.fr

ITWATCHYOU s'engage à protéger les données personnelles de ses utilisateurs conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi Informatique et Libertés.

2. Nos deux rôles : responsable du traitement et sous-traitant

ITWATCHYOU édite d'une part un site public (scanner de conformité, contenus, mise en relation avec des DPO) et d'autre part un outil professionnel par abonnement, l'Espace DPO, destiné aux consultants et DPO externalisés.

  • Responsable du traitement : pour les données du site public, des comptes Espace DPO, de la facturation et de la mesure d'audience, ITWATCHYOU détermine les finalités et agit en qualité de responsable du traitement.
  • Sous-traitant (art. 28 RGPD) : pour les données de prospects et de clients que chaque consultant importe et gère dans son Espace DPO (fiches prospects, emails de prospection, portefeuille clients, registres, documents), le consultant est responsable du traitement et ITWATCHYOU agit en qualité de sous-traitant : nous traitons ces données uniquement sur instruction du consultant, nous ne les utilisons pas pour notre propre compte, et nous les supprimons à la clôture du compte. Si vous êtes contacté par un consultant via notre outil, l'exercice de vos droits s'effectue prioritairement auprès de ce consultant (voir section 10).

3. Données collectées, finalités et bases légales

Scanner de conformité RGPD (site public)

  • URL du site analysé, résultats techniques (cookies et traceurs détectés, mentions et pages repérées), date du scan
  • Adresse email si vous demandez à recevoir le rapport d'analyse

Finalité : fournir l'analyse et vous adresser le rapport. Base légale : exécution de mesures précontractuelles et contrat (art. 6.1.b RGPD). Conservation : 12 mois à compter du scan.

Paiements (rapports, missions, abonnements)

  • Adresse email de facturation, montants, statut du paiement
  • Les données de carte bancaire sont traitées exclusivement par Stripe et ne transitent jamais par nos serveurs

Finalité : exécution du paiement et facturation. Base légale : contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c). Conservation : pièces comptables 10 ans.

Formulaires de contact, demande de DPO, newsletter

  • Nom, prénom, email professionnel, entreprise (optionnel), contenu du message
  • Newsletter : email uniquement, avec lien de désinscription dans chaque envoi

Finalité : répondre à vos demandes, vous mettre en relation avec un DPO, vous adresser la newsletter. Base légale : mesures précontractuelles (art. 6.1.b) ; consentement pour la newsletter (art. 6.1.a), retirable à tout moment. Conservation : 3 ans après le dernier contact ; newsletter jusqu'à désinscription.

Compte Espace DPO (consultants)

  • Nom, prénom, email (vérifié par code OTP), téléphone (optionnel), entreprise (optionnel)
  • Mot de passe stocké exclusivement sous forme hachée
  • Adresse IP d'inscription et empreinte technique du navigateur (caractéristiques anonymisées du terminal), utilisées uniquement pour prévenir la création multiple de comptes d'essai
  • Données d'abonnement Stripe (identifiant client, statut, dates)
  • Signature email et paramètres de personnalisation (marque blanche)

Finalité : création et gestion du compte, authentification, abonnement, prévention de la fraude. Base légale : contrat (art. 6.1.b) ; intérêt légitime pour l'anti-fraude (art. 6.1.f). Conservation : durée de l'abonnement puis 3 ans à des fins probatoires ; données anti-fraude 12 mois. Les coordonnées (nom, email, téléphone) sont chiffrées au repos dans notre base de données.

Boîte mail et calendrier connectés (Espace DPO)

  • Si le consultant connecte sa boîte Gmail ou Microsoft (OAuth) : jetons d'accès, adresse email du compte connecté, emails de prospection envoyés et réponses reçues des prospects contactés
  • Si le consultant connecte son calendrier Google ou CalDAV (Apple/iCloud) : jetons d'accès ou mot de passe d'application, événements synchronisés

Les jetons OAuth et mots de passe CalDAV sont chiffrés au repos. L'accès à la boîte mail est strictement limité à l'envoi des emails rédigés par le consultant et à la lecture des réponses des prospects contactés, jamais à l'ensemble de la messagerie. Base légale : contrat, à l'initiative exclusive du consultant. Conservation : jusqu'à déconnexion du service par le consultant ou clôture du compte.

Données de prospects et clients gérées par les consultants (rôle de sous-traitant)

  • Données d'identification d'entreprises issues de sources publiques (base SIRENE via recherche-entreprises.api.gouv.fr : dénomination, SIRET, adresse, activité, effectifs, données financières publiées)
  • Emails professionnels de contact collectés sur les sites web publics des entreprises
  • Résultats de scans de conformité des sites des prospects, historique des échanges, documents produits (devis, rapports, registres)

Pour ces données, le consultant utilisateur est responsable du traitement ; ITWATCHYOU agit comme sous-traitant (voir section 2). La prospection réalisée par les consultants est une prospection B2B adressée à des contacts professionnels ; chaque email envoyé via notre outil comporte une mention d'information et un moyen de s'opposer à toute nouvelle sollicitation. Conservation : jusqu'à suppression par le consultant ou clôture de son compte.

Portail client, tickets RGPD et signature électronique

  • Tickets et demandes d'exercice de droits déposés par les clients finaux des consultants : identité du demandeur, nature de la demande, échanges
  • Signature électronique de documents : nom, email, adresse IP, horodatage et image de la signature, éléments conservés à des fins probatoires

Base légale : contrat et intérêt légitime probatoire. Conservation : preuves de signature 5 ans.

Intelligence artificielle (Google Gemini)

Certaines fonctionnalités (analyse des résultats techniques de scan, aide à la rédaction de contenus et de réponses) font appel à l'API Google Gemini. Ne sont transmises que les données techniques du scan (URL, cookies et traceurs détectés) ou le contenu à générer, jamais plus que nécessaire. Aucune décision produisant des effets juridiques à l'égard d'une personne n'est prise de manière entièrement automatisée : les contenus générés sont des aides à la décision, systématiquement validés par un humain (vous ou votre consultant).

Mesure d'audience et analyse de l'expérience (avec votre consentement)

Avec votre consentement uniquement, nous utilisons Google Analytics 4 (statistiques de fréquentation), PostHog (analyse d'usage et enregistrement de session, champs sensibles masqués) et Contentsquare (analyse de l'expérience). Base légale : consentement (art. 6.1.a), retirable à tout moment. Conservation : 13 mois maximum. Détail complet et gestion du consentement dans notre politique de cookies.

4. Destinataires et sous-traitants

Vos données sont traitées par les prestataires suivants, chacun pour la seule finalité indiquée et dans le cadre d'engagements de conformité au RGPD :

  • Stripe Payments Europe Ltd (Irlande/États-Unis), paiements et abonnements (PCI-DSS), stripe.com
  • Resend Inc. (États-Unis), envoi des emails transactionnels (OTP, notifications, rapports), resend.com
  • Vercel Inc. (États-Unis), hébergement du site (frontend), vercel.com
  • Render Services Inc. (États-Unis), hébergement de l'application (backend), render.com
  • MongoDB Inc. (MongoDB Atlas, États-Unis, hébergement UE possible), base de données, mongodb.com
  • Google (Irlande/États-Unis) : API Gemini (IA), Google Analytics 4 / Tag Manager (mesure d'audience, avec consentement), OAuth Gmail et Google Calendar (à l'initiative du consultant)
  • Microsoft (Irlande/États-Unis) : OAuth Outlook/Microsoft 365 (à l'initiative du consultant)
  • PostHog Inc. (États-Unis), analyse d'usage (avec consentement)
  • Contentsquare SAS (France), analyse de l'expérience (avec consentement)

La base SIRENE (recherche-entreprises.api.gouv.fr) est une source de données publiques d'entreprises, non un destinataire. Nous ne vendons ni ne louons jamais vos données personnelles.

5. Transferts hors Union européenne

Certains prestataires listés ci-dessus sont établis aux États-Unis. Les transferts correspondants sont encadrés par le cadre de conformité EU-US Data Privacy Framework lorsque le prestataire y est certifié, et/ou par les clauses contractuelles types de la Commission européenne, complétées le cas échéant de mesures supplémentaires (chiffrement au repos et en transit). Vous pouvez obtenir copie des garanties applicables en nous contactant.

6. Sécurité

  • Chiffrement TLS de toutes les communications
  • Chiffrement au repos des données sensibles (coordonnées des comptes, jetons OAuth, identifiants calendrier)
  • Mots de passe stockés exclusivement sous forme hachée (algorithme renforcé)
  • Cloisonnement strict des données entre consultants ; contrôle d'accès et authentification par jeton
  • Vérification des signatures des webhooks de paiement ; journalisation et détection des anomalies

7. Durées de conservation, récapitulatif

  • Scans publics : 12 mois
  • Pièces comptables et facturation : 10 ans
  • Demandes de contact : 3 ans après le dernier échange
  • Comptes Espace DPO : durée de l'abonnement + 3 ans ; anti-fraude 12 mois
  • Jetons mail/calendrier : jusqu'à déconnexion ou clôture du compte
  • Données prospects/clients des consultants : jusqu'à suppression par le consultant ou clôture du compte
  • Preuves de signature électronique : 5 ans
  • Mesure d'audience : 13 mois maximum

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès, obtenir une copie de vos données
  • Rectification, corriger des données inexactes
  • Effacement, demander la suppression de vos données
  • Limitation, restreindre temporairement le traitement
  • Portabilité, recevoir vos données dans un format structuré et lisible par machine
  • Opposition, vous opposer à tout moment à un traitement fondé sur l'intérêt légitime, et sans condition à la prospection
  • Retrait du consentement, à tout moment, sans affecter la licéité du traitement antérieur
  • Directives post mortem, définir le sort de vos données après votre décès

Pour exercer ces droits : dpo@itwatchyou.fr. Nous répondons dans un délai d'un mois (prorogeable de deux mois pour les demandes complexes, auquel cas vous en êtes informé). Une preuve d'identité pourra être demandée en cas de doute raisonnable.

9. Absence de décision entièrement automatisée

Aucun traitement mis en œuvre sur ce site ne produit de décision entièrement automatisée ayant des effets juridiques vous concernant au sens de l'article 22 du RGPD. Les scores de conformité et contenus générés par IA sont des aides à la décision destinées à des professionnels.

10. Vous avez été contacté par un consultant utilisant notre outil ?

Si vous recevez un email de prospection envoyé par un consultant DPO via l'Espace DPO, ce consultant est le responsable du traitement de vos données. Vous pouvez exercer vos droits directement auprès de lui (ses coordonnées figurent dans l'email reçu), utiliser le lien de désinscription présent dans chaque message, ou nous écrire à dpo@itwatchyou.fr : nous relaierons votre demande au consultant concerné et, sur instruction, procéderons à la suppression.

11. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 Place de Fontenoy : TSA 80715 : 75334 PARIS CEDEX 07
www.cnil.fr

12. Mise à jour de la présente politique

Cette politique peut être mise à jour pour refléter l'évolution de nos services ou de la réglementation. La date en haut de page indique la dernière révision ; en cas de modification substantielle, les utilisateurs disposant d'un compte en sont informés.