Politique de confidentialité (RGPD)

Portail BSOD Réparation – Information sur les données clients stockées

Ce document décrit quelles données personnelles nous traitons, pour quelles finalités, sur quelles bases juridiques et pendant combien de temps. Il précise aussi vos droits et la façon de nous contacter. Il concerne l’écosystème bsod-reparation.fr et ses sous-domaines opérationnels.

Définitions essentielles

  • Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (RGPD art. 4).
  • Traitement : toute opération appliquée aux données (collecte, conservation, consultation, etc.).
  • Responsable du traitement : entité qui détermine les finalités et moyens du traitement.
  • Sous‑traitant : entité traitant des données pour le compte du responsable (art. 28).
  • DPIA : analyse d’impact relative à la protection des données (art. 35) lorsque un traitement est susceptible d’engendrer un risque élevé.

1) Responsable du traitement

BSOD Réparation — 5 BIS Avenue Marcel Proust, 28000 Chartres (France). E‑mail : contact@bsod-reparation.fr — Tél. : 07 83 63 88 70.

Les responsables opérationnels sont : DUPUIS Mathis, OZANGE Maxime et STEVENS Arno. Pas de DPO désigné à ce jour; contactez-nous à l’adresse ci‑dessus pour toute demande relative à la protection des données (art. 13‑14 RGPD).

2) Catégories de données clients stockées

Identité et contact

  • Nom, prénom
  • Adresse e‑mail, téléphone
  • Adresse postale (le cas échéant)

Données contractuelles

  • Devis, factures, avoirs
  • Historique de commandes et réparations
  • Références internes (numéros, identifiants)

Support et suivi

  • Tickets / tâches
  • Notes techniques et états d’avancement
  • Pièces jointes techniques utiles au service (photos, documents)

Données techniques minimales

  • Journaux d’accès et d’erreurs agrégés (horodatage, IP éventuellement tronquée/anonymisée, user‑agent)
  • Identifiants techniques de session (cookies strictement nécessaires)
  • Mesures antifraude et anti‑abus (rate‑limit, signaux techniques, jetons CSRF, protections anti‑spam/DoS)

Nous ne collectons que le minimum nécessaire à la prestation (principe de minimisation — art. 5‑1‑c RGPD). Aucune donnée sensible au sens de l’art. 9 RGPD n’est requise.

3) Finalités et bases légales

  • Exécution du contrat (art. 6(1)(b) RGPD) : gestion des demandes, devis, planification, réalisation des interventions, SAV, communications opérationnelles.
  • Obligations légales (art. 6(1)(c)) : tenue et conservation des pièces comptables et fiscales, réponses aux obligations réglementaires.
  • Intérêt légitime (art. 6(1)(f)) : sécurité et intégrité des systèmes, prévention de la fraude/abus, amélioration du service, gestion des litiges et preuves (tests de mise en balance disponibles sur demande).
  • Consentement (art. 6(1)(a)), si applicable : communications commerciales opt‑in et toute mesure d’audience non essentielle; consentement retirable à tout moment.

Nous appliquons par défaut la protection des données dès la conception et par défaut (privacy by design/by default — art. 25). Nous réalisons une DPIA lorsque requis (art. 35) et tenons un registre des activités de traitement (art. 30) disponible sur demande.

4) Durées de conservation

  • Dossier client et éléments de facturation : durée légale (jusqu’à 10 ans pour les pièces comptables en France — Code de commerce).
  • Tickets/support et pièces techniques : pendant la relation puis jusqu’à 3 ans après la dernière interaction, sauf obligation légale contraire.
  • Journaux de sécurité : 3 à 12 mois selon finalité (détection d’incidents), puis anonymisation ou suppression.
  • Cookies d’authentification strictement nécessaires : durée de session ou courte expiration (ex. ≤ 30 jours).
  • Journal des demandes d’exercice de droits (DSAR) : 3 ans à compter de la clôture de la demande (preuve de conformité).
  • Sauvegardes : rétention limitée selon politique interne; purge/anonymisation progressive au-delà des durées utiles.

Au‑delà, les données sont supprimées ou anonymisées (art. 5‑1‑e RGPD).

5) Destinataires et transferts

  • Personnel autorisé de BSOD Réparation : accès restreints selon le besoin opérationnel (principe du moindre privilège).
  • Sous‑traitants (art. 28 RGPD) : hébergeurs, maintenance, outils de support — obligations contractuelles de confidentialité, sécurité, et traitement sur instructions documentées.
  • Transferts hors UE/EEE : non prévus à ce jour. Si nécessaires, ils seront encadrés par des garanties adéquates (Clauses Contractuelles Types 2021/914, décisions d’adéquation, mesures complémentaires selon recommandations CEPD), avec information préalable (art. 44 s.). Une évaluation d’impact sur le transfert (DTIA) sera réalisée si pertinent.
  • Autorités : communication si la loi l’exige (obligations légales/réglementaires).
  • Absence de vente : aucune vente de données personnelles.

La liste des principales catégories de sous‑traitants peut être fournie sur demande; nous informerons en cas de changement matériel affectant les destinataires.

6) Sécurité

  • Chiffrement en transit (HTTPS/TLS), pare‑feu, mises à jour régulières.
  • Contrôles d’accès : authentification forte (MFA pour comptes d’administration), droits par rôle, revues d’accès périodiques, journalisation proportionnée, principe du moindre privilège.
  • Protection des données au repos lorsque pertinent (chiffrement disque/bases), hachage des mots de passe (ex. bcrypt/argon2), cloisonnement des environnements.
  • Gestion des secrets (rotation régulière), segmentation réseau, durcissement des services exposés.
  • Sauvegardes raisonnables et tests périodiques de restauration; amélioration continue.
  • Gestion des incidents et notification conformément aux art. 33‑34 RGPD (délais, contenu, documentation des violations).

7) Vos droits

  • Droit d’accès, de rectification, d’effacement (« droit à l’oubli »).
  • Droit d’opposition et de limitation du traitement.
  • Droit à la portabilité des données fournies.
  • Droit de retirer votre consentement à tout moment, sans effet rétroactif.
  • Directives post‑mortem (droit français) sur le sort de vos données.

Vous pouvez vous opposer à tout moment au marketing direct, y compris au profilage lié (art. 21(2)). Portabilité : dans un format structuré, couramment utilisé et lisible par machine (art. 20). En cas de décisions automatisées produisant des effets juridiques, vous avez droit à une intervention humaine (actuellement, non applicable chez BSOD).

Délai de réponse indicatif : 1 mois (prolongeable de 2 mois en cas de complexité/volume). Nous pouvons demander une preuve d’identité et, si la demande est manifestement infondée ou excessive, appliquer des frais raisonnables ou refuser d’y donner suite (art. 12(5)). Réclamations : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

8) Cookies et traceurs

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement et à la sécurité (authentification, protection CSRF, équilibrage de charge). Conformément aux lignes directrices de la CNIL et à la directive ePrivacy, ces cookies ne nécessitent pas de consentement.

Tout cookie ou traceur non essentiel (ex. mesure d’audience complète, publicité) ne sera déposé qu’avec votre consentement préalable. En cas d’activation future d’une solution d’analyse (ex. Matomo/GA), une bannière de gestion du consentement (CMP) pourra être déployée. Durée maximale recommandée : 13 mois pour le cookie d’audience; conservation des mesures : 25 mois.

9) Contact

Pour exercer vos droits ou poser une question : contact@bsod-reparation.fr.

Procédure DSAR (demande de droits)

  1. Envoyez votre demande à l’adresse ci‑dessus, en précisant le droit exercé et l’adresse de réponse souhaitée.
  2. Nous pouvons solliciter des informations complémentaires pour vérifier votre identité.
  3. Réponse sous 1 mois (prolongeable de 2 mois si nécessaire). Justification fournie en cas de refus.
Éditer cette page Dernière mise à jour :