Politique de confidentialité

1. Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées sur le site plan-maitrise-sanitaire.fr (ci-après « le Site ») est l'éditeur du Site, identifié dans les Mentions légales.

Contact pour toute question relative aux données personnelles : contact@plan-maitrise-sanitaire.fr.

2. Données collectées

Dans le cadre de l'utilisation du Service, les catégories de données suivantes sont susceptibles d'être collectées :

2.1. Données d'identification et de contact

  • Adresse email (obligatoire) ;
  • Nom et prénom du responsable (facultatif) ;
  • Raison sociale / dénomination commerciale ;
  • Numéro SIRET (facultatif).

2.2. Données relatives à l'établissement

  • Type d'activité et secteur professionnel ;
  • Adresse de l'établissement ;
  • Surface, capacité d'accueil, nombre de couverts ;
  • Équipements et agencements des locaux ;
  • Fournisseurs principaux ;
  • Nombre d'employés et responsable HACCP ;
  • Procédures sanitaires déclarées (allergènes, régimes spéciaux, etc.).

2.3. Données de connexion et techniques

  • Adresse IP ;
  • Date et heure de connexion ;
  • Type de navigateur et système d'exploitation ;
  • Pages visitées et parcours de navigation.

2.4. Données de paiement

Les données bancaires (numéro de carte, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Stripe, Inc., certifié PCI-DSS Niveau 1. Le responsable du traitement ne collecte, ne stocke et ne traite aucune donnée bancaire.

3. Bases légales et finalités du traitement

Conformément à l'article 6 du Règlement (UE) 2016/679 (RGPD), vos données sont traitées sur les bases légales suivantes :

FinalitéBase légale (art. 6 RGPD)Durée de conservation
Génération du PMS personnalisé Exécution du contrat (art. 6.1.b) Durée d'accès au service (12 mois) + 5 ans archivage
Gestion de la commande et facturation Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c) 5 ans (art. L. 123-22 du Code de commerce)
Service après-vente et support Exécution du contrat (art. 6.1.b) Durée de la relation contractuelle + 3 ans (prescription civile)
Envoi de mises à jour réglementaires Intérêt légitime (art. 6.1.f) 12 mois à compter de la génération du PMS
Relances de brouillons non finalisés Intérêt légitime (art. 6.1.f) 30 jours après le dernier accès au brouillon
Prévention de la fraude et sécurité du Site Intérêt légitime (art. 6.1.f) 1 an
Statistiques anonymisées d'amélioration du service Intérêt légitime (art. 6.1.f) Données anonymisées irréversiblement — conservation illimitée

Pour les traitements fondés sur l'intérêt légitime, vous pouvez vous opposer à tout moment (voir article 7).

4. Destinataires des données

Vos données personnelles sont communiquées exclusivement aux destinataires suivants :

  • L'éditeur du Site (responsable du traitement) ;
  • Stripe, Inc. — prestataire de paiement, données bancaires uniquement. Stripe est certifié PCI-DSS Niveau 1. Politique de confidentialité : stripe.com/fr/privacy ;
  • IONOS SARL — hébergeur des serveurs et des données, serveurs situés en France/Allemagne (UE) ;
  • Le cas échéant, les autorités judiciaires ou administratives dans le cadre d'une obligation légale (réquisition, décision de justice).

Nous ne vendons, ne louons, ne cédons et ne partageons aucune donnée personnelle à des tiers à des fins commerciales, publicitaires ou de profilage.

5. Transferts de données hors Union européenne

Stripe, Inc. est basé aux États-Unis. Les transferts de données vers les États-Unis sont encadrés par le EU-U.S. Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023, conformément à l'article 45 du RGPD).

Toutes les autres données sont hébergées exclusivement dans l'Union européenne (serveurs IONOS en France et en Allemagne).

En cas de modification du cadre juridique des transferts, le responsable du traitement s'engage à mettre en œuvre les garanties appropriées (clauses contractuelles types de la Commission européenne ou tout autre mécanisme conforme au chapitre V du RGPD).

6. Durée de conservation

  • Données de commande et de facturation : 5 ans à compter de la date de la commande (obligations comptables et fiscales — art. L. 123-22 du Code de commerce, art. L. 102 B du Livre des procédures fiscales) ;
  • Données du PMS généré : durée d'accès au service (12 mois) + archivage 5 ans ;
  • Brouillons non finalisés : 30 jours après le dernier accès, puis suppression automatique ;
  • Données de connexion (journaux serveur) : 1 an (recommandation CNIL, décret n° 2011-219 du 25 février 2011) ;
  • Données de paiement chez Stripe : selon la politique de conservation de Stripe (données hors du contrôle du responsable du traitement).

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. Vos droits

Conformément au Règlement (UE) 2016/679 (articles 15 à 22) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie intégrale dans un format lisible ;
  • Droit de rectification (art. 16) : corriger des données inexactes ou compléter des données incomplètes ;
  • Droit à l'effacement / droit à l'oubli (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables et fiscales) ;
  • Droit à la limitation du traitement (art. 18) : obtenir la suspension du traitement dans certains cas prévus par le RGPD ;
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les faire transmettre directement à un autre responsable de traitement ;
  • Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime, y compris à la prospection commerciale et aux relances par email ;
  • Directives post-mortem (loi Informatique et Libertés, art. 85) : définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Pour exercer vos droits : adressez votre demande par email à contact@plan-maitrise-sanitaire.fr, accompagnée d'un justificatif d'identité en cas de doute raisonnable sur votre identité.

Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de la demande (article 12.3 du RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas vous serez informé de cette prolongation dans le délai initial d'un mois.

8. Droit de réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la loi Informatique et Libertés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :

Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
En ligne : www.cnil.fr/fr/plaintes

9. Cookies et traceurs

Le Site utilise exclusivement des cookies strictement nécessaires au fonctionnement du service :

NomTypeFinalitéDuréeConsentement requis
pmsd_sess Cookie de session PHP Maintien de la connexion utilisateur, sauvegarde du formulaire en cours Session navigateur ou 24 heures maximum Non (exemption CNIL — cookie technique strictement nécessaire)

Aucun cookie de tracking, de publicité, de profilage, de mesure d'audience ou d'analyse comportementale n'est déposé sur votre terminal. Aucun pixel de suivi tiers n'est intégré.

En l'absence de tout cookie non essentiel, aucun bandeau de consentement n'est requis conformément aux lignes directrices de la CNIL du 17 septembre 2020 et à la recommandation du 18 juillet 2019.

10. Sécurité des données

Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des communications (protocole HTTPS / TLS) ;
  • Protection contre les injections SQL (requêtes préparées PDO) ;
  • Protection CSRF (jeton anti-falsification) sur tous les formulaires ;
  • Hachage sécurisé des mots de passe (bcrypt) ;
  • Limitation du nombre de tentatives de connexion (protection anti-brute-force) ;
  • Validation stricte des fichiers uploadés (type MIME et taille) ;
  • En-têtes de sécurité HTTP (X-Content-Type-Options, X-Frame-Options, Referrer-Policy) ;
  • Sessions avec attributs HTTPOnly et SameSite ;
  • Restriction d'accès à l'interface d'administration.

11. Absence de prise de décision automatisée

Le Service procède à la génération automatisée du PMS sur la base des informations déclaratives fournies par le Client. Ce traitement ne constitue pas une prise de décision automatisée produisant des effets juridiques ou affectant de manière significative la personne concernée au sens de l'article 22 du RGPD. Aucun profilage n'est effectué.

12. Données des mineurs

Le Service s'adresse exclusivement aux professionnels du secteur alimentaire. Aucune collecte de données de personnes mineures n'est effectuée intentionnellement. Si nous découvrons que des données d'un mineur de moins de 16 ans ont été collectées, elles seront supprimées sans délai.

13. Modification de la présente politique

La présente politique peut être modifiée à tout moment pour tenir compte de l'évolution législative, réglementaire ou technique. La version en vigueur est celle accessible sur le Site. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par email.

Nous vous invitons à consulter régulièrement cette page.

Dernière mise à jour : 14 mai 2026