1. Responsable du traitement
Le responsable du traitement des données à caractère personnel collectées sur le site plan-maitrise-sanitaire.fr (ci-après « le Site ») est l'éditeur du Site, identifié dans les Mentions légales.
Contact pour toute question relative aux données personnelles : contact@plan-maitrise-sanitaire.fr.
2. Données collectées
Dans le cadre de l'utilisation du Service, les catégories de données suivantes sont susceptibles d'être collectées :
2.1. Données d'identification et de contact
- Adresse email (obligatoire) ;
- Nom et prénom du responsable (facultatif) ;
- Raison sociale / dénomination commerciale ;
- Numéro SIRET (facultatif) ;
- Numéro de téléphone (facultatif).
2.2. Données relatives à l'établissement
- Type d'activité et secteur professionnel ;
- Adresse de l'établissement ;
- Surface, capacité d'accueil, nombre de couverts ;
- Équipements et agencements des locaux ;
- Fournisseurs principaux ;
- Nombre d'employés et responsable HACCP ;
- Procédures sanitaires déclarées (allergènes, régimes spéciaux, etc.).
2.3. Données de connexion et techniques
- Adresse IP ;
- Date et heure de connexion ;
- Type de navigateur et système d'exploitation ;
- Pages visitées et parcours de navigation.
2.4. Données de paiement
Les données bancaires (numéro de carte, date d'expiration, cryptogramme) sont collectées et traitées exclusivement par notre prestataire de paiement Paddle.com Market Limited, revendeur autorisé (« Merchant of Record »), certifié PCI-DSS. Le responsable du traitement ne collecte, ne stocke et ne traite aucune donnée bancaire. Paddle agit en qualité de responsable de traitement autonome pour la transaction de paiement et la facturation (politique : www.paddle.com/legal/privacy).
3. Bases légales et finalités du traitement
Conformément à l'article 6 du Règlement (UE) 2016/679 (RGPD), vos données sont traitées sur les bases légales suivantes :
| Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|
| Génération du PMS personnalisé | Exécution du contrat (art. 6.1.b) | Durée d'accès au service (12 mois) + 5 ans archivage |
| Gestion de la commande et facturation | Exécution du contrat (art. 6.1.b) et obligation légale comptable (art. 6.1.c) | 5 ans (art. L. 123-22 du Code de commerce) |
| Service après-vente et support | Exécution du contrat (art. 6.1.b) | Durée de la relation contractuelle + 3 ans |
| Envoi du modèle de PMS vierge demandé (téléchargement gratuit) | Exécution de mesures précontractuelles à la demande de la personne (art. 6.1.b) | 3 ans après le dernier contact |
| Lettre d'information et mises à jour réglementaires | Consentement (art. 6.1.a — case à cocher) ; intérêt légitime pour les clients (art. 6.1.f) | Jusqu'au retrait du consentement ou à l'opposition ; au plus 3 ans après le dernier contact |
| Relances de brouillons non finalisés | Intérêt légitime (art. 6.1.f) — lien de désinscription dans chaque email | 30 jours après le dernier accès au brouillon |
| Mesure d'audience et des conversions publicitaires (Google) | Consentement (art. 6.1.a — bannière cookies) | Cookies : 13 mois maximum ; données associées : 25 mois maximum |
| Prévention de la fraude et sécurité du Site | Intérêt légitime (art. 6.1.f) | 1 an |
| Statistiques anonymisées d'amélioration du service | Intérêt légitime (art. 6.1.f) | Données anonymisées irréversiblement — conservation illimitée |
Pour les traitements fondés sur l'intérêt légitime, vous pouvez vous opposer à tout moment (voir article 7). Pour ceux fondés sur le consentement, vous pouvez le retirer à tout moment, sans affecter la licéité du traitement antérieur.
4. Destinataires des données
Vos données personnelles sont communiquées exclusivement aux destinataires suivants :
- L'éditeur du Site (responsable du traitement) ;
- Paddle.com Market Limited — prestataire de paiement et revendeur autorisé (Merchant of Record) : données de paiement et de facturation uniquement. Politique : www.paddle.com/legal/privacy ;
- IONOS SARL — hébergeur des serveurs et des données (sous-traitant art. 28 RGPD), serveurs situés en France et en Allemagne (UE) ;
- Brevo SAS (Paris, France) — sous-traitant pour l'envoi des emails transactionnels, des relances et de la lettre d'information, et gestion des contacts. Données hébergées dans l'UE. Politique : www.brevo.com/fr/legal/privacypolicy ;
- Google Ireland Ltd / Google LLC — uniquement si vous avez accepté les cookies de mesure d'audience et de conversion (bannière), et pour le service d'autocomplétion d'adresse (Google Maps) utilisé dans le formulaire ;
- Le cas échéant, les autorités judiciaires ou administratives dans le cadre d'une obligation légale (réquisition, décision de justice).
Nous ne vendons, ne louons et ne cédons aucune donnée personnelle à des tiers à des fins commerciales.
5. Transferts de données hors Union européenne
Paddle.com Market Limited est basée au Royaume-Uni : les transferts vers le Royaume-Uni sont encadrés par la décision d'adéquation de la Commission européenne du 28 juin 2021 (article 45 du RGPD). Certains traitements peuvent être réalisés par sa société affiliée américaine Paddle.com Inc. ; les transferts vers les États-Unis sont alors encadrés par le EU-U.S. Data Privacy Framework (décision d'adéquation du 10 juillet 2023).
Google LLC (États-Unis) est certifiée au titre du EU-U.S. Data Privacy Framework ; ces transferts n'interviennent que si vous avez accepté les cookies concernés ou lors de l'utilisation de l'autocomplétion d'adresse.
Toutes les autres données sont hébergées exclusivement dans l'Union européenne (IONOS — France/Allemagne ; Brevo — UE).
En cas de modification du cadre juridique des transferts, le responsable du traitement s'engage à mettre en œuvre les garanties appropriées (clauses contractuelles types de la Commission européenne ou tout autre mécanisme conforme au chapitre V du RGPD).
6. Durée de conservation
- Données de commande et de facturation : 5 ans à compter de la commande (art. L. 123-22 du Code de commerce, art. L. 102 B du Livre des procédures fiscales) ;
- Données du PMS généré : durée d'accès au service (12 mois) + archivage 5 ans ;
- Brouillons non finalisés : 30 jours après le dernier accès, puis suppression automatique ;
- Contacts lettre d'information / modèle gratuit : jusqu'au retrait du consentement ou 3 ans après le dernier contact ;
- Données de connexion (journaux serveur) : 1 an ;
- Cookies soumis à consentement : 13 mois maximum ; le choix exprimé via la bannière est conservé 6 mois ;
- Données de paiement chez Paddle : selon la politique de conservation de Paddle (responsable de traitement autonome).
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.
7. Vos droits
Conformément au Règlement (UE) 2016/679 (articles 15 à 22) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie ;
- Droit de rectification (art. 16) : corriger des données inexactes ou compléter des données incomplètes ;
- Droit à l'effacement / droit à l'oubli (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation (notamment comptables et fiscales) ;
- Droit à la limitation du traitement (art. 18) ;
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine ;
- Droit d'opposition (art. 21) : vous opposer au traitement fondé sur l'intérêt légitime, y compris à la prospection commerciale et aux relances par email ;
- Droit de retirer votre consentement à tout moment (art. 7.3) pour les traitements fondés sur celui-ci (cookies, lettre d'information) ;
- Directives post-mortem (loi Informatique et Libertés, art. 85) : définir des directives relatives au sort de vos données après votre décès.
Pour exercer vos droits : adressez votre demande par email à contact@plan-maitrise-sanitaire.fr, accompagnée d'un justificatif d'identité en cas de doute raisonnable sur votre identité.
Nous nous engageons à répondre dans un délai d'un (1) mois à compter de la réception de la demande (article 12.3 du RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas vous serez informé de cette prolongation dans le délai initial d'un mois.
8. Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD ou de la loi Informatique et Libertés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy — TSA 80715
75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
En ligne : www.cnil.fr/fr/plaintes
9. Cookies et traceurs
Lors de votre première visite, une bannière vous permet d'accepter ou de refuser les cookies non essentiels. Votre choix est conservé 6 mois et peut être modifié à tout moment via le lien « Gestion des cookies » en pied de page. Les cookies et traceurs utilisés sont les suivants :
| Nom / origine | Type | Finalité | Durée | Consentement requis |
|---|---|---|---|---|
pmsd_sess |
Cookie de session (interne) | Maintien de la session, sauvegarde du formulaire en cours, sécurité (CSRF) | Session navigateur (24 h maximum) | Non — cookie technique strictement nécessaire (exemption CNIL) |
cookie_consent (localStorage) |
Stockage local (interne) | Mémorisation de votre choix concernant les cookies | 6 mois | Non — nécessaire à la gestion du consentement |
Cookies Google (mesure d'audience et conversions publicitaires Google Ads — ex. _ga, _gcl_au) |
Cookies tiers (Google) | Statistiques de fréquentation et mesure de l'efficacité de nos campagnes publicitaires | 13 mois maximum | Oui — déposés uniquement si vous acceptez via la bannière |
| Cookies Paddle | Cookies tiers (Paddle) | Traitement sécurisé du paiement et lutte contre la fraude, lors de l'ouverture du module de paiement | Variable (voir politique Paddle) | Non — nécessaires à la fourniture du service de paiement que vous demandez |
Google Maps : le formulaire de génération utilise le service d'autocomplétion d'adresse de Google. Lors de la saisie de votre adresse, votre adresse IP et le texte saisi sont transmis aux serveurs de Google pour fournir les suggestions. Ce service est utilisé uniquement sur l'étape « Adresse » du formulaire.
Si vous refusez les cookies soumis à consentement, le Site reste pleinement utilisable : seuls la mesure d'audience et le suivi des conversions publicitaires sont désactivés.
10. Sécurité des données
Conformément à l'article 32 du RGPD, nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :
- Chiffrement des communications (protocole HTTPS / TLS) ;
- Protection contre les injections SQL (requêtes préparées PDO) ;
- Protection CSRF (jeton anti-falsification) sur tous les formulaires ;
- Hachage sécurisé des mots de passe (bcrypt) ;
- Limitation du nombre de tentatives de connexion (protection anti-brute-force) ;
- Validation stricte des fichiers uploadés (type MIME et taille) ;
- En-têtes de sécurité HTTP (X-Content-Type-Options, X-Frame-Options, Referrer-Policy) ;
- Sessions avec attributs HTTPOnly et SameSite ;
- Restriction d'accès à l'interface d'administration.
11. Absence de prise de décision automatisée
Le Service procède à la génération automatisée du PMS sur la base des informations déclaratives fournies par le Client. Ce traitement ne constitue pas une prise de décision automatisée produisant des effets juridiques ou affectant de manière significative la personne concernée au sens de l'article 22 du RGPD. Aucun profilage n'est effectué.
12. Données des mineurs
Le Service s'adresse exclusivement aux professionnels du secteur alimentaire. Aucune collecte de données de personnes mineures n'est effectuée intentionnellement. Si nous découvrons que des données d'un mineur de moins de 16 ans ont été collectées, elles seront supprimées sans délai.
13. Modification de la présente politique
La présente politique peut être modifiée à tout moment pour tenir compte de l'évolution législative, réglementaire ou technique. La version en vigueur est celle accessible sur le Site. En cas de modification substantielle, les utilisateurs disposant d'un compte seront informés par email.
Nous vous invitons à consulter régulièrement cette page.
Dernière mise à jour : 10 juin 2026