Sommaire (12)
- Responsable de traitement
- BH ATELIER DEVELOPPEMENT
- Siège social
- ZAC de l'Évangile, 207 rue Bernard de la Rochefoucauld, 45450 Fay-aux-Loges
- RCS / SIRET
- 821 278 587 R.C.S. Orléans — 821 278 587 00026
- N° TVA
- FR77821278587
- Représentant légal
- GROUPE MATHNA SAS
- Contact données personnelles
- support@progarage.fr
- Hébergeur
- OVHcloud, 2 rue Kellermann, 59100 Roubaix
Art. 1Objet et champ d'application
La présente politique de confidentialité décrit la manière dont BH ATELIER DEVELOPPEMENT (l'« Éditeur ») collecte, utilise, conserve et protège les données personnelles dans le cadre de l'exploitation du logiciel SaaS Pro Garage (la « Plateforme »), de son site web et de ses communications marketing.
Elle s'applique à toute personne physique dont les données sont traitées par l'Éditeur (représentant ou contact d'un Client professionnel, visiteur du site, prospect). L'Éditeur agit selon les cas en qualité de responsable de traitement ou de sous-traitant (articles 4 et 28 du RGPD). La présente politique couvre uniquement les traitements pour lesquels l'Éditeur agit en qualité de responsable de traitement.
Art. 2Identité du responsable de traitement
BH ATELIER DEVELOPPEMENT, Société par Actions Simplifiée (SAS) au capital de 15 000,00 €, siège social ZAC de l'Évangile, 207 rue Bernard de la Rochefoucauld, 45450 Fay-aux-Loges, immatriculée au RCS d'Orléans sous le numéro 821 278 587, numéro de TVA intracommunautaire FR77821278587. Contact : support@progarage.fr.
Art. 3Données collectées et finalités
3.1 Création du compte et abonnement
- Identification du garage : raison sociale, nom du gérant, numéro SIRET, siège social.
- Contact : email professionnel, numéro de téléphone le cas échéant.
- Facturation : adresse de facturation, numéro de TVA intracommunautaire.
- Moyen de paiement : référence de carte bancaire ou mandat SEPA (données tokenisées, non stockées par l'Éditeur — voir art. 5).
- Pack souscrit, cadence de facturation, date de souscription.
3.2 Utilisation de la Plateforme
- Logs de connexion et d'activité : adresse IP, navigateur, système d'exploitation, pages consultées, fonctionnalités utilisées, horodatage.
- Score d'usage (
usage_score) : indicateur interne calculé à partir des logs, utilisé pour évaluer l'engagement pendant la Période d'Essai. - Données de support : contenu des échanges avec l'équipe support.
3.3 Site web et outils marketing
- Navigation anonymisée ou pseudonymisée via Google Analytics 4 (sous réserve de consentement).
- Comportement aux fins de ciblage publicitaire via le Pixel Meta et la balise Google Ads.
- Adresse email et comportement email (ouvertures, clics) via l'outil d'emailing tiers retenu par l'Éditeur.
Art. 4Tableau des traitements
L'ensemble des traitements réalisés par l'Éditeur en qualité de responsable de traitement est récapitulé ci-dessous.
| Finalité | Base légale | Données concernées | Conservation | Destinataires |
|---|---|---|---|---|
| Gestion du compte client et de l'abonnement | Exécution du contrat (art. 6.1.b) | Email, coordonnées, SIRET, raison sociale, nom du gérant, pack | Durée de l'abonnement + 3 ans | Éditeur, OVHcloud, prestataire de paiement |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) | Coordonnées de facturation, montants, TVA, factures | 10 ans (L. 123-22 C. com.) | Éditeur, prestataire de paiement, expert-comptable |
| Emails transactionnels (essai, bascule, échec paiement) | Exécution du contrat (art. 6.1.b) | Email, pack souscrit, statut du compte | Durée de l'abonnement + 1 an | Éditeur, Stripe, outil d'emailing |
| Scoring d'usage et relance commerciale | Intérêt légitime (art. 6.1.f) | Logs d'activité, usage_score, email | Période d'Essai + 6 mois | Éditeur (équipe interne) |
| Analytics de navigation (GA4) | Consentement (art. 6.1.a) | Navigation pseudonymisée, IP tronquée | 26 mois (paramétrage GA4) | Éditeur, Google Ireland Limited |
| Publicité ciblée et retargeting (Pixel Meta, Google Ads) | Consentement (art. 6.1.a) | Identifiants publicitaires, comportement, email haché | Retrait du consentement ou 13 mois max | Éditeur, Meta Platforms Ireland, Google Ireland |
| Emailing marketing et nurturing | Intérêt légitime (B2B) ou consentement | Email pro, prénom, pack d'intérêt | 3 ans après le dernier contact actif | Éditeur, outil d'emailing tiers |
| Gestion des leads BH Atelier | Intérêt légitime (art. 6.1.f) | Coordonnées, pack préféré, statut de qualification | 3 ans après le dernier contact actif | Éditeur (équipe commerciale) |
| Support client | Intérêt légitime (art. 6.1.f) | Email, contenu des échanges, logs de compte | 3 ans après clôture du ticket | Éditeur |
Art. 5Sous-traitants et destinataires
L'Éditeur fait appel aux sous-traitants suivants, chacun sélectionné pour les garanties suffisantes qu'il présente au sens de l'article 28 du RGPD.
| Sous-traitant | Rôle | Pays / Transfert | Garanties |
|---|---|---|---|
| OVHcloud | Hébergement de la Plateforme | France (UE) — pas de transfert | ISO 27001, HDS |
| Stripe, Inc. | Traitement des paiements CB et SEPA | USA — transfert encadré par CCT | Clauses contractuelles types UE, PCI-DSS |
| Google Ireland Limited (GA4) | Analytics de navigation | Irlande (UE) / USA — CCT | Clauses contractuelles types UE |
| Meta Platforms Ireland (Pixel) | Publicité ciblée, retargeting | Irlande (UE) / USA — CCT | Clauses contractuelles types UE |
| Google Ireland Limited (Google Ads) | Publicité et suivi des conversions | Irlande (UE) / USA — CCT | Clauses contractuelles types UE |
Google Workspace est utilisé en interne par l'équipe de l'Éditeur ; aucune donnée client de la Plateforme n'y est hébergée ou traitée. En cas de changement de sous-traitant susceptible d'affecter le niveau de protection, l'Éditeur en informera les Clients concernés avec un préavis raisonnable.
Art. 6Transferts de données hors Union européenne
Certains sous-traitants transfèrent des données vers des pays tiers, notamment les États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (article 46 du RGPD).
Pour Stripe, Inc. : les données de paiement sont traitées dans le cadre du Data Privacy Framework UE-États-Unis et de clauses contractuelles types ; Stripe est certifié PCI-DSS niveau 1 et les données de carte bancaire ne transitent jamais par les serveurs de l'Éditeur. Pour Google et Meta : les données sont transférées aux États-Unis dans le cadre de clauses contractuelles types. Le consentement peut être retiré à tout moment via la bannière de gestion des cookies.
Art. 8Durées de conservation
Les données sont conservées pendant la durée strictement nécessaire aux finalités poursuivies, dans le respect des obligations légales. À titre de synthèse :
- Compte et abonnement : durée de l'abonnement + 3 ans (prescription).
- Facturation et pièces comptables : 10 ans (art. L. 123-22 C. com.).
- Prospects et leads non convertis : 3 ans après le dernier contact actif.
- Navigation et cookies : selon les durées de l'article 7.
- Support client : 3 ans après clôture du ticket.
Art. 9Sécurité des données
L'Éditeur met en œuvre les mesures techniques et organisationnelles appropriées, notamment :
- Chiffrement des données en transit (TLS 1.2 minimum) et au repos.
- Authentification à double facteur (2FA) obligatoire pour les accès administrateurs internes.
- Accès restreint au personnel habilité (moindre privilège).
- Hébergement sur infrastructure OVHcloud certifiée ISO 27001, en France.
- Procédure de gestion des incidents, incluant notification à la CNIL dans les 72 heures (article 33 du RGPD).
Art. 10Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- Droit d'accès (art. 15) et droit de rectification (art. 16).
- Droit à l'effacement (art. 17), sous réserve des obligations légales.
- Droit à la limitation du traitement (art. 18).
- Droit à la portabilité (art. 20).
- Droit d'opposition (art. 21), notamment à la prospection commerciale.
- Droit de retrait du consentement (art. 7.3).
Pour exercer ces droits : support@progarage.fr. L'Éditeur répond dans un délai d'un mois (prolongeable de deux mois en cas de demande complexe). En cas de réponse insatisfaisante, la personne concernée peut saisir la CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Art. 11Modifications de la présente Politique
L'Éditeur se réserve le droit de modifier la présente Politique à tout moment. Toute modification substantielle (nouvelle finalité, nouveau transfert hors UE, changement de base légale) est notifiée aux utilisateurs concernés par email au moins 30 jours avant son entrée en vigueur. Les modifications non substantielles entrent en vigueur dès leur publication. La version en vigueur est consultable à /legal/confidentialite.
Art. 12Droit applicable
La présente Politique est soumise au droit français et au Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son application est soumis à la compétence exclusive du Tribunal de Commerce d'Orléans, sans préjudice du droit de saisir la CNIL.