RGPD · Règlement UE 2016/679

Politique de confidentialité

Conformément au Règlement Général sur la Protection des Données (RGPD) — Règlement (UE) 2016/679 du 27 avril 2016 — et à la loi "Informatique et Libertés" du 6 janvier 1978 modifiée, voici la politique de protection des données personnelles appliquée par Christophe LENG DSP.

1. Responsable du traitement

Le responsable du traitement des données personnelles est Christophe LENG, auto-entrepreneur en débosselage sans peinture, immatriculé au RCS de Créteil sous le numéro 982 551 319 (SIRET : 982 551 319 00014), siège social 38 Rue Verte, 94400 Vitry-sur-Seine. Contact DPO (Délégué à la Protection des Données) : christophe.cl@outlook.com.

2. Données collectées

2.1 Données collectées via le formulaire de devis

Lorsque vous remplissez le formulaire de devis sur la landing page, nous collectons :

  • Nom et prénom (obligatoire)
  • Email (obligatoire)
  • Téléphone (obligatoire)
  • Ville / code postal (obligatoire, pour évaluer la zone d'intervention)
  • Marque et modèle du véhicule (facultatif)
  • Description du dommage (obligatoire)
  • Photos de la bosse (facultatif, via WhatsApp)
  • URL de la page de provenance (automatique, pour analytics)

2.2 Données collectées via WhatsApp Business

Lorsque vous contactez Christophe LENG via WhatsApp :

  • Numéro de téléphone (obligatoire)
  • Nom WhatsApp (obligatoire)
  • Messages et photos échangés (conservation 12 mois max)
  • Date et heure des échanges (automatique)

2.3 Données collectées via paiement Stripe

Lorsque vous payez un acompte en ligne :

  • Email (obligatoire, pour reçu)
  • Nom sur la carte (obligatoire)
  • Montant et date de la transaction (automatique)
  • Numéro de transaction Stripe (automatique)

Important : Les données bancaires (numéro de carte, CVV, date d'expiration) ne sont jamais stockées par Christophe LENG. Elles sont traitées directement par Stripe, prestataire de paiement certifié PCI-DSS Level 1. Voir la page paiement sécurisé pour le détail.

2.4 Données collectées via cookies

Voir la section 6 "Cookies" ci-dessous.

3. Finalités et base légale

FinalitéBase légale (art. 6 RGPD)Durée conservation
Répondre aux demandes de devisIntérêt légitime (art. 6.1.f)12 mois
Établir devis et facturesObligation légale (art. 6.1.c)10 ans (art. L123-22 Code commerce)
Intervention DSPExécution contrat (art. 6.1.b)5 ans après intervention
Paiement en ligne (Stripe)Exécution contrat (art. 6.1.b)13 mois (PCI-DSS)
Prospection B2B (cold emails)Intérêt légitime (art. 6.1.f)3 ans après dernier contact
Analytics (GA4, Hotjar)Consentement (art. 6.1.a)13 mois
Marketing (Meta/TikTok/LinkedIn Pixel)Consentement (art. 6.1.a)13 mois

4. Destinataires des données

Vos données sont accessibles à :

  • Christophe LENG (responsable de traitement)
  • Formspree (sous-traitant, États-Unis, réception des formulaires de devis)
  • Calendly (sous-traitant, États-Unis, réservation de créneaux)
  • Stripe (sous-traitant, Irlande/France, traitement des paiements)
  • Brevo (sous-traitant, France, envoi d'emails)
  • Google Analytics 4 (sous-traitant, États-Unis, analytics anonymisée)
  • Hotjar (sous-traitant, Pays-Bas, heatmaps)
  • Meta Platforms (sous-traitant, États-Unis, Pixel Facebook/Instagram)
  • LinkedIn Corporation (sous-traitant, États-Unis, Insight Tag)
  • Votre assureur (en cas de tiers payant — vous devez nous y autoriser)
  • Expert-comptable (pour la gestion comptable, obligation légale)
  • Autorités fiscales (sur demande légale, obligation légale)

Aucune donnée n'est vendue à des tiers. Aucune donnée n'est transférée hors UE/EEE sans garanties appropriées (clauses contractuelles types adoptées par la Commission européenne, décisions d'adéquation, codes de conduite approuvés).

5. Cookies

5.1 Cookies techniques (sans consentement)

Ces cookies sont nécessaires au fonctionnement du site. Ils ne nécessitent pas de consentement.

  • session_id : session utilisateur (durée : session)
  • cookie_consent : mémorise votre choix de consentement (durée : 6 mois)
  • csrf_token : protection contre les attaques CSRF (durée : session)

5.2 Cookies analytics (avec consentement)

Ces cookies ne sont déposés qu'après votre consentement explicite via le bandeau RGPD.

  • _ga, _ga_* : Google Analytics 4 (durée : 13 mois)
  • _hjSessionUser_* : Hotjar (durée : 13 mois)

5.3 Cookies marketing (avec consentement)

  • _fbp, fr : Meta Pixel Facebook/Instagram (durée : 90 jours)
  • tt_sessionId : TikTok Pixel (durée : 12 mois)
  • li_sugr, bcookie : LinkedIn Insight Tag (durée : 12 mois)

5.4 Gestion des cookies

Vous pouvez à tout moment refuser ou retirer votre consentement via :

  • Le bouton "Gérer mes préférences" en bas de page
  • Les paramètres de votre navigateur (Chrome, Firefox, Safari, Edge)
  • Les plateformes tierces : YourOnlineChoices.com

6. Droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de vos données
  • Droit de rectification (art. 16) : corriger des données inexactes
  • Droit à l'effacement (art. 17) : demander la suppression de vos données
  • Droit à la limitation du traitement (art. 18)
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré
  • Droit d'opposition (art. 21) : refuser le traitement pour motif légitime
  • Droit de retirer votre consentement à tout moment
  • Droit d'introduire une réclamation auprès de la CNIL

Pour exercer ces droits, écrivez à christophe.cl@outlook.com en précisant "Demande RGPD" dans l'objet. Vous recevrez une réponse sous 30 jours maximum. Une pièce d'identité peut vous être demandée pour vérifier votre identité.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.

7. Sécurité

Christophe LENG met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement TLS 1.3 (HTTPS) pour toutes les communications
  • Hébergement chez un hébergeur certifié ISO 27001
  • Sauvegardes chiffrées quotidiennes
  • Mots de passe complexes et gestionnaire de mots de passe
  • Authentification à deux facteurs (2FA) sur tous les comptes administrateurs
  • Formation RGPD du responsable de traitement
  • Audit de sécurité annuel
  • Mise à jour automatique des outils et plugins

8. Transferts hors UE

Certains sous-traitants (Formspree, Calendly, Google Analytics, Meta, LinkedIn, Hotjar) sont situés aux États-Unis. Ces transferts sont encadrés par :

  • Clauses contractuelles types adoptées par la Commission européenne (décision 2021/914)
  • Data Privacy Framework (EU-US DPF) pour les entreprises certifiées
  • Évaluation d'impact sur la protection des données (EIDP) réalisée pour chaque sous-traitant hors UE

9. Mise à jour de la politique

La présente politique de confidentialité peut être mise à jour à tout moment pour refléter les évolutions réglementaires ou les pratiques de Christophe LENG. La date de dernière mise à jour est indiquée en bas de cette page. Nous vous recommandons de consulter cette page régulièrement.

Document mis à jour le 18 juin 2026 · Version 1.1
Responsable du traitement : Christophe LENG · Auto-entrepreneur RCS Créteil 982 551 319 · SIRET 982 551 319 00014
Hébergement : OVH SAS, 2 Rue Kellermann, 59100 Roubaix (France)
Pour toute question : christophe.cl@outlook.com