RGPD — Protection des données
Dernière mise à jour : 5 mars 2026
Notre engagement
Coffee Beans est pleinement engagée dans le respect du Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679). Cette page centralise toutes les informations relatives à notre démarche de conformité et vous permet d'exercer vos droits facilement.
1. Délégué à la Protection des Données (DPO)
Coffee Beans a désigné un Délégué à la Protection des Données (DPO) conformément à l'article 37 du RGPD.
- DPO : Kamel Laimene
- E-mail : kamel@coffee-beans.fr
- Adresse : Coffee Beans — DPO, 4 rue de Cambo, 75019 Paris, France
Vous pouvez contacter notre DPO pour toute question relative à la protection de vos données ou pour exercer vos droits. Nous accusons réception de votre demande sous 72 heures et y répondons dans un délai maximum d'un mois (art. 12 RGPD).
2. Registre des activités de traitement
Conformément à l'article 30 du RGPD, Coffee Beans tient un registre des activités de traitement. Voici un résumé des principaux traitements :
Gestion des comptes utilisateurs
Finalité : Fourniture du service, authentification
Base légale : Exécution du contrat (art. 6.1.b)
Données : E-mail, nom, mot de passe haché
Conservation : Durée du compte + 3 ans après clôture
Transferts : Aucun transfert hors UE
Gestion des abonnements et facturation
Finalité : Traitement des paiements, émission de factures
Base légale : Obligation légale (art. 6.1.c) + exécution du contrat
Données : Données d'identité, e-mail, données de transaction
Conservation : 10 ans (obligation comptable)
Transferts : Stripe Inc. (CCT UE)
Statistiques d'utilisation
Finalité : Amélioration du produit, analyse de performance
Base légale : Consentement (art. 6.1.a)
Données : Pages visitées, durée de session — anonymisées
Conservation : 13 mois glissants
Transferts : Umami (stats.coffee-beans.fr)
Support client
Finalité : Traitement des demandes et réclamations
Base légale : Exécution du contrat + intérêt légitime
Données : E-mail, contenu des échanges
Conservation : 3 ans après clôture du ticket
Transferts : Aucun transfert hors UE
Prospection commerciale
Finalité : Envoi d'e-mails marketing (opt-in)
Base légale : Consentement (art. 6.1.a)
Données : E-mail professionnel
Conservation : 3 ans à compter du dernier contact
Transferts : Aucun
3. Mesures de sécurité
Conformément à l'article 32 du RGPD, Company Toolbox met en œuvre les mesures suivantes :
- Chiffrement des communications (TLS 1.3) et des données au repos (AES-256)
- Hachage des mots de passe (bcrypt avec sel)
- Accès aux données restreint au personnel habilité (principe du moindre privilège)
- Journalisation et surveillance des accès aux données personnelles
- Tests de sécurité réguliers (dépendances, OWASP Top 10)
- Sauvegardes chiffrées quotidiennes avec rétention de 30 jours
- Plan de réponse aux incidents et procédure de notification à la CNIL sous 72h (art. 33 RGPD)
4. Sous-traitants et transferts
Tous nos sous-traitants sont soumis à des DPA (Data Processing Agreements) conformes à l'article 28 du RGPD :
| Sous-traitant | Pays | Rôle | Garantie RGPD |
|---|---|---|---|
| Netlify Inc. | États-Unis | Hébergement | CCT + DPA |
| Stripe Inc. | UE (Dublin) | Paiement | CCT + PCI-DSS |
| Umami Software | UE (Estonie) | Analytics | DPA, données anonymisées |
5. Vos droits
Vous pouvez exercer les droits suivants à tout moment :
Accès (art. 15)
Obtenir une copie de vos données
Rectification (art. 16)
Corriger des données inexactes
Effacement (art. 17)
Supprimer vos données (« droit à l'oubli »)
Limitation (art. 18)
Suspendre un traitement
Portabilité (art. 20)
Recevoir vos données en JSON/CSV
Opposition (art. 21)
S'opposer au traitement
Retrait du consentement
À tout moment, sans effet rétroactif
Réclamation CNIL
Saisir l'autorité de contrôle
Comment exercer vos droits ?
Envoyez votre demande par e-mail à kamel@coffee-beans.fr en précisant :
- Votre nom et prénom
- Votre adresse e-mail associée au compte
- Le droit que vous souhaitez exercer
- Une copie d'une pièce d'identité (uniquement si identification nécessaire)
Délai de réponse : 1 mois, extensible à 3 mois pour les demandes complexes (vous en serez informé).
6. Gestion des violations de données
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes, Coffee Beans s'engage à :
- Notifier la CNIL dans un délai de 72 heures après avoir pris connaissance de la violation (art. 33 RGPD)
- Informer les personnes concernées sans délai injustifié si la violation est susceptible d'engendrer un risque élevé (art. 34 RGPD)
- Documenter toutes les violations dans un registre interne
7. Contact et réclamation
Pour toute question relative au RGPD ou pour exercer vos droits :
- DPO : kamel@coffee-beans.fr
- Courrier : Coffee Beans — DPO, 4 rue de Cambo, 75019 Paris
Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr/fr/plaintes