Aspeo Logo

Politique de Confidentialité

En vigueur au 26/02/2026

ARTICLE 1 : PRÉAMBULE

La présente politique de confidentialité a pour but d’informer les utilisateurs du site :

  • Sur la manière dont sont collectées leurs données personnelles.
  • Sur les droits dont ils disposent concernant ces données.
  • Sur la personne responsable du traitement des données à caractère personnel collectées et traitées.
  • Sur les destinataires de ces données personnelles.
  • Sur la politique du site en matière de cookies.

Cette politique complète les mentions légales et les Conditions Générales d’Utilisation consultables par les utilisateurs à l’adresse suivante :

https://www.aspeo.fr/mentions-legales
https://www.aspeo.fr/conditions-generales-d-utilisation

ARTICLE 2 : PRINCIPES RELATIFS À LA COLLECTE ET AU TRAITEMENT DES DONNÉES PERSONNELLES

Conformément à l’article 5 du Règlement européen 2016/679, les données à caractère personnel sont :

  • Traitées de manière licite, loyale et transparente au regard de la personne concernée.
  • Collectées pour des finalités déterminées, explicites et légitimes.
  • Adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
  • Exactes et, si nécessaire, tenues à jour.
  • Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire.
  • Traitées de façon à garantir une sécurité appropriée des données collectées.

Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

  • La personne concernée a consenti au traitement de ses données pour une ou plusieurs finalités spécifiques.
  • Le traitement est nécessaire à l'exécution d'un contrat ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci.
  • Le traitement est nécessaire au respect d'une obligation légale.
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.
  • Le traitement est nécessaire à l'exécution d'une mission d'intérêt public.
  • Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

ARTICLE 3 : DONNÉES À CARACTÈRE PERSONNEL COLLECTÉES ET TRAITÉES DANS LE CADRE DE LA NAVIGATION SUR LE SITE

Article 3.1 : Données collectées

Les données personnelles collectées dans le cadre de notre activité sont les suivantes : Aucune, certaines données sont collectées uniquement si l’utilisateur remplit le formulaire de contact.

La collecte et le traitement de ces données répond à la finalité suivante : Pour pouvoir traiter leur devis et répondre au mieux à leurs questions.

Gestion de devis ; Suivi de demande.

Article 3.2 : Mode de collecte des données

Lorsque vous utilisez notre site, aucune donnée n'est automatiquement collectée. Certaines données sont collectées uniquement si l’utilisateur remplit le formulaire de contact.

D’autres données personnelles sont collectées lorsque vous effectuez les opérations suivantes sur la plateforme :

  • Formulaire de contact : Prénom ; Nom ; Adresse e-mail ; Numéro de téléphone ; Adresse complète ; Entreprise (optionnel) ; Services souhaités ; Description du projet

Elles sont conservées par le responsable du traitement dans des conditions raisonnables de sécurité, pour une durée nécessaire à la réalisation de la finalité du traitement.

Article 3.3 : Hébergement des données

Le site www.aspeo.fr est hébergé par Vercel App, 340 S Lemon Ave #4133 Walnut, CA 91789 ; support@vercel.com

Article 3.4 : Données de sécurité collectées

Dans le cadre de la protection de notre site et de nos utilisateurs, nous collectons automatiquement les données suivantes :

  • Adresse IP : Collectée lors de chaque requête pour des raisons de sécurité (détection de tentatives d'intrusion, protection contre les attaques par force brute).
  • Tentatives de connexion échouées : L'adresse IP, l'email utilisé et l'horodatage sont enregistrés pendant 24 heures pour détecter les activités suspectes.
  • Empreinte de l'appareil : Nous utilisons des techniques de device fingerprinting pour sécuriser les connexions administrateur et détecter les accès non autorisés.
  • User-Agent : Informations sur votre navigateur collectées à des fins de sécurité et d'analyse.

Base légale : Article 6.1.f du RGPD (intérêt légitime - sécurité du système d'information).

Article 3.5 : Mesures de sécurité automatisées

Notre site met en œuvre les mesures de sécurité suivantes qui impliquent un traitement automatisé de données :

  • Limitation de débit (Rate limiting) : Le nombre de requêtes par IP est limité pour prévenir les abus. Les IP dépassant ces limites peuvent être temporairement bloquées.
  • Bannissement automatique : Après plusieurs tentatives de connexion échouées (10 en 15 minutes par défaut), l'adresse IP est automatiquement bannie pendant 1 heure.
  • Authentification à deux facteurs (2FA) : Les comptes administrateur bénéficient d'une authentification renforcée via code temporaire (TOTP).
  • Journalisation des actions : Les actions administratives sont enregistrées dans un journal d'audit pour assurer la traçabilité et la sécurité.

Durée de conservation des données de sécurité :

  • Tentatives de connexion échouées : 24 heures
  • IP bannies : durée du bannissement (1 heure par défaut, extensible manuellement)
  • Journal d'audit des actions administratives : 90 jours

Article 3.6 : Données des utilisateurs administrateurs

Pour les utilisateurs disposant d'un accès administrateur au site, les données suivantes sont collectées et traitées :

  • Compte utilisateur : Nom, adresse e-mail, rôle, statut de vérification, date de création.
  • Sessions de connexion : Adresse IP, User-Agent (navigateur), date de création et d'expiration.
  • Appareils de confiance : Empreinte de l'appareil (hash), navigateur, système d'exploitation, adresse IP de la dernière connexion, nom de l'appareil.
  • Authentification à deux facteurs : Secret TOTP (chiffré), codes de secours (chiffrés).

Vérification des nouveaux appareils : Lors d'une connexion depuis un appareil non reconnu, un code de vérification à 6 chiffres est envoyé par e-mail. Ce code expire après 10 minutes.

Notifications par e-mail : Les administrateurs reçoivent des e-mails de sécurité pour :

  • Vérification d'un nouvel appareil (avec IP, navigateur, OS)
  • Confirmation d'ajout d'un appareil de confiance
  • Réinitialisation de mot de passe

Durée de conservation des données administrateur :

  • Compte utilisateur : jusqu'à suppression du compte
  • Sessions : jusqu'à expiration ou déconnexion
  • Appareils de confiance : jusqu'à suppression manuelle ou suppression du compte
  • Codes de vérification d'appareil : 10 minutes

Base légale : Article 6.1.b du RGPD (exécution d'un contrat) et Article 6.1.f (intérêt légitime - sécurité).

Article 3.7 : Politique en matière de "cookies"

Notre site utilise des cookies et technologies similaires. Pour plus d'informations, veuillez consulter notre Politique des Cookies.

Les cookies utilisés comprennent notamment :

  • Cookie de consentement (conservation de vos préférences)
  • Cookies d'analyse (Google Analytics, Hotjar) - soumis à votre consentement
  • Cookies de session pour l'authentification des administrateurs

Article 3.8 : Sous-traitants et destinataires des données

Vos données peuvent être transmises aux sous-traitants suivants :

  • Vercel Inc. (hébergement et base de données PostgreSQL) - États-Unis - Clauses contractuelles types UE
  • Upstash Inc. (base de données Redis pour la sécurité et le rate limiting) - États-Unis/UE - Données stockées en région UE
  • OVH SAS (service email SMTP pour les notifications de sécurité) - France (UE)
  • Google LLC (Google Analytics) - États-Unis - Soumis à votre consentement
  • Hotjar Ltd (analyse comportementale) - Malte (UE) - Soumis à votre consentement

ARTICLE 4 : RESPONSABLE DU TRAITEMENT DES DONNÉES ET DÉLÉGUÉ À LA PROTECTION DES DONNÉES

Article 4.1 : Le responsable du traitement des données

Les données à caractère personnelles sont collectées par GPF Nettoyage, SAS au capital de 1000 euros, dont le numéro d’immatriculation est le 930990965.

Le responsable du traitement des données à caractère personnel peut être contacté de la manière suivante :

  • Par courrier à l’adresse : 59 Chem. de Fontaly, 42110 Saint-Barthélemy-Lestra
  • Par téléphone, au 04 28 53 00 02
  • Par mail : contact@aspeo.fr

Article 4.2 : Le délégué à la protection des données

Le délégué à la protection des données de l’entreprise ou du responsable est : Mr Hamon Théo Président de GPF Nettoyage, 59 Chem. de Fontaly, 42110 Saint-Barthélemy-Lestra.

Si vous estimez, après nous avoir contactés, que vos droits “Informatique et Libertés” ne sont pas respectés, vous pouvez adresser une information à la CNIL.

ARTICLE 5 : LES DROITS DE L’UTILISATEUR EN MATIÈRE DE COLLECTE ET DE TRAITEMENT DES DONNÉES

Tout utilisateur concerné par le traitement de ses données personnelles peut se prévaloir des droits suivants, en application du règlement européen 2016/679 et de la Loi Informatique et Liberté (Loi 78-17 du 6 janvier 1978) :

  • Droit d’accès, de rectification et droit à l’effacement des données.
  • Droit à la portabilité des données.
  • Droit à la limitation et à l’opposition du traitement des données.
  • Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un procédé automatisé.
  • Droit de déterminer le sort des données après la mort.
  • Droit de saisir l’autorité de contrôle compétente.

Pour exercer vos droits, veuillez adresser votre courrier par mail àcontact@aspeo.fr.

ARTICLE 6 : CONDITIONS DE MODIFICATION DE LA POLITIQUE DE CONFIDENTIALITÉ

L’éditeur du site Aspeo se réserve le droit de pouvoir modifier la présente Politique à tout moment afin d’assurer aux utilisateurs du site sa conformité avec le droit en vigueur.

Les éventuelles modifications ne sauraient avoir d’incidence sur les achats antérieurement effectués sur le site, lesquels restent soumis à la Politique en vigueur au moment de l’achat et telle qu’acceptée par l’utilisateur lors de la validation de l’achat.

L’utilisateur est invité à prendre connaissance de cette Politique à chaque fois qu’il utilise nos services, sans qu’il soit nécessaire de l’en prévenir formellement.

La présente politique, éditée le 18/08/2024, a été mise à jour le 26/02/2026.

ARTICLE 7 : TRANSFERT DE DONNEES EN DEHORS DE L'ESPACE ECONOMIQUE EUROPEEN

Certaines de vos données peuvent être transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE), notamment les États-Unis, dans le cadre de l'utilisation de nos sous-traitants techniques (voir Article 3.8).

Ces transferts sont encadrés par des garanties appropriées conformément au RGPD :

  • Clauses contractuelles types (CCT) : Nos sous-traitants américains (Vercel, Google, Upstash) ont signé les clauses contractuelles types approuvées par la Commission européenne.
  • Data Privacy Framework (DPF) : Certains de nos sous-traitants sont certifiés dans le cadre du EU-U.S. Data Privacy Framework.

Nous nous engageons à ce que tout transfert soit effectué dans la stricte limite nécessaire aux finalités du traitement et dans le respect des exigences du Règlement.

GPF Nettoyage, domicilié au 59 Chem. de Fontaly, 42110 Saint-Barthélemy-Lestra; SAS au Capital de 1000 euros; 930990965 RCSSaint-Etienne.

Rédigé sur https://www.legalplace.fr/