Politique de Confidentialité

Dernière mise à jour : 11 mai 2026

Préambule

La protection de vos données personnelles est pour nous une priorité. La présente Politique de Confidentialité a pour objet de vous informer de façon claire, transparente et accessible sur la manière dont nous collectons, utilisons, conservons et protégeons vos données personnelles lorsque vous utilisez notre plateforme alvinah-partners.com (la « Plateforme »).

Cette politique a été rédigée en conformité avec :

  • Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données (RGPD)
  • La loi n° 78-17 du 6 janvier 1978 modifiée, dite « Informatique et Libertés »
  • Les recommandations et lignes directrices de la Commission Nationale de l'Informatique et des Libertés (CNIL)

Nous vous invitons à la lire attentivement. Si un point vous semble peu clair, vous pouvez nous contacter à tout moment à l'adresse rgpd@alvinah-partners.com.

1. Responsable du traitement

La plateforme alvinah-partners.com est éditée et exploitée par 23 HOLDING S.A.S.U., société par actions simplifiée à associé unique au capital social de 100 €, immatriculée au registre du commerce et des sociétés de Pontoise sous le numéro 880 510 144. Cette société exploite la marque commerciale « ALVINAH PARTNERS » et porte la responsabilité éditoriale et juridique de la plateforme.

Pour toute question relative à nos services, vous pouvez nous écrire à l'adresse contact@alvinah-partners.com. Pour toute demande spécifique liée à vos données personnelles — exercice de vos droits, retrait de consentement, signalement d'incident — privilégiez l'adresse dédiée rgpd@alvinah-partners.com. Nous nous engageons à vous répondre dans un délai d'un mois, pouvant être prolongé de deux mois en cas de demande complexe ou nombreuse, conformément à l'article 12 du RGPD.

2. Quelles données collectons-nous ?

Nous collectons uniquement les données nécessaires à la fourniture de nos services. Voici précisément ce que nous collectons, selon votre profil.

2.1 Si vous êtes visiteur (accès sans inscription)

  • Adresse IP
  • Type et version du navigateur
  • Pages consultées et durée de consultation
  • Données techniques transmises par votre navigateur (user agent, langue, système d'exploitation)
  • Cookies techniques strictement nécessaires au fonctionnement du site

2.2 Si vous êtes inscrit (compte utilisateur)

En plus des données ci-dessus :

  • Identité : nom, prénom, civilité
  • Coordonnées : email, téléphone (facultatif), adresse postale professionnelle
  • Données professionnelles : raison sociale, SIREN, fonction, secteur d'activité
  • Données de connexion : identifiant, mot de passe (stocké sous forme hachée), historique de connexion, adresse IP lors des connexions
  • Préférences : centres d'intérêt déclarés, critères de recherche enregistrés, abonnement à la newsletter ou aux récapitulatifs

2.3 Si vous êtes abonné payant

En plus des données ci-dessus :

  • Données de facturation : montant, date, moyen de paiement (les numéros de carte bancaire complets ne sont jamais stockés sur nos serveurs — ils sont traités directement par notre prestataire de paiement, Stripe)
  • Historique des paiements et factures
  • Statut de l'abonnement (actif, suspendu, résilié, en retard de paiement)

2.4 Données que nous ne collectons pas

Nous ne collectons ni ne traitons :

  • Données de santé
  • Données relatives à la vie sexuelle ou à l'orientation sexuelle
  • Opinions politiques, philosophiques ou religieuses
  • Données génétiques ou biométriques
  • Origines raciales ou ethniques
  • Appartenances syndicales

3. Pourquoi collectons-nous ces données ? (Finalités)

Chaque collecte de donnée répond à une finalité précise et légitime.

  • Créer et gérer votre compte à partir de votre identité, vos coordonnées et vos données d'authentification — pour exécuter le contrat qui nous lie (art. 6.1.b RGPD).
  • Vous fournir nos services payants, à partir des données de votre compte et de votre facturation — pour exécuter le contrat (art. 6.1.b RGPD).
  • Établir vos factures et tenir notre comptabilité, à partir des données de facturation — pour respecter nos obligations légales (art. 6.1.c RGPD).
  • Vous envoyer nos newsletters et récapitulatifs, à partir de votre email et de vos préférences — sur la base de votre consentement, que vous pouvez retirer à tout moment (art. 6.1.a RGPD).
  • Améliorer la plateforme, à partir de vos données de navigation et des cookies techniques — sur la base de notre intérêt légitime à proposer un service de qualité (art. 6.1.f RGPD).
  • Assurer la sécurité de la plateforme et prévenir la fraude, à partir de votre adresse IP et de vos logs de connexion — sur la base de notre intérêt légitime à protéger nos services et nos utilisateurs (art. 6.1.f RGPD).
  • Répondre aux demandes légales et judiciaires qui nous seraient adressées, à partir des données strictement requises — pour respecter nos obligations légales (art. 6.1.c RGPD).

3.1 Note sur le profilage

À ce jour, la plateforme ne procède à aucun profilage au sens de l'article 4.4 du RGPD (évaluation automatisée d'aspects personnels produisant des effets juridiques ou affectant significativement la personne). Le matching entre vos secteurs d'intérêt déclarés et les dossiers publiés relève d'un simple filtrage déclaratif, non d'une analyse comportementale.

Si, à l'avenir, nous déployions un traitement de profilage (par exemple un scoring automatisé de pertinence entre un abonné et un dossier), celui-ci ferait l'objet d'un procédé conforme aux recommandations de la CNIL : base légale explicite (consentement ou intérêt légitime documenté via balance d'intérêts), information préalable spécifique, droit d'opposition renforcé (art. 21 et 22 RGPD), et mise à jour de la présente politique avant toute mise en production.

4. Combien de temps conservons-nous vos données ?

Nous ne conservons vos données que le temps strictement nécessaire aux finalités de leur collecte.

  • Les données de votre compte utilisateur sont conservées tant que votre compte reste actif. Si vous ne vous connectez plus pendant 3 ans, nous procédons à leur suppression ou à leur anonymisation.
  • Les données de facturation et les factures sont conservées 10 ans, conformément à nos obligations comptables (art. L.123-22 du Code de commerce) et fiscales.
  • Les données de connexion (logs) sont conservées 12 mois, conformément à la loi pour la confiance dans l'économie numérique (LCEN).
  • Vos consentements à recevoir nos newsletters sont conservés jusqu'à leur retrait par vos soins.
  • Les données de prospection commerciale sont conservées pendant 3 ans à compter de notre dernier contact avec vous.

À l'issue de ces durées, vos données sont soit supprimées définitivement, soit anonymisées (rendues non identifiantes et non réversibles).

5. Qui a accès à vos données ?

Vos données sont accessibles :

5.1 En interne

  • Au dirigeant de la société (M. Vincent MOLET, responsable du traitement)
  • Aux éventuels collaborateurs habilités, sur la base du principe du besoin d'en connaître

5.2 À nos sous-traitants techniques (hébergement, paiement, envoi d'emails)

Nous travaillons avec des prestataires techniques dûment sélectionnés et contractuellement encadrés par un accord de sous-traitance conforme à l'article 28 du RGPD.

  • Railway Corp. — Hébergement de l'application et de la base de données. Localisation : États-Unis (avec clauses contractuelles types — SCC).
  • Stripe, Inc. — Traitement des paiements. Localisation : Irlande (UE) et États-Unis (avec SCC).
  • SendGrid (Twilio Inc.) — Envoi des emails transactionnels et marketing. Localisation : États-Unis (avec SCC).
  • Pennylane — Facturation et comptabilité. Localisation : France (UE).
  • Anthropic, PBC — Parsing par intelligence artificielle des documents transmis (CERFA, états financiers). Localisation : États-Unis (avec SCC).
  • OVH SAS — Sauvegardes externalisées de la base de données (Object Storage). Localisation : France (UE).
  • Sentry (Functional Software, Inc.) — Supervision technique des erreurs serveur (sans collecte d'identifiants personnels — option send_default_pii=False activée). Localisation : États-Unis (avec SCC).
  • DINUM (Direction Interministérielle du Numérique) — Vérification publique des entreprises (API recherche-entreprises.api.gouv.fr) lors de l'inscription onboarding : récupération des informations légales publiques d'une entreprise à partir de son SIREN. Localisation : France (UE — service public d'État).
  • Google LLC — Mesure d'audience (Google Analytics 4) et publicité ciblée (Google Ads). Cookies déposés uniquement après votre consentement explicite via le bandeau Tarteaucitron (voir §9). Mode anonymisation IP activé (anonymize_ip: true) et Consent Mode v2. Localisation : États-Unis (avec SCC).

5.3 Aux autorités publiques

Sur réquisition légale ou décision de justice, nous pouvons être contraints de communiquer certaines de vos données aux autorités compétentes (autorité judiciaire, administrative, fiscale, etc.).

5.4 Nous ne vendons jamais vos données

Nous ne vendons jamais vos données à des tiers à des fins commerciales.

6. Transferts de données hors UE

Certains de nos sous-traitants (Railway, SendGrid, Stripe, Anthropic, Sentry) sont localisés aux États-Unis. Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (SCC) de la Commission européenne (décision 2021/914), annexées aux contrats de sous-traitance
  • Des mesures techniques et organisationnelles complémentaires (chiffrement en transit et au repos, pseudonymisation quand applicable)

Vous pouvez obtenir copie des garanties mises en place en nous écrivant à rgpd@alvinah-partners.com.

7. Vos droits

Le RGPD vous accorde plusieurs droits sur vos données personnelles. Ils sont tous exerçables gratuitement et sans justification particulière, sauf pour le droit d'opposition qui nécessite une raison liée à votre situation particulière (hors prospection commerciale).

7.1 Droit d'accès (art. 15 RGPD)

Vous pouvez obtenir confirmation que nous traitons ou non vos données, et si oui, en obtenir une copie.

7.2 Droit de rectification (art. 16 RGPD)

Vous pouvez demander la correction de données inexactes ou incomplètes vous concernant.

7.3 Droit à l'effacement / droit à l'oubli (art. 17 RGPD)

Vous pouvez demander la suppression de vos données, sous réserve de nos obligations légales (ex. conservation des factures pendant 10 ans).

7.4 Droit à la limitation (art. 18 RGPD)

Vous pouvez demander le gel temporaire du traitement de vos données dans certains cas (contestation, opposition, etc.).

7.5 Droit d'opposition (art. 21 RGPD)

Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière. En matière de prospection commerciale, ce droit est absolu : nous cessons immédiatement.

7.6 Droit à la portabilité (art. 20 RGPD)

Vous pouvez recevoir vos données dans un format structuré et lisible par machine (JSON, CSV) et les transmettre à un autre responsable de traitement.

7.7 Droit de retirer votre consentement (art. 7.3 RGPD)

Lorsque le traitement repose sur votre consentement (newsletter par exemple), vous pouvez le retirer à tout moment, avec effet pour l'avenir.

7.8 Droit de définir des directives post-mortem (art. 85 loi I&L)

Vous pouvez définir des directives sur le sort de vos données après votre décès.

8. Comment exercer vos droits ?

Pour exercer l'un de vos droits, écrivez-nous à rgpd@alvinah-partners.com. Si vous préférez le courrier postal, vous pouvez nous en faire la demande à cette même adresse — nous vous communiquerons les coordonnées en retour.

Ce qu'il faut joindre :

  • Votre demande claire (quel droit vous exercez et pourquoi)
  • Une copie d'une pièce d'identité si nous avons un doute raisonnable sur votre identité

Délai de réponse : 1 mois, prolongeable de 2 mois pour les demandes complexes (vous en serez informé).

9. Cookies

Nous utilisons des cookies pour faire fonctionner la plateforme et améliorer votre expérience.

9.1 Cookies techniques (toujours actifs)

Nécessaires au fonctionnement du site (authentification, session, sécurité). Vous ne pouvez pas les désactiver sans dégrader le service.

9.2 Cookies de mesure d'audience (Google Analytics 4)

Nous utilisons Google Analytics 4 (GA4), fourni par Google LLC, pour mesurer la fréquentation de la plateforme et améliorer l'expérience utilisateur.

Cookies déposés (uniquement après votre consentement explicite) :

  • _ga — identifiant de session GA4, durée 13 mois
  • _ga_<measurement_id> — état de session par site, durée 13 mois
  • _gid — identifiant de visiteur du jour, durée 24 heures

Finalité : statistiques agrégées de fréquentation, pages les plus consultées, sources de trafic, parcours de navigation. Aucune donnée nominative n'est transmise.

Mesures de protection :

  • Anonymisation de l'adresse IP activée (paramètre anonymize_ip: true) — les 3 derniers octets de l'IPv4 sont masqués avant traitement
  • Consent Mode v2 : aucun cookie tracking n'est posé tant que vous n'avez pas accepté via le bandeau de consentement
  • Transfert hors UE encadré par les Clauses Contractuelles Types (SCC) — Google LLC, États-Unis

Conformément aux recommandations de la CNIL (délibération n° 2020-091 du 17 septembre 2020), votre consentement est recueilli via un bandeau de consentement explicite (Tarteaucitron, voir §9.4) avec refus aussi simple que l'acceptation. Vous pouvez modifier vos choix à tout moment via le lien « Cookies » du pied de page.

9.3 Cookies publicitaires (Google Ads)

Nous utilisons Google Ads (Google LLC) à deux fins :

  • Remarketing — afficher nos publicités sur d'autres sites du réseau Google si vous nous avez déjà visités, pour faire revenir les visiteurs intéressés
  • Mesure de conversion — évaluer l'efficacité de nos campagnes publicitaires en mesurant le nombre d'inscriptions consécutives à un clic sur une de nos publicités

Cookies / traceurs déposés (uniquement après votre consentement explicite) :

  • _gcl_au — identifiant de campagne Google Ads, durée 90 jours
  • _gcl_aw — identifiant de clic publicitaire (conversion tracking), durée 90 jours
  • Pixel de conversion déclenché ponctuellement lors d'événements clés (inscription, abonnement)

Mesures de protection :

  • Consent Mode v2 : aucun cookie remarketing ou conversion n'est posé tant que vous n'avez pas accepté
  • Vous pouvez refuser ces cookies via le bandeau de consentement initial, ou les révoquer ultérieurement via le lien « Cookies » du pied de page
  • Le refus de ces cookies n'affecte en rien votre accès aux services de la plateforme
  • Transfert hors UE encadré par les Clauses Contractuelles Types (SCC) — Google LLC, États-Unis

9.4 Gestionnaire de consentement (Tarteaucitron)

Pour recueillir, conserver et vous permettre de réviser à tout moment votre consentement aux cookies de mesure d'audience et publicitaires (§9.2 et §9.3), nous utilisons Tarteaucitron.js (auteur : Amauri Champéaux, licence libre MIT, version 1.32.0), auto-hébergé sur nos serveurs (aucun appel à un service tiers de gestion de consentement).

Caractéristiques du bandeau de consentement (conformes à la délibération CNIL du 17 septembre 2020) :

  • Boutons « Tout accepter », « Tout refuser » et « Personnaliser » affichés au même niveau visuel — le refus est aussi simple que l'acceptation
  • Aucun cookie de mesure d'audience ou publicitaire n'est déposé avant l'expression de votre consentement
  • Le bandeau reste affiché tant qu'aucun choix n'a été exprimé (mode mandatoryCta)
  • Votre choix est conservé dans un cookie technique unique alvinah_tarteaucitron (durée 13 mois)
  • Vous pouvez réviser vos choix à tout moment via le lien « Cookies » du pied de page

Tarteaucitron étant auto-hébergé chez nous, aucune donnée ne transite vers un éditeur tiers de plateforme de gestion de consentement (CMP).

10. Sécurité de vos données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au regard des risques, conformément à l'article 32 du RGPD :

  • Chiffrement des communications (HTTPS/TLS 1.2+)
  • Chiffrement au repos de la base de données
  • Hachage des mots de passe (algorithme de type bcrypt/argon2)
  • Accès restreints aux données : principe du moindre privilège
  • Sauvegardes régulières avec rotation
  • Journalisation des accès sensibles
  • Mises à jour de sécurité régulières de notre stack technique

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

  • Notifier la CNIL dans les 72 heures
  • Vous informer sans délai injustifié si le risque est élevé

11. Droit de réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits n'ont pas été respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :

En ligne : https://www.cnil.fr/fr/plaintes
Par courrier :
CNIL
3 Place de Fontenoy
TSA 80715
75334 Paris Cedex 07

12. Modifications de la politique

Cette Politique de Confidentialité peut être modifiée, notamment pour tenir compte des évolutions légales, réglementaires ou techniques. Toute modification substantielle sera portée à votre connaissance par email ou par une notification visible sur la plateforme avant son entrée en vigueur. La date de dernière mise à jour figure en haut du présent document.

13. Contact

Pour toute question relative à cette Politique : rgpd@alvinah-partners.com

Nous nous engageons à vous répondre rapidement, dans un français clair, et sans jargon inutile.

Politique éditée par 23 HOLDING S.A.S.U. — Dernière révision : 11 mai 2026 (Lot E.1 audit V3 — page Politique cookies dédiée + ajout sous-traitant DINUM).