Politique de confidentialité
1. Introduction
Godfrey Engineering Ltd (« nous », « on », « notre » ou « Godfrey Engineering ») s’engage à protéger et respecter votre vie privée. Cette Politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos données personnelles lorsque vous visitez notre site web à l’adresse godfreyengineering.com, utilisez nos produits (y compris ChainSolve) ou interagissez autrement avec nos services.
Godfrey Engineering Ltd est une société enregistrée en Angleterre et au Pays de Galles. Nous sommes le responsable du traitement des données personnelles décrites dans cette politique.
Coordonnées :
- E-mail : legal@godfreyengineering.com
- Demandes générales : info@godfreyengineering.com
- Site web : www.godfreyengineering.com
Cette politique s’applique à toutes les données personnelles traitées par le biais de notre site web, applications, communications par e-mail et tout autre service que nous exploitons. En utilisant nos services, vous reconnaissez avoir lu et compris cette politique.
2. Données que nous collectons
Nous collectons des données personnelles dans les catégories suivantes :
2.1 Informations que vous fournissez directement
- Informations de compte : Lorsque vous créez un compte pour ChainSolve ou tout autre produit Godfrey Engineering, nous collectons votre nom, adresse e-mail et mot de passe (haché, nous ne stockons jamais de mots de passe en texte clair).
- Soumissions de formulaires de contact : Lorsque vous soumettez un formulaire de contact, nous collectons votre nom, adresse e-mail et le contenu de votre message.
- Informations de paiement : Lorsque vous effectuez un achat ou vous abonnez à un service payant, nous collectons les coordonnées de facturation (nom, adresse, détails de la carte de paiement). Les détails de la carte de paiement sont traités directement par Stripe et ne sont jamais stockés sur nos serveurs.
- Demandes d’assistance : Lorsque vous nous contactez pour obtenir une assistance, nous collectons les informations que vous fournissez dans votre demande, qui peuvent inclure votre nom, e-mail et les détails du problème.
- Abonnements à la infolettre : Si vous vous abonnez à notre infolettre, nous collectons votre adresse e-mail et, optionnellement, votre nom et vos préférences.
2.2 Informations collectées automatiquement
- Données d’utilisation : Pages visitées, temps passé sur les pages, liens cliqués, source de référence et chemins de navigation. Ces données sont collectées par PostHog (voir Section 5).
- Informations sur l’appareil et le navigateur : Type et version du navigateur, système d’exploitation, type d’appareil, résolution d’écran et préférence de langue.
- Adresse IP : Collectée par notre fournisseur d’hébergement (Cloudflare) à des fins de sécurité et de performance. PostHog est configuré pour supprimer les adresses IP après la recherche de géolocalisation.
- Cookies et technologies similaires : Consultez notre Politique en matière de cookies pour des informations détaillées sur les cookies que nous utilisons.
2.3 Informations provenant de tiers
- Fournisseurs d’authentification : Si vous vous connectez via un fournisseur tiers (p. ex. Google, GitHub), nous recevons votre nom, adresse e-mail et photo de profil de ce fournisseur.
- Processeur de paiement : Stripe nous fournit la confirmation de transaction, les quatre derniers chiffres de votre carte de paiement et l’adresse de facturation pour honorer nos obligations contractuelles.
3. Base juridique du traitement
Nous traitons vos données personnelles selon les bases juridiques suivantes telles que définies par le Règlement général sur la protection des données du Royaume-Uni (UK GDPR) et la Loi sur la protection des données 2018 :
| Base juridique | Exemples |
|---|---|
| Nécessité contractuelle (Article 6(1)(b)) | Traitement de vos données de compte pour fournir les services ChainSolve ; traitement des données de paiement pour honorer un achat |
| Intérêts légitimes (Article 6(1)(f)) | Analyse du site web pour améliorer nos services ; surveillance des erreurs pour maintenir la qualité du service ; mesures de sécurité pour protéger nos systèmes |
| Consentement (Article 6(1)(a)) | Abonnements à la infolettre ; cookies non essentiels (analyse, marketing) ; analyse du produit PostHog |
| Obligation juridique (Article 6(1)(c)) | Conservation des enregistrements de transaction à des fins fiscales et comptables ; réponse à des demandes légales des autorités |
Lorsque nous nous appuyons sur des intérêts légitimes, nous avons mené un test d’équilibre pour garantir que nos intérêts ne l’emportent pas sur vos droits et libertés fondamentaux. Vous pouvez demander les détails de ces évaluations en nous contactant à legal@godfreyengineering.com.
4. Comment nous utilisons vos données
Nous utilisons vos données personnelles à des fins suivantes :
- Fourniture de services : Pour créer et gérer votre compte, fournir un accès à nos produits (y compris ChainSolve), traiter les transactions et fournir une assistance clientèle.
- Communication : Pour répondre à vos demandes, envoyer des e-mails transactionnels (confirmations de commande, réinitialisations de mot de passe, notifications de service) et, avec votre consentement, envoyer des communications marketing.
- Analyse et amélioration : Pour comprendre comment les visiteurs utilisent notre site web, identifier le contenu populaire, diagnostiquer les problèmes techniques et améliorer nos services. Les données d’analyse sont agrégées et pseudonymisées autant que possible.
- Sécurité et prévention de la fraude : Pour protéger nos services, détecter et prévenir les activités frauduleuses et appliquer nos Conditions de service.
- Conformité juridique : Pour respecter les lois, règlements et processus juridiques applicables, y compris les obligations fiscales et la loi sur la protection des données.
5. Sous-traitants de données tiers
Nous partageons des données personnelles avec les fournisseurs de services tiers suivants, chacun traitant les données en notre nom selon un Contrat de traitement des données (DPA) :
5.1 Cloudflare (Hébergement et CDN)
- Fournisseur : Cloudflare, Inc.
- Objectif : Hébergement de site web via Cloudflare Pages, réseau de distribution de contenu (CDN), protection contre les attaques DDoS, résolution DNS et pare-feu d’application web.
- Données traitées : Adresses IP, en-têtes de requêtes HTTP, URL de pages et métriques de performance.
- Emplacement des données : Réseau mondial ; traitement principal dans les centres de données EU et US. Cloudflare est certifié selon le Cadre de confidentialité des données EU-US.
- Conservation : Les journaux de trafic web sont conservés pendant 72 heures maximum. Les analyses agrégées sont conservées jusqu’à 6 mois.
- Politique de confidentialité : https://www.cloudflare.com/privacypolicy/
5.2 Supabase (Base de données et authentification)
- Fournisseur : Supabase, Inc.
- Objectif : Authentification des utilisateurs, stockage de base de données pour les comptes utilisateurs et les données d’application.
- Données traitées : Adresses e-mail, mots de passe hachés, données de profil utilisateur et données d’application stockées par les utilisateurs.
- Emplacement des données : Région EU (Francfort, Allemagne).
- Conservation : Les données sont conservées pendant la durée de vie du compte utilisateur. Les données de compte supprimé sont purgées dans les 30 jours.
- Politique de confidentialité : https://supabase.com/privacy
5.3 Stripe (Paiements)
- Fournisseur : Stripe, Inc.
- Objectif : Traitement des paiements pour les achats de produits et les abonnements.
- Données traitées : Nom, adresse e-mail, adresse de facturation, détails de la carte de paiement (traités directement par Stripe, les numéros de carte ne touchent jamais nos serveurs), historique des transactions.
- Emplacement des données : Région de traitement EU. Stripe est certifié selon le Cadre de confidentialité des données EU-US.
- Conservation : Les enregistrements de transactions sont conservés pendant 7 ans pour se conformer aux obligations fiscales et comptables du Royaume-Uni. Les détails de la carte de paiement sont conservés par Stripe conformément aux exigences PCI-DSS.
- Politique de confidentialité : https://stripe.com/privacy
5.4 Resend (E-mail transactionnel)
- Fournisseur : Resend, Inc.
- Objectif : Envoi d’e-mails transactionnels (vérification de compte, réinitialisations de mot de passe, confirmations de commande, réponses d’assistance) et d’e-mails marketing (infolettres, mises à jour de produits, uniquement avec consentement).
- Données traitées : Adresses e-mail, noms, contenu des e-mails et métadonnées de livraison (suivi des ouvertures/clics pour les e-mails marketing uniquement, avec consentement).
- Emplacement des données : Traitement basé aux US. Le transfert de données est régi par les Clauses contractuelles types (CCT).
- Conservation : Les journaux de livraison d’e-mail sont conservés pendant 30 jours. Les données d’engagement marketing sont conservées pendant la durée de l’abonnement.
- Politique de confidentialité : https://resend.com/legal/privacy-policy
5.5 PostHog (Analyse du produit)
- Fournisseur : PostHog, Inc.
- Objectif : Analyse du produit, y compris le suivi des pages vues, l’analyse de l’utilisation des fonctionnalités et la cartographie du parcours utilisateur. Utilisé pour améliorer nos produits et notre site web.
- Données traitées : Identifiants utilisateur pseudonymisés, URL de pages, sources de référence, métadonnées de navigateur et d’appareil, événements d’interaction de fonctionnalités. Les adresses IP sont supprimées après la recherche de géolocalisation.
- Emplacement des données : Instance hébergée dans l’EU (eu.posthog.com, Francfort, Allemagne).
- Consentement requis : Oui, PostHog n’est initialisé qu’après que le visiteur ait accordé son consentement d’analyse via la bannière de cookies.
- Configuration : Profils de personne désactivés pour les visiteurs anonymes ; enregistrement de session désactivé ; collecte d’IP désactivée.
- Conservation : Les données d’événement sont conservées pendant 12 mois, puis supprimées automatiquement.
- Politique de confidentialité : https://posthog.com/privacy
6. Transferts internationaux de données
Certains de nos sous-traitants sont basés en dehors du Royaume-Uni et de l’Espace économique européen (EEE). Lorsque les données sont transférées au niveau international, nous nous assurons que des mesures de protection appropriées sont en place :
- Cadre de confidentialité des données EU-US : Cloudflare et Stripe sont certifiés selon le Cadre de confidentialité des données EU-US, fournissant une base d’adéquation pour les transferts de données.
- Clauses contractuelles types (CCT) : Pour les sous-traitants non couverts par une décision d’adéquation, nous nous appuyons sur l’Accord international de transfert de données approuvé par le Royaume-Uni (IDTA) ou les Clauses contractuelles types de l’EU, selon le cas.
- Instances hébergées dans l’EU : Lorsque possible, nous sélectionnons des instances hébergées dans l’EU des services (PostHog EU, Supabase EU) pour minimiser les transferts internationaux de données.
7. Conservation des données
Nous conservons les données personnelles uniquement aussi longtemps que nécessaire pour atteindre les objectifs pour lesquels elles ont été collectées, à moins qu’une période de conservation plus longue ne soit requise par la loi.
| Catégorie de données | Période de conservation | Raison |
|---|---|---|
| Données de compte | Durée de vie du compte + 30 jours après suppression | Fourniture de services |
| Enregistrements de transactions de paiement | 7 ans à partir de la date de transaction | Loi fiscale et comptable du Royaume-Uni (exigences de l’HMRC) |
| Soumissions de formulaires de contact | 24 mois à partir de la soumission | Intérêt légitime à répondre aux demandes |
| Abonnements à la infolettre | Jusqu’à la désinscription + 30 jours | Basé sur le consentement ; données purgées après désinscription |
| Données d’analyse (PostHog) | 12 mois | Intérêt légitime à l’amélioration des services |
| Journaux de serveur (Cloudflare) | 72 heures | Sécurité et performance |
| Préférences de consentement des cookies | 12 mois | Conformité réglementaire |
Lorsque les données personnelles ne sont plus nécessaires, elles sont supprimées de manière sécurisée ou anonymisées pour qu’elles ne puissent plus être associées à vous.
8. Vos droits selon le UK GDPR
Seclon le Règlement général sur la protection des données du Royaume-Uni et la Loi sur la protection des données 2018, vous avez les droits suivants concernant vos données personnelles :
8.1 Droit d’accès (Article 15)
Vous avez le droit de demander une copie des données personnelles que nous détenons à votre sujet. Nous répondrons à votre demande dans un délai d’un mois civil.
8.2 Droit de rectification (Article 16)
Vous avez le droit de demander que nous corrigions toute donnée personnelle inexacte ou incomplète que nous détenons à votre sujet.
8.3 Droit à l’effacement (Article 17)
Vous avez le droit de demander que nous supprimions vos données personnelles dans les cas suivants :
- Les données ne sont plus nécessaires pour l’objectif pour lequel elles ont été collectées
- Vous retirez votre consentement (lorsque le consentement était la base juridique)
- Vous vous opposez au traitement et il n’y a pas de motifs légitimes prépondérants
- Les données ont été traitées de manière illégale
- L’effacement est requis pour se conformer à une obligation juridique
Remarque : Nous pouvons conserver certaines données si la loi l’exige (p. ex. enregistrements de transactions financières à des fins fiscales).
8.4 Droit de limiter le traitement (Article 18)
Vous avez le droit de demander que nous limitions le traitement de vos données personnelles dans certaines circonstances, par exemple lorsque vous contestez l’exactitude des données ou vous opposez au traitement fondé sur les intérêts légitimes.
8.5 Droit à la portabilité des données (Article 20)
Lorsque le traitement est fondé sur le consentement ou la nécessité contractuelle et est effectué par des moyens automatisés, vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON ou CSV), et de les transmettre à un autre responsable du traitement.
8.6 Droit d’opposition (Article 21)
Vous avez le droit de vous opposer au traitement fondé sur les intérêts légitimes. Nous cesserons le traitement à moins que nous puissions démontrer des motifs légitimes impérieux qui l’emportent sur vos droits.
Vous avez également le droit de vous opposer au marketing direct à tout moment. Si vous vous opposez, nous cesserons immédiatement le traitement de vos données à des fins de marketing direct.
8.7 Droits relatifs à la prise de décision automatisée (Article 22)
Nous ne prenons actuellement pas de décisions basées uniquement sur le traitement automatisé qui produisent des effets juridiques ou similaires sur vous. Si cela change, nous mettrons à jour cette politique et vous fournirons les mesures de protection appropriées.
8.8 Droit de retirer le consentement
Lorsque le traitement est fondé sur le consentement, vous pouvez retirer votre consentement à tout moment. Le retrait du consentement n’affecte pas la légalité du traitement effectué avant le retrait.
Pour retirer le consentement en matière de cookies, utilisez le lien « Paramètres des cookies » au pied de page de notre site web ou visitez notre Politique en matière de cookies.
9. Exercer vos droits
Pour exercer l’un des droits décrits ci-dessus, veuillez nous contacter :
- E-mail : legal@godfreyengineering.com
- Ligne d’objet : « Demande d’accès aux données personnelles » (ou le droit spécifique que vous souhaitez exercer)
Nous vérifierons votre identité avant de traiter votre demande. Nous pouvons vous demander de fournir des informations supplémentaires pour confirmer votre identité, en particulier si la demande est faite par e-mail.
Nous répondrons à toutes les demandes valides dans un délai d’un mois civil. Dans des circonstances exceptionnelles (p. ex. demandes complexes ou nombreuses), nous pouvons prolonger cette période de deux mois supplémentaires, auquel cas nous vous notifierons de la prolongation et des raisons de celle-ci.
L’exercice de vos droits ne donne lieu à aucun frais. Cependant, nous pouvons facturer un droit raisonnable ou refuser d’agir sur une demande si elle est manifestement infondée ou excessive.
10. Cookies et technologies de suivi
Nous utilisons des cookies et des technologies similaires sur notre site web. Pour des informations détaillées sur les cookies que nous utilisons, leur objectif, leur durée et comment gérer vos préférences, veuillez consulter notre Politique en matière de cookies.
Vous pouvez gérer vos préférences en matière de cookies à tout moment en cliquant sur le lien « Paramètres des cookies » au pied de page du site web.
11. Données des enfants
Nos services ne s’adressent pas aux personnes âgées de moins de 16 ans. Nous ne collectons pas sciemment les données personnelles des enfants de moins de 16 ans. Si nous découvrons que nous avons collecté des données personnelles d’un enfant de moins de 16 ans, nous prendrons des mesures pour supprimer ces données dès que possible.
Si vous pensez que nous avons pu collecter des données d’un enfant de moins de 16 ans, veuillez nous contacter à legal@godfreyengineering.com.
12. Mesures de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre l’accès non autorisé, la modification, la divulgation ou la destruction. Ces mesures incluent :
- Chiffrement en transit : Toutes les données transmises entre votre navigateur et nos serveurs sont chiffrées en utilisant TLS 1.3 (HTTPS), appliqué par Cloudflare.
- Chiffrement au repos : Les données utilisateur stockées dans Supabase sont chiffrées au repos en utilisant le chiffrement AES-256.
- Contrôles d’accès : L’accès aux données personnelles est limité au personnel autorisé sur la base du besoin de savoir.
- Hachage des mots de passe : Les mots de passe utilisateur sont hachés en utilisant bcrypt avec un facteur de travail de 12. Les mots de passe en texte clair ne sont jamais stockés.
- Révisions de sécurité régulières : Nous menons des révisions de sécurité périodiques de notre infrastructure et de nos intégrations tiers.
- Réponse aux incidents : Nous maintenons une procédure de réponse aux incidents. En cas de violation de données personnelles, nous notifierons le Bureau du Commissaire à l’information (ICO) dans les 72 heures si requis, et les individus concernés sans délai excessif si la violation est susceptible de créer un risque élevé pour leurs droits et libertés.
13. Liens vers des sites web tiers
Notre site web peut contenir des liens vers des sites web et services tiers. Nous ne sommes pas responsables des pratiques de confidentialité de ces tiers. Nous vous encourageons à lire les politiques de confidentialité de tout site web tiers que vous visitez.
14. Modifications de cette politique de confidentialité
Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre pour refléter les changements dans nos pratiques, services ou lois applicables. Lorsque nous apportons des modifications substantielles, nous :
- Mettrons à jour la date « Dernière mise à jour » en haut de cette page
- Publierons un avis sur notre site web pendant une période raisonnable
- Vous notifierons par e-mail si requis par la loi
Nous vous encourageons à réviser cette politique périodiquement. Votre utilisation continue de nos services après toute modification constitue une acceptation de la politique mise à jour.
15. Plaintes
Si vous n’êtes pas satisfait de notre réponse à une préoccupation en matière de protection des données, vous avez le droit de déposer une plainte auprès de l’autorité de contrôle du Royaume-Uni :
Bureau du Commissaire à l’information (ICO)
- Site web : https://ico.org.uk/make-a-complaint/
- Téléphone : 0303 123 1113
- Adresse : Wycliffe House, Water Lane, Wilmslow, Cheshire, SK9 5AF, Royaume-Uni
Nous apprécierions l’opportunité de résoudre vos préoccupations avant que vous contactiez l’ICO. Veuillez d’abord nous contacter à legal@godfreyengineering.com.
16. Nous contacter
Si vous avez des questions concernant cette Politique de confidentialité ou nos pratiques de protection des données, veuillez nous contacter :
- Demandes de protection des données : legal@godfreyengineering.com
- Demandes générales : info@godfreyengineering.com
- Site web : www.godfreyengineering.com
Godfrey Engineering Ltd
Royaume-Uni