Qui est le responsable du traitement.

Contenza K/S (CVR 43349023), Danemark, est responsable du traitement des données personnelles traitées sur ce service. Contactez l'équipe via le formulaire sur /contact pour toute question relative à la confidentialité.

Ce que nous collectons.

  • Données de compte — adresse e-mail, niveau, horodatages d'authentification.
  • Contenu du passeport — informations produit et fabricant que vous saisissez pour publier un Passeport numérique de produit. Il s'agit principalement de données professionnelles, mais comprend une adresse e-mail de contact au titre de l'Annexe III.
  • Données d'utilisation — événements de scan sur les URL publiques de passeport (géolocalisation au niveau pays dérivée de l'IP, catégorie d'agent utilisateur). Nous ne stockons pas les adresses IP brutes au-delà de la fenêtre du journal de requêtes.
  • Données de facturation — identifiant client et statut d'abonnement depuis Stripe. Les données de carte ne touchent jamais nos serveurs.

Bases légales.

  • Contrat (Art. 6 §1 b) pour la création de compte, l'authentification et la fourniture du service.
  • Obligation légale (Art. 6 §1 c) pour la facturation et la tenue des registres fiscaux.
  • Intérêts légitimes (Art. 6 §1 f) pour le contrôle de sécurité et l'analyse agrégée des scans — mis en balance avec les données personnelles minimales en jeu.

Analyses des événements de scan sur les passeports publics.

Lorsqu'un visiteur scanne le QR code d'un passeport numérique de produit publié et charge /p/{code}, nous enregistrons un événement de scan grossier. Les données collectées par événement sont délibérément minimales : un code pays ISO-3166 alpha-2 dérivé de l'en-tête de requête que notre proxy de bord ajoute, une catégorie de classe d'appareil (mobile, tablette, ordinateur de bureau, robot) extraite de la chaîne User-Agent, et le type Accept de la réponse (HTML ou JSON-LD). Nous ne stockons pas d'adresses IP brutes, de chaînes User-Agent complètes, d'empreintes de navigateur ou de cookies liés aux événements de scan.

La base légale de ce traitement est l'intérêt légitime au titre de l'article 6, paragraphe 1, point f, du RGPD. Notre intérêt est d'exploiter et d'améliorer le service, de démontrer la traçabilité réglementaire européenne pour nos clients et de détecter les abus. Comme les données collectées sont grossières et jamais liées à une personne identifiable, nous avons évalué que les droits et libertés des visiteurs ne prévalent pas. Nous n'utilisons pas ces données à des fins publicitaires, de profilage ou de vente.

Conformément à l'article 21 du RGPD, vous avez le droit de vous opposer à tout moment au traitement des événements de scan. Pour vous opposer, contactez-nous via /contact en indiquant le pays et la période approximative des scans que vous souhaitez supprimer ; nous purgerons les lignes correspondantes dans un délai de 30 jours. Comme aucune donnée personnelle n'est stockée avec le code pays, l'identification se fait par auto-attestation plutôt que par recherche authentifiée.

Analyses de pages vues marketing.

Un petit ensemble de pages de conformité publiques — actuellement /compliance/faq, /compliance/matrix, /continuity, et /security — enregistre une vue de page tout aussi grossière par requête. Les données capturées par vue sont le chemin de la requête, la langue résolue (afin que le trafic EN / DE / DA / FR / IT / ES / PL sur le même chemin puisse être distingué en agrégat), le même code pays ISO-3166 à deux lettres provenant de l'en-tête que notre edge-proxy attache, et la même classe d'appareil (mobile, tablette, ordinateur, bot). Pas d'IP brute, pas de User-Agent complet, pas de cookies, pas d'empreinte.

La base légale est la même que pour les analyses de scans — l'article 6(1)(f) du RGPD, intérêts légitimes. Les données alimentent l'entretien éditorial de la surface de conformité (par exemple, la matrice est-elle lue en DE, les équipes achats atteignent-elles la page sécurité) sans identifier le visiteur. Le même droit d'opposition de l'article 21 s'applique ; contactez-nous via le formulaire ci-dessus et nous purgerons les lignes correspondantes sous 30 jours.

Conservation.

Nous ne conservons les données qu'aussi longtemps que nécessaire :

  • Données de compte — tant que votre compte est actif, plus 30 jours après suppression pour absorber les demandes de support en cas de suppression accidentelle.
  • Factures — 5 ans après émission, selon la loi danoise sur la comptabilité.
  • Événements de scan — 24 mois glissants, puis agrégés en compteurs mensuels et les lignes brutes sont supprimées.
  • Jetons Magic Link — purgés à l'usage ou 15 minutes après émission, selon le premier événement.
  • Passeports publiés — conservés pendant la durée de vie réglementaire du produit (l'Article 10 paragraphe 4 du Règlement Écoconception pour des produits durables interdit la suppression tant que le passeport est en service).

Vos droits.

Au titre du RGPD vous disposez des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition au traitement de vos données personnelles. Vous pouvez exercer chacun de ces droits en nous contactant — aucun compte ni connexion requis si vous pouvez identifier les données concernées.

Si vous estimez que nous avons mal traité vos données, vous avez le droit d'introduire une réclamation auprès de l'Autorité danoise de protection des données (Datatilsynet).

Résidence des données.

Toutes les données personnelles sont stockées sur une infrastructure résidant dans l'UE. Lorsqu'un sous-traitant ultérieur opère hors UE, les transferts s'appuient sur les Clauses contractuelles types de la Commission européenne. Le registre complet figure à /sub-processors.

Enfants.

Le service est vendu à des entreprises et n'est pas destiné aux personnes de moins de 18 ans. Nous ne collectons pas sciemment de données auprès d'enfants.

Modifications.

Les modifications substantielles sont annoncées par e-mail aux titulaires de compte au moins 30 jours avant leur prise d'effet. Les clarifications mineures sont publiées ici avec une date mise à jour en haut de la page.

Des questions sur cette politique ? Utilisez le formulaire de contact — ou écrivez à l'équipe via les coordonnées de la page contact.