RGPD

Politique de confidentialité

Version 1.1 — Dernière mise à jour : 20 avril 2026

Trakkt s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

1. Qui est responsable de vos données ?

Responsable du traitement : Trakkt
Adresse : 13 Résidence Le Coteau, 59270 Strazeele
E-mail : contact@trakkt.fr
Contact protection des données : dpo@trakkt.fr

2. Données collectées et finalités

Nous collectons uniquement les données strictement nécessaires à nos services (principe de minimisation — Art. 5.1.c RGPD).

2.1 Création de compte (/inscription)

Donnée	Finalité	Base légale	Durée
Prénom, Nom	Identification du titulaire du compte	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 3 ans
E-mail	Authentification, communications de service	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 3 ans
Mot de passe (hashé bcrypt)	Authentification sécurisée	Exécution du contrat (Art. 6.1.b)	Durée du contrat
Téléphone	Communication sur le service et support	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 3 ans
Nom entreprise	Identification professionnelle et facturation	Exécution du contrat (Art. 6.1.b)	10 ans (obligation comptable)

Les informations complémentaires (métier, ville, ancienneté, enjeu, expérience ads, site web) sont collectées après inscription via un questionnaire d'onboarding dans l'espace client, et restent optionnelles jusqu'à la souscription d'un abonnement.

2.2 Formulaire de demande de devis (/devis)

Donnée	Finalité	Base légale	Durée
Prénom	Transmettre la demande au professionnel	Intérêt légitime (Art. 6.1.f)	Durée de la relation client + 3 ans
Téléphone	Permettre au professionnel de rappeler	Intérêt légitime (Art. 6.1.f)	Durée de la relation client + 3 ans
Ville	Vérifier la zone d'intervention	Intérêt légitime (Art. 6.1.f)	Durée de la relation client + 3 ans
Demande	Décrire le besoin au professionnel	Intérêt légitime (Art. 6.1.f)	Durée de la relation client + 3 ans

2.3 Compte client (espace professionnel)

Donnée	Finalité	Base légale	Durée
E-mail, mot de passe (hashé)	Authentification et accès au compte	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 3 ans
Entreprise, SIRET, adresse	Facturation et identification	Exécution du contrat (Art. 6.1.b)	10 ans (obligation comptable)
Téléphone	Communication sur le service	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 3 ans
Visuels (photos, vidéos, logo, témoignages)	Création de campagnes publicitaires et site web	Exécution du contrat (Art. 6.1.b)	Durée du contrat + 30 jours
Documents, factures	Gestion administrative et comptable	Obligation légale (Art. 6.1.c)	10 ans (Art. L123-22 C. commerce)

2.4 Données techniques et de navigation

Donnée	Finalité	Base légale	Durée
Cookies de session	Maintenir votre connexion	Intérêt légitime (strictement nécessaire)	7 jours
Token CSRF	Sécurité des formulaires	Intérêt légitime (sécurité)	Durée de la session
Meta Pixel (avec consentement)	Mesurer l'efficacité des campagnes publicitaires	Consentement (Art. 6.1.a)	13 mois max
Google Analytics 4 (avec consentement)	Mesure d'audience et analyse du comportement des visiteurs	Consentement (Art. 6.1.a)	14 mois max
Paramètres UTM	Identifier la source des prospects	Intérêt légitime (Art. 6.1.f)	Durée de conservation du lead
Adresse IP, logs	Sécurité, prévention fraude	Obligation légale (Art. 6-II LCEN)	1 an

3. Avec qui partageons-nous vos données ?

Vos données sont partagées uniquement avec les sous-traitants strictement nécessaires au fonctionnement du service, tous liés par des obligations de protection des données (Art. 28 RGPD).

Sous-traitant	Rôle	Localisation	Garanties
Supabase Inc. (société États-Unis)	Base de données, authentification, stockage fichiers	Serveurs : Francfort, Allemagne (UE)	DPA signé, Clauses Contractuelles Types (SCC) de la Commission européenne, données stockées exclusivement dans l'UE
Google Ireland Limited (Sign-In)	Authentification optionnelle « Continuer avec Google » (OAuth 2.0 via Supabase Auth) — activée uniquement si vous choisissez ce mode de connexion	Irlande (UE) / États-Unis	EU-US Data Privacy Framework, politique de confidentialité Google. Données échangées au moment de la connexion : email, prénom/nom, photo de profil. Aucune donnée si vous vous connectez par email/mot de passe.
Sendinblue SAS / Brevo Communications Inc.	Envoi d'e-mails transactionnels	France (serveurs) / États-Unis (groupe)	DPA actualisé, certifié ISO 27001, SCC pour les transferts intra-groupe
Render Services, Inc. (société États-Unis)	Hébergement de l'application	Serveurs : Francfort, Allemagne (UE)	DPA, SCC, serveurs UE
Functional Software, Inc. (Sentry — société États-Unis)	Monitoring d'erreurs techniques (anonymisé : cookies, mots de passe, CSRF automatiquement filtrés avant envoi)	États-Unis	EU-US Data Privacy Framework, SCC. Aucune donnée de leads ni contenu utilisateur envoyé — uniquement stack traces techniques.
Stripe Payments Europe Ltd. (Irlande)	Sous-traitant — Traitement des paiements	UE (données de paiement)	DPA Stripe signé, certifié PCI DSS
Stripe Inc. (USA)	Responsable conjoint — Lutte anti-fraude (Radar) + KYC	États-Unis	SCC + EU-US Data Privacy Framework
Meta Platforms Ireland Ltd.	Suivi publicitaire (Meta Pixel, Conversions API)	Irlande (UE)	Soumis au consentement utilisateur
Google Ireland Limited	Mesure d'audience (Google Analytics 4)	Irlande (UE)	EU-US Data Privacy Framework, soumis au consentement
Google Ireland Limited (Gemini API)	Coach IA (analyse automatisée de vos campagnes par le modèle Gemini)	Irlande (UE) / États-Unis	EU-US Data Privacy Framework. Les données envoyées (budget, coût par lead, nom d'entreprise, métier, ville) sont traitées selon les conditions d'utilisation de l'API Gemini de Google. Aucune donnée identifiante directe (email, téléphone, mot de passe) n'est envoyée à Gemini.
Cal.com, Inc. (Delaware, USA)	Prise de rendez-vous (embed du calendrier de démonstration)	Allemagne (UE) / États-Unis	DPA disponible sur demande, EU-US Data Privacy Framework certifié (voir dataprivacyframework.gov/list)
Klarna Bank AB	Paiement fractionné 3× sans frais (si option choisie à la souscription)	Suède (UE)	DPA, certifié PCI DSS, soumis uniquement si paiement Klarna sélectionné

Aucune donnée n'est vendue à des tiers. Nous ne partageons vos données qu'avec les sous-traitants listés ci-dessus, dans le cadre strict de nos services.

3bis. Décisions automatisées — Coach IA

Qu'est-ce que c'est ? Trakkt propose un « Coach IA » qui analyse vos campagnes publicitaires (budget, coût par lead, conversions, tendance) et génère chaque jour un score de performance /100 ainsi que des recommandations (alertes prioritaires, axes d'optimisation, suggestions de ciblage ou budget).

Technologie utilisée. Le Coach IA est propulsé par le modèle Gemini 2.0 Flash (Google Ireland Limited). Les données envoyées au modèle sont pseudonymisées : budget, CPL, volumes, nom d'entreprise, métier, ville — jamais votre email, téléphone, mot de passe ou données nominatives de vos propres leads.

Nature du traitement (art. 22 RGPD). Les recommandations affichées sont une aide à la décision, pas une décision automatisée produisant des effets juridiques ou vous affectant de manière significative : aucun budget n'est modifié automatiquement, aucune campagne n'est coupée sans votre validation explicite. Vous restez seul décisionnaire.

Vos droits (art. 22 RGPD + AI Act art. 50 & 52). Vous disposez à tout moment des droits suivants :

Être informé du recours à une IA (c'est cette section) et de sa logique sous-jacente (analyse statistique de vos propres données de performance).
Obtenir une intervention humaine : écrivez-nous à contact@trakkt.fr pour qu'un membre de l'équipe Trakkt analyse personnellement vos campagnes et vous fournisse un avis humain.
Exprimer votre point de vue ou contester une recommandation : vous pouvez à tout moment répondre dans l'onglet « Messages » de votre espace, nous traitons sous 48h ouvrées.
Désactiver le Coach IA — écrivez-nous à dpo@trakkt.fr (objet : « Désactiver Coach IA ») et nous coupons l'analyse automatisée sous 48h ouvrées. En attendant, aucune décision n'est appliquée automatiquement sans votre validation : il suffit de ne pas consulter l'onglet Coach.
Ne pas être entraîné : les données que vous nous confiez ne sont JAMAIS utilisées pour entraîner le modèle Gemini ou tout autre modèle d'IA.

Mentions AI Act (Règlement UE 2024/1689). Le Coach IA est un système d'intelligence artificielle à risque limité (art. 50). Sa sortie (score, texte de recommandation) est clairement identifiée comme générée par une IA dans l'interface. Conformément à l'art. 52, cette divulgation précède toute interaction.

4. Transferts hors Union européenne

Vos données sont principalement hébergées dans l'Union européenne (Francfort, Allemagne et France).

Certains de nos sous-traitants (Render, Stripe, Supabase, Google) sont des sociétés américaines. Les transferts éventuels vers les États-Unis sont encadrés par :

Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les sous-traitants certifiés
Des Clauses Contractuelles Types (CCT — Décision 2021/914) le cas échéant

5. Comment protégeons-nous vos données ?

Conformément à l'article 32 du RGPD, nous mettons en oeuvre des mesures techniques et organisationnelles appropriées :

Chiffrement des communications (HTTPS/TLS)
Mots de passe hashés (bcrypt, jamais stockés en clair)
Isolation des données par client (Row Level Security sur la base de données)
Protection CSRF sur tous les formulaires
Protection contre les attaques par force brute (rate limiting)
En-têtes de sécurité HTTP (Helmet — CSP, X-Frame-Options, HSTS)
Sessions sécurisées (httpOnly, secure en production)
Accès restreint aux données (principe du moindre privilège)

6. Combien de temps conservons-nous vos données ?

Catégorie	Durée de conservation	Fondement
Prospect (inscription)	3 ans après le dernier contact	Recommandation CNIL
Client actif	Durée de la relation contractuelle	Art. 6.1.b RGPD
Client inactif	3 ans après la fin du contrat	Recommandation CNIL
Factures et données comptables	10 ans	Art. L123-22 Code de commerce
Logs de connexion	1 an	Art. 6-II LCEN
Preuves de consentement cookies	6 ans	Art. 2224 Code civil
Photos et documents client	30 jours après la fin du contrat	Minimisation (Art. 5.1.c)

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit	Ce que cela signifie	Article RGPD
Accès	Obtenir une copie de toutes vos données	Art. 15
Rectification	Corriger des données inexactes ou incomplètes	Art. 16
Effacement	Demander la suppression de vos données	Art. 17
Limitation	Geler le traitement de vos données	Art. 18
Portabilité	Récupérer vos données dans un format lisible	Art. 20
Opposition	Vous opposer au traitement de vos données	Art. 21

Comment exercer vos droits ?

Envoyez votre demande par e-mail à dpo@trakkt.fr en précisant votre identité et le droit que vous souhaitez exercer.

Nous répondrons dans un délai maximum de 1 mois (prorogeable de 2 mois en cas de demande complexe, conformément à l'article 12.3 du RGPD).

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
www.cnil.fr

8. Cookies

Pour une information détaillée sur les cookies utilisés, veuillez consulter notre Politique cookies.

9. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité. En cas de modification substantielle, nous vous en informerons par e-mail ou via une notification sur le site. La date de dernière mise à jour est indiquée en haut de cette page.

10. Contact

Pour toute question relative à cette politique ou à vos données personnelles :

E-mail : dpo@trakkt.fr
Courrier : Trakkt — 13 Résidence Le Coteau, 59270 Strazeele

Avertissement : Ce document a été rédigé avec soin mais ne constitue pas un conseil juridique. Nous recommandons de le faire valider par un avocat spécialisé en droit du numérique et protection des données.