Politique de confidentialité
Version 1.11 · dernière mise à jour le 4 juin 2026
1. Introduction et champ d’application
La présente politique explique comment Altanest SAS (ci-après « nous » ou le « Responsable de traitement ») traite les données personnelles dans le cadre du site go-trace.com, en ce compris ses sous-pages (le « Site »).
Elle est rédigée au regard du Règlement (UE) 2016/679 (le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (la « Loi Informatique et Libertés »). Lorsque le droit national de la consommation ou un droit sectoriel offre une protection supérieure, ce droit prévaut.
La présente politique ne couvre pas la plateforme Teachable, distincte, sur laquelle nos formations en ligne sont dispensées. Lorsque vous vous inscrivez à une formation, Teachable Inc. agit comme responsable de traitement indépendant pour les données que vous lui fournissez ; merci de consulter la politique de confidentialité de Teachable.
2. Identité du Responsable de traitement
Altanest SAS20 rue Guillaume Fichet
74000 Annecy, France
SIREN : 877 916 916 · RCS Annecy 877 916 916
TVA intra-UE : FR67877916916
E-mail : contact@go-trace.com
« GO TRACE » est un nom commercial et une marque d’Altanest SAS. Nous n’avons pas désigné de Délégué à la protection des données ; nos activités de traitement ne remplissent pas les critères de l’article 37(1) du RGPD. Vous pouvez néanmoins adresser toute demande relative à la protection des données à l’adresse e-mail ci-dessus, qui est suivie par le Responsable de traitement.
3. Catégories de données personnelles traitées
Nous collectons des données personnelles uniquement lorsque vous nous les fournissez activement, ou lorsqu’elles sont générées par le fonctionnement courant du Site :
| Catégorie | Exemples | Source |
|---|---|---|
| Données d’identification et de contact | Nom, e-mail, entreprise, fonction, pays (optionnel), comment vous nous avez connus (optionnel), forfait d’intérêt (optionnel) | Vous : via le formulaire de contact à l’adresse /fr/contact, le questionnaire à l’adresse /fr/find-dpp-providers, ou par e-mail direct |
| Données de prospect DPP Data Map | E-mail ; nom et entreprise (facultatifs) | Vous : via le formulaire de demande à l’adresse /fr/resources/dpp-data-map-for-textiles lorsque vous demandez l’envoi du Data Map |
| Contenu de votre message | Le texte libre que vous soumettez et toute pièce jointe envoyée par e-mail | Vous : via le formulaire de contact ou un e-mail direct |
| Réponses au questionnaire DPP Provider Finder | Vos réponses aux 17 questions du questionnaire (votre rôle dans la chaîne d’approvisionnement, votre catégorie de produit principale, la taille de votre entreprise, votre volume de SKU, vos matières principales, votre base et votre visibilité fournisseurs, les systèmes que vous utilisez pour les données produit, votre identification et étiquetage actuels, votre dispositif d’empreinte environnementale, les capacités que vous devez ajouter ou renforcer, votre priorité immédiate, vos besoins d’authentification, vos projets après-vente, votre préférence de plateforme et votre état d’avancement DPP), ainsi que les valeurs en texte libre « Autre (précisez) » lorsque vous les renseignez, et le résultat de catégorisation calculé. Le contenu du questionnaire porte principalement sur votre entreprise, mais une fois associé aux coordonnées que vous fournissez, il devient une donnée personnelle au sens de l’article 4(1) du RGPD. | Vous : via le questionnaire à l’adresse /fr/find-dpp-providers |
| Données de saisie des évaluations et audits (y compris les brouillons enregistrés) | Vos réponses à nos évaluations et audits payants (comme l’Évaluation de préparation au DPP et l’Audit des allégations environnementales) : pour l’Évaluation de préparation, vos réponses au questionnaire structuré ainsi qu’un bref profil entreprise et d’éventuelles notes ; pour l’Audit des allégations environnementales, votre profil entreprise et, pour chaque allégation, sa formulation, où elle apparaît, les produits qu’elle couvre et les preuves à l’appui que vous décrivez — ainsi que le nom, la fonction et l’e-mail de contact que vous fournissez. Si vous utilisez « Enregistrer et continuer plus tard » sur l’Audit des allégations environnementales ou l’Évaluation de préparation au DPP, nous conservons également vos saisies partielles, votre e-mail, le nom de votre entreprise et un jeton de reprise aléatoire, afin que vous puissiez revenir via un lien que nous vous envoyons par e-mail. Ce contenu porte principalement sur votre entreprise, mais une fois associé à vos coordonnées, il devient une donnée personnelle au sens de l’article 4(1) du RGPD. | Vous : via la saisie à l’adresse /fr/dpp-readiness-assessment ou /fr/green-claims-audit/begin (brouillons : en utilisant « Enregistrer et continuer plus tard ») |
| Métadonnées de paiement (commandes payantes) | Référence de session Stripe, statut de la transaction (payée / annulée), horodatage. Nous ne voyons ni ne stockons jamais les numéros de carte, le CVC, la date d’expiration ou l’adresse de facturation ; ces éléments sont gérés exclusivement par Stripe sur son propre domaine (voir §5). | Renvoyées par Stripe après finalisation du paiement |
| Données techniques de journalisation | Adresse IP, chaîne user-agent, URL demandée, horodatage, en-tête referrer HTTP | Automatique : enregistré dans le journal d’accès du serveur web |
| Données dérivées de l’analyse d’audience | Pages vues, referrer, navigateur, OS, taille du viewport, pays dérivé de la géolocalisation IP, hash de session (rotation quotidienne, aucun identifiant individuel conservé) | Automatique : collecté par notre instance Umami auto-hébergée (voir §5) |
Le Site ne dépose aucun cookie et n’utilise aucun stockage côté client. Nous ne collectons pas sciemment de données sensibles (article 9 du RGPD) ni de données relatives à des enfants de moins de 16 ans. Si de telles données nous sont transmises spontanément, nous les supprimons dès que nous en prenons connaissance.
4. Finalités et bases légales
Chaque activité de traitement a une finalité précise et une base légale unique au titre de l’article 6(1) du RGPD :
| Activité | Finalité | Base légale |
|---|---|---|
| Traitement des messages reçus via le formulaire de contact et par e-mail | Répondre à votre demande ; préparer une éventuelle mission | Art. 6(1)(b) : mesures précontractuelles à votre demande ; à défaut Art. 6(1)(f) : intérêt légitime à répondre à la correspondance |
| Envoi du DPP Data Map et de mises à jour occasionnelles | Vous envoyer par e-mail le DPP Data Map que vous avez demandé, ainsi que des mises à jour occasionnelles à son sujet. Fondé sur le consentement ; l’e-mail est utilisé uniquement pour envoyer le DPP Data Map et des mises à jour occasionnelles ; vous pouvez vous désinscrire à tout moment. | Art. 6(1)(a) : consentement |
| DPP Provider Finder : génération et envoi de vos résultats du DPP Provider Finder gratuit à partir de vos réponses au questionnaire | Produire les résultats du DPP Provider Finder gratuit que vous recevez après soumission du questionnaire, les afficher à l’écran, et vous en envoyer une copie par e-mail à l’adresse fournie à l’étape contact ; conserver la soumission afin de vous permettre d’y revenir via un lien dans cet e-mail et de pouvoir préparer votre Shortlist personnalisée de fournisseurs DPP si vous en passez commande. | Art. 6(1)(b) : mesures précontractuelles à votre demande |
| Conservation d’une évaluation complète, ou d’une saisie enregistrée pour plus tard, comme dossier prospect (même si vous n’achetez jamais) | Lorsque vous soumettez le formulaire de contact (juste avant l’affichage de vos résultats gratuits), nous conservons vos 17 réponses au questionnaire, les DPP Provider Finder calculées et les coordonnées que vous avez fournies (nom, fonction, e-mail, notes facultatives), et notifions Catherine Lomonaco en interne. La même notification interne est envoyée si vous utilisez « Enregistrer et continuer plus tard » sur l’Audit des allégations environnementales ou l’Évaluation de préparation au DPP (votre e-mail, votre entreprise et votre progression à ce stade). Cela lui permet de voir qui a interagi indépendamment d’un achat ultérieur, et de relancer lorsqu’elle l’estime pertinent. Vous pouvez vous opposer à ce traitement à tout moment au titre de l’art. 21 (voir §9). | Art. 6(1)(f) : notre intérêt légitime à maintenir un dossier prospect des utilisateurs ayant complété une évaluation ou commencé une saisie payante, mis en balance avec votre intérêt à la protection de la vie privée (les données sont fournies dans un contexte commercial clair, conservées pour une durée limitée, jamais partagées avec des tiers au-delà de nos sous-traitants usuels, et vous pouvez vous y opposer). |
| Livraison et facturation de nos évaluations, audits et shortlists payants | Produire et envoyer par e-mail le rapport ou l’analyse commandé dans le délai en jours ouvrés indiqué après le paiement ; traitement du paiement via Stripe ; émission de la facture. | Art. 6(1)(b) : exécution du contrat conclu par votre paiement |
| Enregistrement d’une saisie d’évaluation ou d’audit comme brouillon pour vous permettre de reprendre | Lorsque vous choisissez « Enregistrer et continuer plus tard », conservation de vos réponses partielles et envoi par e-mail d’un lien privé pour terminer la saisie sur n’importe quel appareil. Le brouillon est automatiquement supprimé après la durée indiquée au §7, ou plus tôt si vous le demandez. | Art. 6(1)(b) : mesures précontractuelles à votre demande |
| Journalisation des accès au serveur | Sécurité, diagnostic, prévention des abus | Art. 6(1)(f) : notre intérêt légitime à maintenir le Site sûr et fonctionnel |
| Mesure d’audience (Umami) | Produire des statistiques agrégées sur l’usage du Site afin d’en améliorer le contenu et la structure. Aucun croisement avec d’autres traitements, aucun profilage, aucune publicité. | Art. 6(1)(f) : notre intérêt légitime à comprendre et améliorer le Site. Le traitement bénéficie de l’exemption de consentement prévue par la Délibération CNIL n° 2020-092 §2.5 (mesure d’audience sans cookie limitée à des statistiques agrégées anonymes, sans croisement, sur infrastructure UE). |
| Respect des obligations légales | Réponse à des demandes valables d’autorités publiques, conservation des registres commerciaux, etc. | Art. 6(1)(c) : obligation légale |
Nous ne mettons en œuvre aucun traitement relevant de l’article 22 (décision entièrement automatisée produisant des effets juridiques ou similaires), ni aucun profilage.
5. Destinataires et sous-traitants
Nous partageons les données personnelles avec les tiers listés ci-dessous. Nous travaillons avec des sous-traitants qui s’engagent contractuellement à un traitement conforme au RGPD, avec un Accord de sous-traitance écrit (DPA) au titre de l’article 28 du RGPD lorsque la loi et la nature du traitement l’exigent.
Une copie autonome de cette liste est également publiée à l’adresse /fr/sub-processors ; cette page est mise à jour en parallèle de la présente section dès qu’un sous-traitant est ajouté, retiré ou modifié de manière substantielle.
| Destinataire | Rôle | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement web et infrastructure serveur, à la fois pour go-trace.com et pour notre instance Umami auto-hébergée | Nuremberg, Allemagne (UE) | Au sein de l’EEE : aucun mécanisme de transfert requis |
| Umami auto-hébergé (exploité par Altanest sous la marque Conclavik) | Mesure d’audience sans cookie. Tourne sur le même serveur Hetzner que go-trace.com, à l’adresse analytics.conclavik.com. Reçoit les métadonnées de la requête, calcule un hash de session à rotation quotidienne à partir de l’IP et du user-agent sans conserver l’IP brute, stocke des compteurs agrégés et le pays dérivé de la géolocalisation IP. Aucune donnée ne quitte l’UE. Altanest exploitant directement l’instance Umami, aucun sous-traitant tiers n’est impliqué. | Nuremberg, Allemagne (UE) | Au sein de l’EEE : aucun mécanisme de transfert requis |
| Web3Forms (exploité par Statichunt) | Acheminement du formulaire de contact. Lorsque vous soumettez le formulaire, vos saisies sont transmises en JSON à l’API Web3Forms, qui conserve la soumission sur sa propre infrastructure pendant un maximum de 30 jours pour relais et audit, puis la supprime automatiquement. Web3Forms relaye ensuite la soumission vers notre messagerie par SMTP. | Inde | Clauses contractuelles types (CCT) de la Commission européenne, version 2021. Un DPA signé est en cours de mise en place [Catherine : signature en attente ; Web3Forms publie un modèle de DPA gratuit sur demande à support@web3forms.com]. |
| Google Ireland Ltd. (Google Workspace) | Service e-mail pour les adresses @go-trace.com. Reçoit le contenu de votre correspondance e-mail avec nous. | Dublin, Irlande (UE) ; les sous-traitants ultérieurs peuvent se trouver aux États-Unis | Certification au Data Privacy Framework UE-États-Unis et/ou Clauses contractuelles types |
| Teachable Inc. | Plateforme de diffusion des formations (agit comme responsable de traitement indépendant, et non comme notre sous-traitant). N’est mobilisé que lorsque vous vous inscrivez à une formation sur le sous-domaine Teachable distinct. | États-Unis | Certification au Data Privacy Framework UE-États-Unis et/ou Clauses contractuelles types ; régi par la propre politique de confidentialité de Teachable |
| Stripe Payments Europe, Ltd. | Traitement des paiements pour nos produits payants (la Shortlist personnalisée de fournisseurs DPP, l’Évaluation de préparation au DPP et l’Audit des allégations environnementales). Vous êtes redirigé vers Stripe Checkout sur un domaine exploité par Stripe ; Stripe collecte vos données de carte, votre nom, votre adresse de facturation et votre e-mail, et traite la transaction. Stripe renvoie l’utilisateur vers go-trace.com avec une référence de session ; nous ne voyons ni ne stockons jamais les données de carte. Stripe traite les données de paiement à la fois en tant que notre sous-traitant (pour le contrat conclu avec nous) et pour son propre compte en tant que responsable de traitement, pour la prévention de la fraude et ses obligations réglementaires. | Dublin, Irlande (UE) ; transferts ultérieurs vers Stripe Inc. aux États-Unis | Au sein de l’EEE en principal ; pour les transferts ultérieurs vers les États-Unis : certification au Data Privacy Framework UE-États-Unis et Clauses contractuelles types de la Commission européenne, version 2021. Le DPA de Stripe à l’adresse stripe.com/legal/dpa s’applique au traitement effectué pour notre compte. |
| Sendinblue SAS (Brevo) | Relais d’e-mails transactionnels pour nos questionnaires, évaluations et audits : e-mails destinés au client (vos résultats DPP Provider Finder ; confirmations d’achat pour l’Évaluation de préparation au DPP et l’Audit des allégations environnementales ; et les liens « reprendre votre saisie » de l’Audit des allégations environnementales et de l’Évaluation de préparation au DPP), et e-mails internes de notification adressés à contact@go-trace.com lorsqu’une soumission est complétée, enregistrée pour plus tard, ou payée. Brevo reçoit l’adresse du destinataire, l’objet et le corps du message (qui peut contenir votre nom, le résultat calculé et une référence de soumission ou de brouillon). Brevo conserve le message à des fins de livraison et de gestion des bounces, puis le supprime automatiquement selon sa rétention standard. | Paris, France (UE) | Au sein de l’EEE : aucun mécanisme de transfert requis. Le DPA de Brevo à l’adresse brevo.com/legal/termsofuse/dpa s’applique au traitement effectué pour notre compte. |
Notre base de données de soumissions est de première partie : elle réside dans un fichier SQLite sur le même serveur Hetzner que le Site, à /var/lib/go-trace/solution-map.db, contient les soumissions du Provider Finder, de l’Évaluation de préparation au DPP et de l’Audit des allégations environnementales (ainsi que les éventuels brouillons d’évaluation ou d’audit enregistrés), et n’est partagée avec aucun tiers. La cartographie complète des sous-traitants est publiée à l’adresse /fr/sub-processors.
Nous n’utilisons pas actuellement MailerLite pour le traitement de vos données, bien qu’un enregistrement DKIM pour ce prestataire existe sur le domaine go-trace.com (configuration héritée). Si nous l’activons à l’avenir, nous mettrons à jour la présente Politique et la liste du §5 avant tout traitement.
Nous pouvons divulguer des données personnelles à des conseils professionnels (experts-comptables, avocats) tenus à un devoir de confidentialité, ou à des autorités publiques en cas de réquisition légale. Nous ne vendons pas de données personnelles et ne les partageons pas avec des tiers à des fins de prospection commerciale qui leur seraient propres.
6. Transferts internationaux de données
L’essentiel de vos données reste dans l’Espace économique européen. Lorsqu’un sous-traitant s’appuie sur des sous-sous-traitants dans des pays tiers (en particulier l’Inde pour Web3Forms et les États-Unis pour les sous-traitants Google et pour Teachable), le transfert est encadré par l’un des mécanismes du chapitre V du RGPD : décision d’adéquation (incluant le Data Privacy Framework UE-États-Unis le cas échéant), Clauses contractuelles types de 2021 de la Commission européenne, ou, à défaut, consentement explicite et éclairé.
Vous pouvez nous demander, par e-mail, copie des garanties mises en place.
7. Durée de conservation
Nous appliquons les durées de conservation suivantes par défaut, prolongées uniquement lorsqu’une obligation légale spécifique ou un litige en cours l’impose :
- Correspondance via le formulaire de contact et par e-mail : trois (3) ans à compter du dernier échange. Cette durée s’aligne sur la prescription commerciale générale de l’article L110-4 du Code de commerce.
- Prospects DPP Data Map : conservés jusqu’à votre désinscription, après quoi l’enregistrement est supprimé.
- Cache des soumissions côté Web3Forms : jusqu’à trente (30) jours sur l’infrastructure Web3Forms, après quoi Web3Forms supprime automatiquement. Notre copie dans notre messagerie suit la durée de conservation de la correspondance ci-dessus.
- Soumissions DPP Provider Finder (non payées) : trois (3) ans à compter de la soumission, après quoi l’enregistrement est purgé. Vous pouvez demander un effacement plus rapide à tout moment (voir §9).
- Soumissions d’évaluations, d’audits et de shortlists payantes : la soumission, tout résultat calculé et le rapport ou l’analyse délivré sont conservés pendant la durée du contrat majorée de la prescription commerciale générale, soit trois (3) ans après livraison ; les données de facturation sous-jacentes relèvent de la règle des dix ans ci-dessous.
- Brouillons d’évaluation ou d’audit enregistrés (non soumis) : soixante (60) jours à compter de votre dernier enregistrement, après quoi le brouillon est automatiquement purgé. Vous pouvez demander un effacement plus rapide à tout moment (voir §9).
- Enregistrements de transaction Stripe : Stripe conserve les enregistrements de transaction par carte sur sa propre infrastructure pour les durées imposées par la législation fiscale et anti-blanchiment applicable (typiquement jusqu’à dix ans). Nous ne conservons que la référence de session Stripe et le statut payé/annulé, aux côtés de la soumission correspondante, selon les règles ci-dessus.
- Dossiers clients et données de facturation : dix (10) ans, conformément à l’article L123-22 du Code de commerce. Cela s’applique aux factures émises pour toute commande payante.
- Journaux d’accès au serveur : au plus trente (30) jours, puis suppression. Les journaux relatifs à un incident de sécurité spécifique peuvent être conservés plus longtemps au titre de l’art. 6(1)(f).
- Mesure d’audience Umami : compteurs agrégés conservés au plus treize (13) mois, en cohérence avec les recommandations CNIL pour la mesure d’audience. Le hash de session est en rotation quotidienne et aucun identifiant individuel n’est conservé.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au risque (article 32 du RGPD), notamment : HTTPS/TLS pour tout le trafic public, contrôle d’accès sur l’infrastructure d’hébergement, systèmes d’exploitation et logiciels à jour, sauvegardes chiffrées, et politique limitant l’accès aux données personnelles aux personnes qui en ont besoin pour leurs missions. Aucun système n’est parfaitement sûr ; nous notifierons, lorsque les articles 33 et 34 l’exigent, l’autorité compétente et les personnes concernées en cas de violation susceptible de présenter un risque pour leurs droits.
9. Vos droits
Au titre du RGPD, vous disposez du droit :
- d’accéder à vos données personnelles et d’en obtenir copie (art. 15) ;
- de rectifier les données inexactes ou incomplètes (art. 16) ;
- à l’effacement (« droit à l’oubli »), sous réserve des exceptions de l’art. 17(3) ;
- à la limitation du traitement dans les cas listés à l’art. 18 ;
- à la portabilité des données que vous nous avez fournies et que nous traitons sur la base de votre consentement ou d’un contrat (art. 20) ;
- de vous opposer à un traitement fondé sur l’intérêt légitime (art. 21), y compris à la mesure d’audience décrite au §4 ;
- de retirer votre consentement à tout moment (art. 7(3)), sans affecter la licéité du traitement antérieur ;
- de définir des directives sur le sort de vos données personnelles après votre décès (Loi Informatique et Libertés, art. 85).
Pour exercer l’un de ces droits, écrivez à contact@go-trace.com en précisant suffisamment d’éléments pour que nous puissions vous identifier et identifier le droit concerné. Nous répondrons sans retard injustifié, et en tout état de cause dans le mois suivant la réception de votre demande (art. 12(3)). En cas de demande complexe ou de demandes nombreuses, nous pouvons prolonger ce délai de deux mois supplémentaires, en vous en informant dans le mois initial avec les motifs.
Nous pouvons vous demander des informations complémentaires raisonnablement nécessaires pour confirmer votre identité (art. 12(6)). L’exercice de vos droits est gratuit ; nous nous réservons le droit de refuser les demandes manifestement infondées ou excessives, ou de facturer des frais raisonnables fondés sur les coûts administratifs, comme l’autorise l’art. 12(5).
Si vous souhaitez vous opposer spécifiquement à la mesure d’audience Umami, vous pouvez le faire en activant l’en-tête « Do Not Track » de votre navigateur (qu’Umami respecte), en utilisant un bloqueur de contenu ciblant analytics.conclavik.com, ou en nous écrivant pour demander une exclusion côté serveur.
10. Droit d’introduire une réclamation
Si vous estimez que notre traitement enfreint la réglementation applicable, vous pouvez introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de la prétendue violation. En France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL) :
CNIL3 place de Fontenoy, TSA 80715
75334 PARIS CEDEX 07, France
Téléphone : +33 (0)1 53 73 22 22
Web : www.cnil.fr
Nous vous invitons à nous contacter d’abord, pour tenter de résoudre la question directement.
11. Cookies et technologies similaires
Le Site ne dépose aucun cookie et n’utilise ni localStorage, ni sessionStorage, ni pixels, ni fingerprinting, ni traceur tiers. La mesure d’audience est assurée par une instance Umami auto-hébergée qui fonctionne sans cookie et sans stockage d’identifiants individuels. Le formulaire de contact transmet ses données via un appel HTTPS authentifié, sans installer de marqueur côté client. Le détail figure dans notre Politique des cookies.
12. Évolutions de la présente politique
Nous pouvons mettre à jour la présente politique pour refléter des évolutions juridiques, techniques ou opérationnelles. La date et la version en haut de page identifient toujours l’édition en vigueur. Les modifications substantielles seront annoncées sur le Site (typiquement via une bannière sur la page d’accueil ou une note sur la page légale concernée) pendant une durée raisonnable avant leur entrée en vigueur.
13. Contact
Pour toute question relative à la présente politique ou au traitement de vos données personnelles : contact@go-trace.com.