Politique de confidentialité
Version 1.2 · dernière mise à jour le 3 mai 2026
1. Introduction et champ d’application
La présente politique explique comment Altanest SAS (ci-après « nous » ou le « Responsable de traitement ») traite les données personnelles dans le cadre du site go-trace.com, en ce compris ses sous-pages (le « Site »).
Elle est rédigée au regard du Règlement (UE) 2016/679 (le « RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (la « Loi Informatique et Libertés »). Lorsque le droit national de la consommation ou un droit sectoriel offre une protection supérieure, ce droit prévaut.
La présente politique ne couvre pas la plateforme Teachable, distincte, sur laquelle nos formations en ligne sont dispensées. Lorsque vous vous inscrivez à une formation, Teachable Inc. agit comme responsable de traitement indépendant pour les données que vous lui fournissez ; merci de consulter la politique de confidentialité de Teachable.
2. Identité du Responsable de traitement
Altanest SAS20 rue Guillaume Fichet
74000 Annecy, France
SIREN : 877 916 916 · RCS Annecy 877 916 916
TVA intra-UE : FR67877916916
E-mail : contact@go-trace.com
« GO TRACE » est un nom commercial et une marque d’Altanest SAS. Nous n’avons pas désigné de Délégué à la protection des données ; nos activités de traitement ne remplissent pas les critères de l’article 37(1) du RGPD. Vous pouvez néanmoins adresser toute demande relative à la protection des données à l’adresse e-mail ci-dessus, qui est suivie par le Responsable de traitement.
3. Catégories de données personnelles traitées
Nous collectons des données personnelles uniquement lorsque vous nous les fournissez activement, ou lorsqu’elles sont générées par le fonctionnement courant du Site :
| Catégorie | Exemples | Source |
|---|---|---|
| Données d’identification et de contact | Nom, e-mail, entreprise, fonction, pays (optionnel), comment vous nous avez connus (optionnel), forfait d’intérêt (optionnel) | Vous : via le formulaire de contact à l’adresse /fr/contact ou par e-mail direct |
| Contenu de votre message | Le texte libre que vous soumettez et toute pièce jointe envoyée par e-mail | Vous : via le formulaire de contact ou un e-mail direct |
| Données techniques de journalisation | Adresse IP, chaîne user-agent, URL demandée, horodatage, en-tête referrer HTTP | Automatique : enregistré dans le journal d’accès du serveur web |
| Données dérivées de l’analyse d’audience | Pages vues, referrer, navigateur, OS, taille du viewport, pays dérivé de la géolocalisation IP, hash de session (rotation quotidienne, aucun identifiant individuel conservé) | Automatique : collecté par notre instance Umami auto-hébergée (voir §5) |
Le Site ne dépose aucun cookie et n’utilise aucun stockage côté client. Nous ne collectons pas sciemment de données sensibles (article 9 du RGPD) ni de données relatives à des enfants de moins de 16 ans. Si de telles données nous sont transmises spontanément, nous les supprimons dès que nous en prenons connaissance.
4. Finalités et bases légales
Chaque activité de traitement a une finalité précise et une base légale unique au titre de l’article 6(1) du RGPD :
| Activité | Finalité | Base légale |
|---|---|---|
| Traitement des messages reçus via le formulaire de contact et par e-mail | Répondre à votre demande ; préparer une éventuelle mission | Art. 6(1)(b) : mesures précontractuelles à votre demande ; à défaut Art. 6(1)(f) : intérêt légitime à répondre à la correspondance |
| Journalisation des accès au serveur | Sécurité, diagnostic, prévention des abus | Art. 6(1)(f) : notre intérêt légitime à maintenir le Site sûr et fonctionnel |
| Mesure d’audience (Umami) | Produire des statistiques agrégées sur l’usage du Site afin d’en améliorer le contenu et la structure. Aucun croisement avec d’autres traitements, aucun profilage, aucune publicité. | Art. 6(1)(f) : notre intérêt légitime à comprendre et améliorer le Site. Le traitement bénéficie de l’exemption de consentement prévue par la Délibération CNIL n° 2020-092 §2.5 (mesure d’audience sans cookie limitée à des statistiques agrégées anonymes, sans croisement, sur infrastructure UE). |
| Respect des obligations légales | Réponse à des demandes valables d’autorités publiques, conservation des registres commerciaux, etc. | Art. 6(1)(c) : obligation légale |
Nous ne mettons en œuvre aucun traitement relevant de l’article 22 (décision entièrement automatisée produisant des effets juridiques ou similaires), ni aucun profilage.
5. Destinataires et sous-traitants
Nous partageons les données personnelles avec les tiers listés ci-dessous. Nous travaillons avec des sous-traitants qui s’engagent contractuellement à un traitement conforme au RGPD, avec un Accord de sous-traitance écrit (DPA) au titre de l’article 28 du RGPD lorsque la loi et la nature du traitement l’exigent.
Une copie autonome de cette liste est également publiée à l’adresse /fr/sub-processors ; nous nous engageons à donner un préavis de 30 jours pour toute modification substantielle de la liste, en mettant à jour cette page et en signalant la modification dans l’historique de version de la présente Politique.
| Destinataire | Rôle | Localisation | Mécanisme de transfert |
|---|---|---|---|
| Hetzner Online GmbH | Hébergement web et infrastructure serveur, à la fois pour go-trace.com et pour notre instance Umami auto-hébergée | Nuremberg, Allemagne (UE) | Au sein de l’EEE : aucun mécanisme de transfert requis |
| Umami auto-hébergé (exploité par Altanest sous la marque Conclavik) | Mesure d’audience sans cookie. Tourne sur le même serveur Hetzner que go-trace.com, à l’adresse analytics.conclavik.com. Reçoit les métadonnées de la requête, calcule un hash de session à rotation quotidienne à partir de l’IP et du user-agent sans conserver l’IP brute, stocke des compteurs agrégés et le pays dérivé de la géolocalisation IP. Aucune donnée ne quitte l’UE. Altanest exploitant directement l’instance Umami, aucun sous-traitant tiers n’est impliqué. | Nuremberg, Allemagne (UE) | Au sein de l’EEE : aucun mécanisme de transfert requis |
| Web3Forms (exploité par Statichunt) | Acheminement du formulaire de contact. Lorsque vous soumettez le formulaire, vos saisies sont transmises en JSON à l’API Web3Forms, qui conserve la soumission sur sa propre infrastructure pendant un maximum de 30 jours pour relais et audit, puis la supprime automatiquement. Web3Forms relaye ensuite la soumission vers notre boîte e-mail par SMTP. | Inde | Clauses contractuelles types (CCT) de la Commission européenne, version 2021. Un DPA signé est en cours de mise en place [Catherine : signature en attente ; Web3Forms publie un modèle de DPA gratuit sur demande à support@web3forms.com]. |
| Google Ireland Ltd. (Google Workspace) | Service e-mail pour les adresses @go-trace.com. Reçoit le contenu de votre correspondance e-mail avec nous. | Dublin, Irlande (UE) ; les sous-traitants ultérieurs peuvent se trouver aux États-Unis | Certification au Data Privacy Framework UE-États-Unis et/ou Clauses contractuelles types |
| Teachable Inc. | Plateforme de diffusion des formations (agit comme responsable de traitement indépendant, et non comme notre sous-traitant). N’est mobilisé que lorsque vous vous inscrivez à une formation sur le sous-domaine Teachable distinct. | États-Unis | Certification au Data Privacy Framework UE-États-Unis et/ou Clauses contractuelles types ; régi par la propre politique de confidentialité de Teachable |
Nous n’utilisons ni Brevo ni MailerLite pour aucun traitement de vos données, bien que des enregistrements DKIM pour ces prestataires existent sur le domaine go-trace.com (configuration héritée). Si nous activons l’un d’eux à l’avenir, nous mettrons à jour la présente Politique et la liste du §5 avant tout traitement.
Nous pouvons divulguer des données personnelles à des conseils professionnels (experts-comptables, avocats) tenus à un devoir de confidentialité, ou à des autorités publiques en cas de réquisition légale. Nous ne vendons pas de données personnelles et ne les partageons pas avec des tiers à des fins de prospection commerciale qui leur seraient propres.
6. Transferts internationaux de données
L’essentiel de vos données reste dans l’Espace économique européen. Lorsqu’un sous-traitant s’appuie sur des sous-sous-traitants dans des pays tiers (en particulier l’Inde pour Web3Forms et les États-Unis pour les sous-traitants Google et pour Teachable), le transfert est encadré par l’un des mécanismes du chapitre V du RGPD : décision d’adéquation (incluant le Data Privacy Framework UE-États-Unis le cas échéant), Clauses contractuelles types de 2021 de la Commission européenne, ou, à défaut, consentement explicite et éclairé.
Vous pouvez nous demander, par e-mail, copie des garanties mises en place.
7. Durée de conservation
Nous appliquons les durées de conservation suivantes par défaut, prolongées uniquement lorsqu’une obligation légale spécifique ou un litige en cours l’impose :
- Correspondance via le formulaire de contact et par e-mail : trois (3) ans à compter du dernier échange. Cette durée s’aligne sur la prescription commerciale générale de l’article L110-4 du Code de commerce.
- Cache des soumissions côté Web3Forms : jusqu’à trente (30) jours sur l’infrastructure Web3Forms, après quoi Web3Forms supprime automatiquement. Notre copie dans notre boîte e-mail suit la durée de conservation de la correspondance ci-dessus.
- Dossiers clients et données de facturation : dix (10) ans, conformément à l’article L123-22 du Code de commerce.
- Journaux d’accès au serveur : au plus trente (30) jours, puis suppression. Les journaux relatifs à un incident de sécurité spécifique peuvent être conservés plus longtemps au titre de l’art. 6(1)(f).
- Mesure d’audience Umami : compteurs agrégés conservés au plus treize (13) mois, en cohérence avec les recommandations CNIL pour la mesure d’audience. Le hash de session est en rotation quotidienne et aucun identifiant individuel n’est conservé.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées au risque (article 32 du RGPD), notamment : HTTPS/TLS pour tout le trafic public, contrôle d’accès sur l’infrastructure d’hébergement, systèmes d’exploitation et logiciels à jour, sauvegardes chiffrées, et politique limitant l’accès aux données personnelles aux personnes qui en ont besoin pour leurs missions. Aucun système n’est parfaitement sûr ; nous notifierons, lorsque les articles 33 et 34 l’exigent, l’autorité compétente et les personnes concernées en cas de violation susceptible de présenter un risque pour leurs droits.
9. Vos droits
Au titre du RGPD, vous disposez du droit :
- d’accéder à vos données personnelles et d’en obtenir copie (art. 15) ;
- de rectifier les données inexactes ou incomplètes (art. 16) ;
- à l’effacement (« droit à l’oubli »), sous réserve des exceptions de l’art. 17(3) ;
- à la limitation du traitement dans les cas listés à l’art. 18 ;
- à la portabilité des données que vous nous avez fournies et que nous traitons sur la base de votre consentement ou d’un contrat (art. 20) ;
- de vous opposer à un traitement fondé sur l’intérêt légitime (art. 21), y compris à la mesure d’audience décrite au §4 ;
- de retirer votre consentement à tout moment (art. 7(3)), sans affecter la licéité du traitement antérieur ;
- de définir des directives sur le sort de vos données personnelles après votre décès (Loi Informatique et Libertés, art. 85).
Pour exercer l’un de ces droits, écrivez à contact@go-trace.com en précisant suffisamment d’éléments pour que nous puissions vous identifier et identifier le droit concerné. Nous répondrons sans retard injustifié, et en tout état de cause dans le mois suivant la réception de votre demande (art. 12(3)). En cas de demande complexe ou de demandes nombreuses, nous pouvons prolonger ce délai de deux mois supplémentaires, en vous en informant dans le mois initial avec les motifs.
Nous pouvons vous demander des informations complémentaires raisonnablement nécessaires pour confirmer votre identité (art. 12(6)). L’exercice de vos droits est gratuit ; nous nous réservons le droit de refuser les demandes manifestement infondées ou excessives, ou de facturer des frais raisonnables fondés sur les coûts administratifs, comme l’autorise l’art. 12(5).
Si vous souhaitez vous opposer spécifiquement à la mesure d’audience Umami, vous pouvez le faire en activant l’en-tête « Do Not Track » de votre navigateur (qu’Umami respecte), en utilisant un bloqueur de contenu ciblant analytics.conclavik.com, ou en nous écrivant pour demander une exclusion côté serveur.
10. Droit d’introduire une réclamation
Si vous estimez que notre traitement enfreint la réglementation applicable, vous pouvez introduire une réclamation auprès d’une autorité de contrôle, notamment dans l’État membre de votre résidence habituelle, de votre lieu de travail ou du lieu de la prétendue violation. En France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL) :
CNIL3 place de Fontenoy, TSA 80715
75334 PARIS CEDEX 07, France
Téléphone : +33 (0)1 53 73 22 22
Web : www.cnil.fr
Nous vous invitons à nous contacter d’abord, pour tenter de résoudre la question directement.
11. Cookies et technologies similaires
Le Site ne dépose aucun cookie et n’utilise ni localStorage, ni sessionStorage, ni pixels, ni fingerprinting, ni traceur tiers. La mesure d’audience est assurée par une instance Umami auto-hébergée qui fonctionne sans cookie et sans stockage d’identifiants individuels. Le formulaire de contact transmet ses données via un appel HTTPS authentifié, sans installer de marqueur côté client. Le détail figure dans notre Politique des cookies.
12. Évolutions de la présente politique
Nous pouvons mettre à jour la présente politique pour refléter des évolutions juridiques, techniques ou opérationnelles. La date et la version en haut de page identifient toujours l’édition en vigueur. Les modifications substantielles seront annoncées sur le Site (typiquement via une bannière sur la page d’accueil ou une note sur la page légale concernée) pendant une durée raisonnable avant leur entrée en vigueur.
13. Contact
Pour toute question relative à la présente politique ou au traitement de vos données personnelles : contact@go-trace.com.