POLITIQUE DE PROTECTION DES DONNÉES DE RETAKIT
Document cadre conforme au Règlement Général sur la Protection des Données (RGPD) 2016/679 et à la loi Informatique et Libertés modifiée
Date de dernière mise à jour : 26 février 2026
Version : 4.1
Approuvée par : Thomas Martin, Président
Prochaine révision : Février 2027
TABLE DES MATIÈRES
Préambule et engagements
Principes fondamentaux de protection des données
Registre des activités de traitement
Analyse d’impact relative à la protection des données (AIPD)
Sécurité des données et mesures techniques
Gestion des violations de données
Droits des personnes et procédures
Sous-traitants et partenaires
Transferts de données hors UE
Formation et sensibilisation
Audits et contrôles internes
Documentation et preuves de conformité
Coordonnées du DPO
Annexes techniques
1. PRÉAMBULE ET ENGAGEMENTS
1.1 Notre philosophie
Chez RETAKIT, nous considérons la protection des données personnelles comme un droit fondamental et un élément clé de la relation de confiance que nous établissons avec nos clients, partenaires et collaborateurs.
Notre approche va au-delà de la simple conformité réglementaire : nous intégrons la protection des données dès la conception (privacy by design) et par défaut (privacy by default) dans l’ensemble de nos processus, produits et services.
1.2 Engagements de la direction
La direction de RETAKIT s’engage à :
Nommer un Délégué à la Protection des Données (DPO) disposant des ressources nécessaires
Allouer les moyens humains, techniques et financiers à la conformité RGPD
Soutenir une culture de la protection des données à tous les niveaux de l’organisation
Garantir l’indépendance du DPO et son accès direct à la direction
Signer annuellement la présente politique pour marquer son engagement
1.3 Champ d’application
Cette politique s’applique à :
L’ensemble des entités de RETAKIT SAS
Tous les employés, stagiaires et prestataires internes
Tous les traitements de données personnelles, automatisés ou non
Tous les supports (informatique, papier, mobile, cloud)
2. PRINCIPES FONDAMENTAUX DE PROTECTION DES DONNÉES
RETAKIT s’engage à respecter les 7 principes clés du RGPD :
2.1 Licéité, loyauté et transparence
Licéité : Chaque traitement repose sur une base légale valide (consentement, contrat, obligation légale, intérêt légitime, mission d’intérêt public, intérêts vitaux)
Loyauté : Nous ne traitons jamais vos données de manière trompeuse ou contraire à vos attentes légitimes
Transparence : Nous vous informons clairement et simplement de l’utilisation de vos données
2.2 Limitation des finalités
Nous collectons vos données uniquement pour des finalités déterminées, explicites et légitimes. Nous ne réutilisons jamais vos données pour d’autres finalités sans vous en informer et, si nécessaire, recueillir votre consentement.
2.3 Minimisation des données
Nous ne collectons que les données strictement nécessaires à la finalité poursuivie. Nous appliquons systématiquement le principe « less is more ».
2.4 Exactitude
Nous mettons tout en œuvre pour que vos données soient exactes et tenues à jour. Vous pouvez à tout moment les rectifier via votre espace client ou en contactant notre DPO.
2.5 Limitation de la conservation
Nous ne conservons vos données que le temps nécessaire aux finalités pour lesquelles elles ont été collectées, dans le respect des durées légales de prescription et d’archivage.
2.6 Intégrité et confidentialité
Nous garantissons la sécurité de vos données par des mesures techniques et organisationnelles appropriées contre tout accès non autorisé, altération, divulgation ou destruction.
2.7 Responsabilité (accountability)
Nous sommes en mesure de démontrer notre conformité à tout moment, auprès de vous comme auprès de l’autorité de contrôle (CNIL).
3. REGISTRE DES ACTIVITÉS DE TRAITEMENT
Conformément à l’article 30 du RGPD, RETAKIT tient à jour un registre exhaustif de ses activités de traitement. Ce registre est accessible à la CNIL sur demande.
3.1 Traitements principaux
N° Traitement Responsable Base légale Catégories de données Destinataires Durée de conservation
T001 Gestion des commandes Direction Commerciale Exécution contrat Identification, paiement, adresse Transporteurs, prestaires paiement 10 ans (comptabilité)
T002 Gestion des comptes clients Service Client Exécution contrat Identification, historique, préférences Internes uniquement 3 ans après dernier contact
T003 Gestion SAV Service Après-Vente Exécution contrat Identification, commande, panne Ateliers réparation 3 ans
T004 Newsletter et prospection Marketing Consentement Email, historique d’achat SendinBlue 3 ans ou désinscription
T005 Paiement en ligne Comptabilité Exécution contrat Coordonnées bancaires (via prestataire) Stripe, PayPal, Alma Suppression après confirmation
T006 Analyse d’audience Marketing Intérêt légitime Cookies, navigation (anonymisés) Google Analytics 13 mois
T007 Recrutement RH Mesures précontractuelles CV, lettre motivation, entretiens Internes 2 ans
T008 Vidéosurveillance Sécurité Intérêt légitime Images Prestataire sécurité 30 jours
T009 Gestion des avis clients Marketing Consentement Identification, avis Avis vérifiés 3 ans
T010 Programme fidélité Marketing Exécution contrat Identification, points fidélité Internes Durée du programme
3.2 Sous-traitants et responsables conjoints
Traitement Partenaire Rôle Localisation Garanties
Hébergement OVH Cloud Sous-traitant France Contrat type CNIL
Paiement Stripe Sous-traitant USA Privacy Shield / SCC
Paiement PayPal Sous-traitant UE Contrat type
Paiement fractionné Alma Sous-traitant France Contrat type
Livraison Colissimo Sous-traitant France Contrat type
Livraison Mondial Relay Sous-traitant France Contrat type
Livraison Chronopost Sous-traitant France Contrat type
Email marketing SendinBlue Sous-traitant France Contrat type
Service client Zendesk Sous-traitant USA Privacy Shield / SCC
Analytique Google Analytics Sous-traitant USA Privacy Shield / SCC
Publicité Meta (Facebook) Responsable conjoint USA Accord responsable conjoint
4. ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)
RETAKIT réalise une analyse d’impact (PIA) pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.
4.1 Traitements soumis à AIPD
Traitement Date AIPD Risques identifiés Mesures correctives Prochaine révision
Gestion des paiements en ligne 15/01/2026 Fraude, interception données bancaires Chiffrement, tokenisation, 3D Secure Janvier 2027
Vidéosurveillance entrepôt 10/02/2026 Atteinte vie privée employés Signalétique, accès restreint, floutage zones sensibles Février 2027
Profilage marketing 05/03/2026 Décisions automatisées Consentement explicite, droit d’opposition facile Mars 2027
Transferts USA (GA, Meta) 20/12/2025 Non-conformité Schrems II Mise en place clauses contractuelles types Décembre 2026
4.2 Méthodologie
Notre méthodologie AIPD suit la recommandation du G29 (WP248) et utilise l’outil PIA de la CNIL.
Critères d’évaluation des risques :
Probabilité d’occurrence (1-4)
Gravité de l’impact (1-4)
Niveau de risque final (faible, moyen, élevé)
5. SÉCURITÉ DES DONNÉES ET MESURES TECHNIQUES
5.1 Mesures techniques
Catégorie Mesures implémentées
Chiffrement HTTPS/TLS 1.3 sur tout le site, chiffrement des bases de données, chiffrement des sauvegardes
Authentification Mots de passe hachés (bcrypt), politique de mots de passe forts, 2FA pour administrateurs
Protection réseau Pare-feu applicatif (WAF), segmentation réseau, VPN pour accès distants
Surveillance Détection d’intrusion (IDS), journalisation des accès, alertes temps réel
Sauvegardes Quotidiennes, chiffrées, testées mensuellement, rétention 30 jours
Développement Revue de code, tests de pénétration annuels, analyse de vulnérabilités
Terminaux Antivirus, chiffrement disque, gestion des correctifs, MDM
5.2 Mesures organisationnelles
Catégorie Mesures implémentées
Gestion des accès Principe du moindre privilège, revue trimestrielle des habilitations, procédure de départ
Documentation Procédures internes, registre des traitements, cartographie des flux
Incidents Procédure de gestion des violations, équipe réponse, contact CNIL pré-établi
Fournisseurs Due diligence RGPD, clauses contractuelles, audits sur site
Politiques internes Charte informatique, politique de mots de passe, charte télétravail
5.3 Certification de sécurité
RETAKIT est en cours de certification :
ISO 27001 (Sécurité de l’information) – Objectif décembre 2026
HDS (Hébergement données santé) – Non applicable
PCI DSS (Paiements) – Via nos prestataires Stripe/PayPal
6. GESTION DES VIOLATIONS DE DONNÉES
6.1 Définition
Une violation de données personnelles est une brèche de sécurité entraînant, de manière accidentelle ou illicite :
La destruction, perte ou altération de données
La divulgation non autorisée de données
L’accès non autorisé à des données
6.2 Procédure interne
Détection (T0) :
Tout employé constatant une anomalie doit immédiatement prévenir le DPO
Les alertes techniques sont automatiquement remontées
Analyse et qualification (T0+4h max) :
Le DPO évalue la nature, l’étendue et la gravité de la violation
Détermination du périmètre et des personnes concernées
Évaluation du risque pour les droits et libertés
Notification CNIL (T0+72h max) :
Si risque pour les droits et libertés, notification à la CNIL via leur portail
Transmission des informations requises (nature, conséquences, mesures)
Information des personnes (sans délai) :
Si risque élevé, information directe des personnes concernées
Communication claire sur la nature de la violation et les mesures à prendre
Documentation et suivi :
Enregistrement de toutes les violations dans le registre interne
Analyse des causes profondes et plan d’actions correctives
6.3 Registre des violations
Date Nature Personnes concernées Notification CNIL Mesures correctives
12/03/2025 Email envoyé en erreur (mauvaise liste de diffusion) 23 clients Non (risque faible) Renforcement procédure validation
05/09/2025 Tentative d’intrusion bloquée par WAF 0 Non Renforcement des règles
Aucune violation majeure à ce jour – – – –
7. DROITS DES PERSONNES ET PROCÉDURES
7.1 Procédure de gestion des demandes de droits
Étape Description Délai Responsable
1. Réception La demande arrive par email, courrier ou formulaire T0 DPO
2. Identification Vérification de l’identité (pièce d’identité si doute) T0+2j DPO
3. Analyse Identification des traitements concernés, recherche des données T0+5j DPO + SI
4. Traitement Application du droit demandé (rectification, suppression, etc.) T0+10j DPO
5. Réponse Réponse formelle à la personne, preuve de traitement T0+20j DPO
6. Traçabilité Enregistrement de la demande dans le registre T0+20j DPO
7.2 Statistiques des demandes (2025-2026)
Type de droit Nombre de demandes Délai moyen de réponse Taux de satisfaction
Droit d’accès 47 8 jours 100%
Droit de rectification 23 5 jours 100%
Droit à l’effacement 31 6 jours 94% (3 refus légitimes)
Droit à la limitation 2 4 jours 100%
Droit à la portabilité 5 10 jours 100%
Droit d’opposition 12 3 jours 100%
7.3 Modèles de formulaires
Nous mettons à disposition des personnes des modèles de formulaires :
retakit.com/demande-acces
retakit.com/demande- rectification
retakit.com/demande-suppression
retakit.com/opposition-newsletter
8. SOUS-TRAITANTS ET PARTENAIRES
8.1 Due diligence préalable
Avant toute contractualisation avec un sous-traitant, RETAKIT vérifie :
Les garanties de sécurité du prestataire (certifications, audits)
La localisation des données et les garanties de transfert
L’existence d’un DPO et la maturité RGPD
Les antécédents (réputation, incidents antérieurs)
8.2 Clauses contractuelles types
Tous nos contrats de sous-traitance incluent :
L’objet et la durée du traitement
La nature et la finalité du traitement
Le type de données et catégories de personnes
Les obligations de sécurité du sous-traitant
L’interdiction de recourir à un autre sous-traitant sans autorisation
Les modalités d’assistance pour les droits des personnes
Les audits et contrôles
La sortie de contrat et la restitution des données
8.3 Liste des sous-traitants autorisés
La liste complète est disponible dans notre registre et sur demande au DPO.
9. TRANSFERTS DE DONNÉES HORS UE
9.1 Principes
RETAKIT limite autant que possible les transferts hors UE. Lorsqu’ils sont nécessaires, nous mettons en place les garanties appropriées.
9.2 Garanties implémentées
Destination Prestataire Garantie Date de validation
USA Google Analytics Clauses contractuelles types (SCC) + mesures supplémentaires 15/12/2025
USA Meta (Facebook) Clauses contractuelles types + accord responsable conjoint 10/01/2026
USA Stripe Clauses contractuelles types + certification Privacy Shield (renouvelée) 05/01/2026
USA Zendesk Clauses contractuelles types 20/02/2026
9.3 Mesures supplémentaires (Schrems II)
Suite à l’arrêt Schrems II, nous avons implémenté :
Chiffrement des données avant transfert (lorsque possible)
Minimisation des données transférées
Évaluation des lois locales d’accès des autorités
Engagement contractuel du prestataire à contester toute demande excessive
10. FORMATION ET SENSIBILISATION
10.1 Plan de formation
Public Fréquence Contenu Format Taux de réalisation
Tous les employés Annuelle Bases RGPD, bons réflexes, gestion des incidents E-learning 2h 100%
Équipes marketing Semestrielle Cookies, prospection, profilage Atelier 3h 100%
Équipes techniques Semestrielle Sécurité, chiffrement, pseudonymisation Atelier 4h 100%
Service client Trimestrielle Gestion des demandes de droits Atelier 2h 100%
Nouveaux arrivants À l’embauche Formation RGPD complète Présentiel + test 100%
Direction Annuelle Gouvernance, risques, conformité Présentiel 2h 100%
10.2 Sensibilisation continue
Newsletter interne RGPD : trimestrielle
Affiches dans les locaux : rappels des bons réflexes
Module e-learning permanent : accessible 24/7
Simulations de phishing : trimestrielles
RGPD Day : événement annuel en juin
11. AUDITS ET CONTRÔLES INTERNES
11.1 Programme d’audit
Type d’audit Fréquence Réalisé par Dernier audit Prochain audit
Conformité RGPD globale Annuelle DPO interne + cabinet externe Novembre 2025 Novembre 2026
Sécurité technique Semestrielle Prestataire spécialisé (pentest) Février 2026 Août 2026
Fournisseurs (top 5) Annuelle DPO Janvier 2026 Janvier 2027
Gestion des cookies Trimestrielle Équipe technique Février 2026 Mai 2026
Tests d’intrusion Annuelle Prestataire certifié Mars 2026 Mars 2027
11.2 Plan d’actions correctives
Non-conformité Détection Action corrective Responsable Statut
Cookies tiers sans consentement préalable Audit Nov 2025 Mise en place CMP (Consent Management Platform) CTO Fait (Déc 2025)
Absence de clauses types avec prestataire X Audit Jan 2026 Mise à jour contrat Juridique En cours
Durée de conservation trop longue pour logs Audit Fév 2026 Réduction de 3 ans à 13 mois CTO Fait (Fév 2026)
12. DOCUMENTATION ET PREUVES DE CONFORMITÉ
RETAKIT maintient à jour l’ensemble de la documentation suivante :
12.1 Documents principaux
Registre des activités de traitement
Politique de protection des données
Politique de gestion des cookies
Analyse d’impact (AIPD) des traitements sensibles
Registre des violations de données
Registre des demandes de droits
Cartographie des données et des flux
Procédures internes (gestion des incidents, demandes de droits)
12.2 Preuves de conformité
Contrats avec sous-traitants incluant clauses RGPD
Consentements collectés (traçabilité)
Formations suivies par les employés
Audits et pentests
Délibérations et décisions internes
12.3 Accessibilité
Ces documents sont :
Accessibles au DPO en permanence
Présentables à la CNIL sur demande
Communicables aux clients (sauf secrets d’affaires) sur demande motivée
13. COORDONNÉES DU DPO
Délégué à la Protection des Données (DPO) :
Maître Julien Dubois
Cabinet DPO Conseil
Email : dpo@retakit.com
Téléphone : 01 84 80 00 02 (ligne directe)
Adresse postale : RETAKIT – DPO, 128 Rue de Rivoli, 75001 Paris
Disponibilité : Lundi au vendredi, 9h-12h et 14h-17h
Le DPO est indépendant dans l’exercice de ses missions et reporte directement au Président.
14. ANNEXES TECHNIQUES
Annexe A : Durées de conservation détaillées
Catégorie Sous-catégorie Durée de conservation Justification
Comptes clients Actifs 3 ans après dernier contact Relation commerciale
Inactifs Suppression après 3 ans Absence d’intérêt
Commandes En cours Jusqu’à livraison + 1 mois Gestion litiges
Historique 10 ans Obligation comptable
Paiement Données bancaires Suppression après confirmation Sécurité
Preuve transaction 10 ans (hors données sensibles) Obligation légale
Cookies Consentement 6 mois Respect CNIL
Analytics 13 mois Recommandation CNIL
Prospection Prospects non clients 3 ans Recommandation CNIL
Clients (opt-out) 3 ans après dernier achat Intérêt légitime
Candidatures Non retenues 2 ans Intérêt légitime
Retenues Dossier personnel Contrat travail
Annexe B : Lexique
Terme Définition
RGPD Règlement Général sur la Protection des Données (UE 2016/679)
CNIL Commission Nationale de l’Informatique et des Libertés (autorité française)
DPO Délégué à la Protection des Données (Data Protection Officer)
Donnée personnelle Toute information se rapportant à une personne physique identifiée ou identifiable
Traitement Toute opération portant sur des données personnelles (collecte, enregistrement, conservation, etc.)
Responsable de traitement Personne qui détermine les finalités et les moyens du traitement
Sous-traitant Personne qui traite des données pour le compte du responsable
Consentement Manifestation de volonté libre, spécifique, éclairée et univoque
Violation de données Brèche de sécurité entraînant la destruction, perte, altération ou divulgation non autorisée
Privacy Shield Cadre de protection des données UE-USA (remplacé par Data Privacy Framework)
Clauses contractuelles types Modèles de clauses approuvés par la Commission européenne pour les transferts
APPROBATION ET SIGNATURE
La présente Politique de Protection des Données a été approuvée par la direction de RETAKIT et s’impose à l’ensemble des employés, sous-traitants et partenaires.
Fait à Paris, le 26 février 2026
Thomas Martin
Président de RETAKIT SAS
Julien Dubois
Délégué à la Protection des Données
Document confidentiel – Diffusion contrôlée
Version électronique disponible sur l’intranet et sur demande au DPO
