Sommaire
1. Responsable de traitement
S2M Consulting — SAS au capital variable
SIREN 819 859 273 — RCS Paris — TVA FR47 819 859 273
Siège : 10 rue des Rambervilliers, 75012 Paris, France
Représentant légal : Tom Weisz, Président
Référent données / contact RGPD : rgpd@comptao.eu
S2M Consulting agit en qualité de responsable de traitement unique au sens du Règlement (UE) 2016/679 (« RGPD ») pour l'ensemble de ses activités, y compris celles opérées sous ses différentes marques (cf. § 9).
Aucun délégué à la protection des données (DPO) n'est désigné, S2M Consulting n'étant pas soumise à cette obligation au regard de l'article 37 RGPD. Le référent désigné est Tom Weisz, Président.
2. Base légale et finalités
2.1 Prospection commerciale B2B
Lorsque nous vous contactons dans le cadre de campagnes de prospection commerciale B2B (notamment via l'outil interne SalesAuto), le traitement repose sur l'intérêt légitime de S2M Consulting (article 6.1.f RGPD), à savoir le développement de son activité commerciale auprès d'autres professionnels.
Cet intérêt légitime fait l'objet d'un test de mise en balance documenté (LIA — Legitimate Interest Assessment) ; vous conservez à tout moment un droit d'opposition immédiat et inconditionnel (cf. § 8).
2.2 Contact entrant et relation contractuelle
Lorsque vous nous contactez de votre propre initiative ou que vous concluez un contrat avec nous, le traitement repose sur l'exécution de mesures précontractuelles ou contractuelles (article 6.1.b RGPD), ainsi que sur nos obligations légales (article 6.1.c RGPD : facturation, comptabilité).
2.3 Finalités
- Prospection, qualification et prise de contact B2B
- Réponse aux demandes adressées via nos formulaires ou nos adresses de contact
- Gestion de la relation contractuelle et exécution des prestations
- Respect des obligations légales (comptables, fiscales, RGPD)
- Sécurité du système d'information et journalisation
3. Information des personnes (articles 13 & 14 RGPD)
Conformément aux articles 13 et 14 du RGPD, lorsque nous prenons contact avec vous dans le cadre d'une prospection B2B, nous vous communiquons (dans le premier email ou via lien direct) :
- Notre identité et coordonnées (cf. § 1)
- La finalité (prospection commerciale B2B) et la base légale (intérêt légitime)
- La source des données (annuaires publics, sites professionnels, registres officiels — précisée au cas par cas)
- La durée de conservation (cf. § 7)
- Vos droits RGPD et les modalités de leur exercice (cf. § 8)
- Le droit de réclamation auprès de la CNIL (cf. § 11)
Lorsque les données sont collectées indirectement (article 14 RGPD), nous indiquons explicitement leur source.
4. Catégories de données traitées
Dans le cadre de la prospection B2B, nous traitons exclusivement des données relevant de la sphère professionnelle :
- Identité professionnelle : nom, prénom, fonction
- Coordonnées professionnelles : email, téléphone, adresse postale du lieu d'exercice
- Données relatives à l'entreprise : raison sociale, SIREN, secteur, taille
- Données d'activité publique : publications, mentions presse, actualité d'entreprise
- Données techniques liées à nos échanges : statut d'envoi, ouvertures, désinscriptions, journaux d'accès
Aucune donnée sensible au sens de l'article 9 RGPD n'est collectée. Aucune donnée de mineur n'est ciblée.
5. Destinataires et sous-traitants
Vos données sont traitées en interne par les seuls membres habilités de S2M Consulting. Elles peuvent être transmises aux sous-traitants techniques suivants, encadrés par un Data Processing Addendum (DPA) :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Hostinger International Ltd | Hébergement infrastructure | France |
| Amazon Web Services (AWS SES) | Envoi d'emails transactionnels | UE — eu-west-3 (Paris) |
| Zoho Corporation | Outils collaboratifs et messagerie | UE (région européenne activée) |
| Backblaze Inc. | Sauvegardes chiffrées | UE (région européenne) / US |
| Anthropic, PBC | Assistance IA (génération de contenu) | États-Unis |
| Google LLC | Workspace, services cloud bureautique | UE / États-Unis |
| OpenRouter Inc. | Accès à des modèles d'IA tiers | États-Unis |
| Brevo (ex-Sendinblue) | Routage email marketing complémentaire | France |
| Telegram FZ-LLC | Notifications opérationnelles internes | UE |
La liste à jour des sous-traitants peut être obtenue sur simple demande à rgpd@comptao.eu.
6. Transferts internationaux
Certains sous-traitants peuvent être amenés à traiter vos données en dehors de l'Espace économique européen, notamment aux États-Unis (Anthropic, OpenRouter, Google, Backblaze).
Ces transferts sont encadrés conformément au chapitre V du RGPD :
- Data Privacy Framework (DPF) UE-US : adhésion vérifiée des sous-traitants concernés, conformément à la décision d'adéquation de la Commission européenne du 10 juillet 2023.
- Clauses Contractuelles Types (CCT) de la Commission européenne, en complément ou substitution.
- Transfer Impact Assessment (TIA) documenté pour chaque transfert.
- DPA signé avec chaque sous-traitant.
7. Durées de conservation
| Catégorie | Durée | Base |
|---|---|---|
| Prospect B2B non répondant | 3 ans à compter du dernier contact effectif | Délibération CNIL n°2016-264 |
| Client en relation contractuelle | Durée du contrat | Exécution contractuelle |
| Client après fin de relation | 5 ans | Art. 2224 C.civ. (prescription) |
| Pièces comptables | 10 ans | Art. L123-22 C.com. |
| Logs d'audit / sécurité | 6 mois à 1 an actif, 5 ans archivé | Recommandation CNIL / ANSSI |
| Liste d'opposition (opt-outs) | Permanente | Effectivité du droit d'opposition |
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès à vos données personnelles
- Rectification en cas d'inexactitude
- Effacement (« droit à l'oubli »)
- Opposition au traitement à des fins de prospection (à tout moment, sans délai)
- Limitation du traitement
- Portabilité des données
- Retrait du consentement à tout moment, lorsque le traitement repose sur celui-ci
Pour exercer ces droits, écrivez-nous à rgpd@comptao.eu. Une procédure détaillée est décrite sur notre page exercice des droits RGPD.
Désinscription des emails de prospection (opt-out)
Chaque email de prospection comporte un lien de désinscription un-clic conforme à la RFC 8058 (header List-Unsubscribe) ainsi qu'un lien textuel cliquable. La prise en compte est immédiate et l'adresse est ajoutée définitivement à notre liste d'opposition.
Délais de réponse
Conformément à l'article 12.3 du RGPD, nous répondons dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires pour les demandes complexes ; vous serez alors informé de cette prolongation et de ses motifs.
9. Mutualisation des marques opérées par S2M Consulting
Les demandes d'exercice des droits RGPD relatives à toutes les marques opérées par S2M Consulting (Comptao, Artisan 360, TxLens, TxLens Pro, S2M Vision) sont centralisées sur l'adresse rgpd@comptao.eu.
Comptao est un nom commercial / une marque opérée par S2M Consulting, qui demeure le responsable unique du traitement au sens du RGPD pour l'ensemble de ces marques.
Cette mutualisation administrative ne crée aucune confusion sur l'identité du responsable de traitement : il s'agit en toutes circonstances de S2M Consulting (SAS, SIREN 819 859 273).
10. Sécurité (article 32 RGPD)
- Bases de données chiffrées au repos (LUKS) et connexions TLS uniquement
- Sauvegardes chiffrées AES-256-GCM, gestion des secrets en coffre-fort dédié
- Authentification multifacteur sur tous les accès administrateurs
- Journalisation et traçabilité des accès aux données personnelles
- Politique de mots de passe conforme aux recommandations CNIL / ANSSI
- Revue de sécurité annuelle
En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, S2M Consulting notifie la CNIL dans un délai de 72 heures (article 33 RGPD) et, le cas échéant, vous en informe directement (article 34 RGPD).
11. Réclamation auprès de la CNIL
Vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Site : www.cnil.fr
Téléservice de plainte : www.cnil.fr/fr/plaintes
Nous vous invitons toutefois à nous contacter au préalable à rgpd@comptao.eu afin que nous puissions répondre à vos préoccupations dans les délais légaux.
Évolutions de la présente politique
La présente politique pourra évoluer pour refléter des évolutions législatives, jurisprudentielles ou organisationnelles. La date de dernière mise à jour figure en tête de page. Une revue annuelle est prévue.