Données personnelles
Politique de confidentialité
Draft v1 — à valider par un juriste avant publication.
Dernière mise à jour : 2026-02-17
1. Identité du responsable de traitement
Arthen
EURL au capital de 1 000 €
SIRET : Immatriculation en cours
Siège social : Auvergne, France
Contact : contact@arthen.fr
Ci-après « le Responsable de traitement ».
2. Données collectées et finalités
2.1 Données de facturation (lors de la commande)
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom ou raison sociale | Identification, facturation | Exécution du contrat (art. 6.1.b RGPD) |
| Adresse email | Envoi factures, notifications, support | Exécution du contrat |
| Adresse postale | Facturation, mentions légales des factures | Exécution du contrat |
| Pays | Détermination du taux de TVA applicable | Obligation légale (art. 6.1.c RGPD) |
| Numéro de TVA (B2B) | Vérification VIES, autoliquidation TVA | Obligation légale |
2.2 Données de paiement
Le paiement est traité par Stripe (Stripe Payments Europe Ltd). Arthen ne stocke aucune donnée de carte bancaire. Les données de paiement sont soumises à la politique de confidentialité de Stripe : https://stripe.com/fr/privacy
2.3 Données techniques (logs serveur)
| Donnée | Finalité | Base légale | Rétention |
|---|---|---|---|
| Adresse IP de connexion | Sécurité, détection d'abus, obligation LCEN | Intérêt légitime + obligation légale | 1 an (art. 6-II LCEN) |
| Logs accès HTTP (date, heure, ressource) | Sécurité, diagnostic incidents | Intérêt légitime (art. 6.1.f RGPD) | 90 jours |
| Logs WHMCS (actions compte, tickets) | Traçabilité, support | Exécution du contrat | Durée du contrat + 3 ans |
2.4 Données de support
Les échanges de support (tickets WHMCS, emails) sont conservés pendant la durée du contrat augmentée de 3 ans, pour gérer les litiges éventuels.
2.5 Données de navigation (Matomo)
Le site utilise Matomo, une solution d'analyse d'audience auto-hébergée sur les propres serveurs de Arthen, configurée en mode anonymisé :
- Aucun cookie n'est déposé sur votre appareil
- L'adresse IP est tronquée avant tout traitement (les 2 derniers octets sont masqués)
- Les données sont stockées en France, sur le serveur de Arthen
- Aucune donnée n'est transmise à des tiers
Ce dispositif est exempté du consentement conformément aux recommandations de la CNIL (délibération n°2020-091 du 17 septembre 2020, exemption analytique avec mesures d'anonymisation). Aucun bandeau cookies n'est requis pour ce seul outil de mesure d'audience.
2.6 Données d'infogérance serveur
Dans le cadre des services d'infogérance, le Prestataire agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Les modalités de traitement sont régies par l'Accord de traitement des données (DPA) annexé au contrat-cadre d'infogérance (MSA).
| Donnée | Finalité | Base légale |
|---|---|---|
| Logs système (IP, horodatage, événements) | Supervision, diagnostic incidents, sécurité | Exécution du contrat + intérêt légitime |
| Credentials d'accès serveur | Administration système, interventions | Exécution du contrat |
| Données stockées sur les serveurs gérés | Sauvegarde, restauration, maintien en condition opérationnelle | Exécution du contrat (instructions du Client) |
| Métriques de supervision (CPU, RAM, disque) | Monitoring 24/7, alerting, reporting | Exécution du contrat |
Les outils de supervision (Prometheus, Grafana) sont auto-hébergés sur l'infrastructure OVHcloud en France. Aucune donnée n'est transmise à des éditeurs tiers. En cas de violation de données, le Client est notifié sous 24 heures (cf. DPA article 5).
3. Sous-traitants et transferts de données
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVH SAS | Hébergement des serveurs (données clients, WHMCS, Matomo) | France (Gravelines / Roubaix) | Hébergeur français — droit français |
| Stripe Payments Europe | Traitement des paiements | Irlande (UE) | Clauses contractuelles types UE |
| WHMCS Ltd | Logiciel de facturation (licence ou auto-hébergé) | Selon configuration | DPA disponible sur demande |
Aucun transfert de données vers des pays hors UE/EEE, sauf Stripe qui opère sous garanties adéquates (clauses contractuelles types approuvées par la Commission européenne).
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Données de compte actif | Durée du contrat |
| Données post-résiliation | 3 ans (prescription civile) |
| Factures | 10 ans (obligation comptable art. L123-22 Code commerce) |
| Logs accès / IP | 1 an (obligation LCEN art. 6-II) |
| Logs HTTP | 90 jours |
| Données Matomo (navigation anonymisée) | 13 mois glissants |
5. Droits des personnes concernées
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :
- Accès (art. 15) : obtenir une copie de vos données personnelles
- Rectification (art. 16) : corriger des données inexactes
- Effacement (art. 17) : supprimer vos données (sous réserve des obligations légales)
- Limitation (art. 18) : limiter le traitement dans certains cas
- Portabilité (art. 20) : recevoir vos données dans un format structuré
- Opposition (art. 21) : s'opposer aux traitements basés sur l'intérêt légitime
Pour exercer vos droits : contact@arthen.fr (objet : « Demande RGPD — [votre nom] »). Réponse sous 30 jours. Une pièce d'identité pourra être demandée pour vérifier votre identité.
Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL : https://www.cnil.fr/fr/plaintes
6. Sécurité des données
Arthen met en œuvre les mesures suivantes :
- Chiffrement TLS/HTTPS sur tous les accès au site et à l'espace client
- Accès aux serveurs restreint par clé SSH et pare-feu
- Sauvegardes chiffrées quotidiennes, stockées sur un serveur distinct
- Accès aux données limité au personnel habilité (gérant unique en phase 0)
- Mots de passe hachés (bcrypt) dans WHMCS
7. Cookies
Cookies strictement nécessaires
WHMCS utilise un cookie de session pour maintenir votre connexion à l'espace client. Ce cookie est strictement nécessaire au fonctionnement du service et ne nécessite pas de consentement (directive ePrivacy, art. 5.3).
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
| WHMCSPH | Session espace client WHMCS | Session | Strictement nécessaire |
Mesure d'audience (Matomo sans cookies)
Matomo est configuré en mode sans cookies et avec anonymisation de l'IP. Ce dispositif est exempté de consentement (cf. section 2.5). Aucun cookie de tracking n'est déposé.
Absence de cookies tiers
Le site n'intègre aucun pixel de réseaux sociaux, aucun script Google Analytics, aucune police de caractères chargée depuis un CDN externe. Les polices sont auto-hébergées sur le serveur.
En conséquence : aucun bandeau de consentement aux cookies n'est affiché, conformément aux recommandations CNIL.
8. Modification de la politique
Cette politique peut être modifiée pour refléter les évolutions des traitements ou des obligations légales. La date de dernière mise à jour est indiquée en en-tête. Les modifications substantielles sont notifiées par email aux clients actifs.