Politique de Confidentialité
Cédric SANTIAGO — Entrepreneur individuel
Version 1.0 — En vigueur au 1er mai 2026
1. Préambule
La présente Politique de Confidentialité décrit la manière dont Monsieur Cédric SANTIAGO (ci-après le « Responsable de traitement » ou « nous ») collecte, traite et protège les données à caractère personnel des visiteurs du site https://www.cedricsantiago.com et de ses prospects, clients et contacts professionnels.
Elle est rédigée en application du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et de la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).
2. Identité du Responsable de traitement
| Dénomination | Cédric SANTIAGO — Entrepreneur individuel |
| Forme juridique | Entrepreneur individuel (loi n° 2022-172 du 14 février 2022) |
| Siège | 12 Rue de la Part Dieu, 69003 Lyon |
| RCS | Lyon, n° 977 573 914 |
| SIRET | 977 573 914 00032 |
| Contact RGPD | contact@cedricsantiago.com |
| Téléphone | 07 45 28 82 10 |
Compte tenu de la nature et du volume des traitements, le Responsable de traitement n'a pas désigné de Délégué à la Protection des Données (DPO), sa désignation n'étant pas obligatoire au sens de l'article 37 du RGPD. Toute demande relative aux données personnelles peut être adressée directement à contact@cedricsantiago.com.
3. Données collectées, finalités, bases légales et durées
| Finalité | Données collectées | Base légale (Art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Formulaire de contact | Nom, prénom, email, téléphone, message | Consentement (case opt-in) ou intérêt légitime (réponse à demande) | 3 ans à compter du dernier contact (recommandation CNIL) |
| Newsletter / communications | Email, prénom | Consentement explicite | Jusqu'au désabonnement (lien dans chaque email) |
| Prospection commerciale B2B | Nom, fonction, email professionnel, entreprise | Intérêt légitime (Art. 6.1.f RGPD), conformément aux lignes directrices CNIL B2B | 3 ans à compter du dernier contact |
| Relation contractuelle Client | Identification, coordonnées, données contractuelles, RIB | Exécution du contrat (Art. 6.1.b RGPD) | Durée du contrat + 5 ans (prescription commerciale Art. L110-4 C. com.) |
| Facturation et comptabilité | Identification, montants, factures | Obligation légale (Art. 6.1.c RGPD) | 10 ans (Art. L123-22 C. com.) |
| Logs serveur (sécurité) | Adresse IP, user-agent, horodatage, URL, codes HTTP | Intérêt légitime (sécurité du SI) | 6 mois par défaut (recommandation CNIL), prolongation à 12 mois sur incident caractérisé ou besoin forensique documenté |
| Mesure d'audience (Matomo cookieless) | Hash configId pseudonymisé, pages vues, durée de visite, IP anonymisée (2 derniers octets masqués) — aucun cookie déposé | Exemption Art. 82 LIL (Délib. CNIL n° 2020-091 du 17 septembre 2020) | 13 mois maximum (recommandation CNIL) |
| Cookies techniques | Identifiant de session, préférences utilisateur | Intérêt légitime / strictement nécessaires (Art. 82 LIL — exemption de consentement) | Session ou 6 mois |
Aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, religieuses, etc.) n'est collectée.
4. Destinataires et sous-traitants
Vos données peuvent être transmises aux destinataires et sous-traitants suivants, sélectionnés pour leurs garanties RGPD et liés au Responsable de traitement par un accord de sous-traitance conforme à l'article 28 RGPD :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| OVHcloud SAS | Hébergement infrastructure (serveurs dédiés Proxmox), registrar de noms de domaine, NFS de sauvegarde | France (UE) — datacenters Strasbourg, Gravelines, Roubaix | DPA OVH — pas de transfert hors UE |
| Cloudflare, Inc. | DNS, CDN, protection DDoS, WAF | États-Unis / réseau mondial avec proxys UE | Clauses Contractuelles Types (Décision UE 2021/914) + EU-US Data Privacy Framework + Cloudflare DPA |
| Postmark (Wildbit, LLC / ActiveCampaign) | Envoi d'emails transactionnels (notifications, signatures Documenso) | États-Unis (AWS US-East) | Clauses Contractuelles Types (Décision UE 2021/914) + EU-US Data Privacy Framework + Postmark DPA, mesures complémentaires (chiffrement TLS) |
| Proton AG | Messagerie professionnelle (Proton Mail) et alias email (SimpleLogin) | Suisse | Décision d'adéquation Suisse (Décision 2000/518/CE) — assimilation au régime UE |
| Documenso (auto-hébergé) | Signature électronique | France (datacenter OVH), serveur Cédric Santiago | Pas de tiers — traitement sous notre responsabilité directe |
| Stripe Payments Europe, Limited | Encaissement de paiements en ligne | Irlande (UE) avec routage technique potentiel États-Unis | Stripe DPA + Clauses Contractuelles Types ; carte bancaire jamais transmise au Responsable de traitement (tokenisation PCI-DSS) |
| Indy SAS | Logiciel SaaS de tenue comptable et fiscale (déclarations TVA, livre des recettes) | France (UE) | DPA Indy — pas de transfert hors UE |
| Hiscox SA | Assurance RC professionnelle (en cas de sinistre) | Luxembourg / France (UE) | Cadre Hiscox |
Aucune de vos données n'est cédée, vendue ou louée à des tiers à des fins commerciales.
Transferts hors Union européenne
Les flux sortant de l'UE concernent principalement Cloudflare (États-Unis) et Postmark (États-Unis). Ces transferts sont encadrés cumulativement par : (i) les Clauses Contractuelles Typesadoptées par la décision d'exécution (UE) 2021/914 du 4 juin 2021 et (ii) l'auto-certification de ces sous-traitants au EU-U.S. Data Privacy Framework, reconnu adéquat par la décision d'exécution (UE) 2023/1795 du 10 juillet 2023. Une analyse de transfert (TIA) a été conduite ; un résumé peut être obtenu sur demande.
Les données transférées vers Postmark se limitent à l'adresse email, au nom du destinataire et au contenu strictement nécessaire de l'email. Les données traitées par Cloudflare au titre du proxy CDN/DNS se limitent aux métadonnées de connexion (IP, en-têtes HTTP, requête).
5. Cookies et traceurs
5.1 Cookies déposés sur votre terminal
Le site utilise uniquement des cookies strictement nécessairesau fonctionnement (session, sécurité, préférences utilisateur). Conformément à l'article 82 de la loi Informatique et Libertés, ces cookies sont exemptés de consentementcar ils ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou de fournir un service expressément demandé par l'utilisateur.
Aucun cookie publicitaire, de réseau social tiers ou de mesure d'audience non exemptée n'est déposé.
5.2 Mesure d'audience cookieless (Matomo)
La fréquentation du site est mesurée via une instance Matomo auto-hébergée sur les serveurs du Responsable de traitement, configurée en mode cookieless : aucun cookie ni traceur n'est déposé sur votre terminal.
Cette mesure d'audience bénéficie de l'exemption de consentement prévue par la délibération CNIL n° 2020-091 du 17 septembre 2020 au regard du strict respect des conditions cumulatives suivantes :
- anonymisation de l'adresse IP (deux derniers octets masqués) ;
- absence de croisementavec d'autres traitements et absence de tracking inter-sites (le suivi est strictement limité au site cedricsantiago.com) ;
- pas d'usage commercial ni de profilage — finalité strictement statistique (audience globale, pages populaires) à destination interne ;
- durée de conservation limitée à 13 mois maximum.
5.3 Gestion
Le site n'utilisant que des cookies strictement nécessaires et une mesure d'audience exemptée, aucun bandeau de recueil de consentement n'est requis au sens de l'article 82 LIL.
Vous pouvez à tout moment supprimer les cookies déjà déposés et bloquer le dépôt de nouveaux cookies via les paramètres de votre navigateur.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
| Droit | Article RGPD | Description |
|---|---|---|
| Accès | Art. 15 | Obtenir confirmation que vos données sont traitées et en recevoir une copie |
| Rectification | Art. 16 | Corriger des données inexactes ou compléter des données incomplètes |
| Effacement | Art. 17 | Demander la suppression de vos données (« droit à l'oubli ») |
| Limitation | Art. 18 | Demander la suspension temporaire du traitement |
| Portabilité | Art. 20 | Recevoir vos données dans un format structuré et lisible |
| Opposition | Art. 21 | Vous opposer à un traitement, notamment à la prospection |
| Retrait du consentement | Art. 7 | Retirer à tout moment un consentement donné |
| Directives post-mortem | Art. 85 LIL | Définir le sort de vos données après votre décès |
6.1 Comment exercer vos droits
Toute demande peut être adressée par email à contact@cedricsantiago.com ou par courrier au siège ci-dessus, en justifiant de votre identité. Une réponse vous est apportée dans un délai d'un (1) mois, prolongeable de deux mois en cas de complexité (Art. 12 RGPD).
6.2 Droit de réclamation auprès de l'autorité de contrôle
Conformément à l'article 77 du RGPD, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Par voie postale : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- En ligne : https://www.cnil.fr/fr/plaintes
6.3 Directives post-mortem
Conformément à l'article 85 de la loi n° 78-17 du 6 janvier 1978, toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives peuvent être :
- générales, enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL ;
- particulières, communiquées directement au Responsable de traitement à l'adresse
contact@cedricsantiago.comet concernant uniquement les traitements visés par la présente Politique.
À défaut de directives, les héritiers peuvent exercer certains droits dans les conditions de l'article 85 II de la loi.
7. Sécurité des données
Conformément à l'article 32 du RGPD, le Responsable de traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données traitées, notamment :
- Chiffrement en transit: TLS 1.3 sur l'ensemble des sites et API ;
- Chiffrement au repos: disques chiffrés sur les serveurs d'hébergement ;
- Authentification forte : mots de passe robustes et authentification à deux facteurs (MFA) sur les comptes administrateurs ;
- Sauvegardes : sauvegardes chiffrées avec test de restauration périodique ;
- Cloisonnement : séparation des environnements clients et des données comptables ;
- Mises à jour de sécurité: application régulière des correctifs sur l'ensemble des serveurs ;
- Journalisation: conservation des logs d'accès et d'administration sur 6 mois par défaut (recommandation CNIL), prolongation à 12 mois sur incident caractérisé ou besoin forensique documenté ;
- Procédure de notification de violation : déclaration à la CNIL sous 72 heures en cas d'incident (Art. 33 RGPD).
8. Décision automatisée et profilage
Conformément à l'article 22 du RGPD, le Responsable de traitement ne met en œuvre aucune décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou affectant significativement la personne concernée. Aucune opération de profilageau sens de l'article 4 point 4 du RGPD n'est réalisée sur les visiteurs du site ou les contacts professionnels.
9. Mineurs
Les services proposés s'adressent à un public professionnel adulte. Aucune donnée concernant un mineur de moins de 15 ans n'est collectée sciemment. En cas de collecte involontaire, les données seront supprimées sans délai sur signalement à contact@cedricsantiago.com.
10. Modifications
La présente Politique de Confidentialité peut être mise à jour pour tenir compte de l'évolution des traitements ou de la réglementation. La version applicable est celle accessible à l'adresse https://www.cedricsantiago.com/politique-confidentialite, datée en tête du document. En cas de modification substantielle, les utilisateurs concernés seront informés par email ou par notification sur le site.
11. Contact
Pour toute question relative à la présente Politique ou à vos données personnelles :
- Email : contact@cedricsantiago.com
- Courrier : Cédric SANTIAGO — 12 Rue de la Part Dieu, 69003 Lyon
Document mis à jour le 1er mai 2026 — Version 1.0.
Cédric SANTIAGO — Entrepreneur individuel
RCS Lyon 977 573 914 — SIRET 977 573 914 00032