Traitement des données
Cette page décrit les données personnelles que ConsentForge traite lorsqu'il opère en votre nom.
Données collectées auprès des visiteurs de votre site
Lorsqu'un visiteur interagit avec la bannière ConsentForge, les données suivantes sont collectées :
| Donnée | Mode de stockage | Conservation |
|---|---|---|
| Choix de consentement (accepter/refuser par catégorie) | Haché, dans le reçu de consentement | 7 ans |
| Horodatage de la décision | UTC, dans le reçu de consentement | 7 ans |
| Adresse IP | Hachage SHA-256 uniquement — l'IP brute n'est jamais stockée | 7 ans |
| Agent utilisateur | Hachage SHA-256 uniquement — l'UA brut n'est jamais stocké | 7 ans |
| Version de la politique au moment de la décision | Dans le reçu de consentement | 7 ans |
| Version de la bannière au moment de la décision | Dans le reçu de consentement | 7 ans |
Aucune DCP brute n'est stockée. Les adresses IP et les agents utilisateurs sont hachés de manière irréversible avant stockage.
Base juridique pour la propre collecte de données de ConsentForge
ConsentForge traite les données des visiteurs sur la base des intérêts légitimes (Art. 6(1)(f) GDPR) : l'enregistrement des décisions de consentement est nécessaire pour vous permettre de démontrer votre conformité. Ce traitement est inhérent au service.
Localisation des données
Toute l'infrastructure ConsentForge est hébergée dans l'Union Européenne (Francfort, Allemagne). Les données ne quittent pas l'UE.
Accord de traitement des données
ConsentForge agit en tant que sous-traitant au sens de l'Art. 28 du GDPR. Vous (le propriétaire du site web) êtes le responsable du traitement.
Un DPA pré-signé est disponible dans Tableau de bord → Compte → Juridique → Accord de traitement des données.
Conservation des reçus de consentement
Les reçus de consentement sont conservés pendant 7 ans pour satisfaire aux obligations d'audit GDPR. Vous pouvez exporter les reçus à tout moment via :
- Tableau de bord → Preuves → Exporter
- API :
GET /api/v1/receipts
Droit à l'effacement (Art. 17 GDPR)
Étant donné que les reçus de consentement sont stockés uniquement sous forme d'identifiants hachés (sans DCP brutes), il n'est pas possible d'identifier ou de supprimer des enregistrements appartenant à une personne spécifique — le hachage est irréversible. Cette conception est intentionnelle et réduit vos obligations d'effacement GDPR pour les enregistrements de consentement.
Notification de violation de données
En cas de violation de données affectant les données de votre tenant, ConsentForge vous notifiera dans les 72 heures conformément à l'Art. 33 du GDPR. La notification sera envoyée à l'adresse email principale de votre compte.