Traitement des données
Cette page décrit les données personnelles que ConsentForge traite lorsqu'il opère pour votre compte.
Données collectées auprès des visiteurs de votre site
Lorsqu'un visiteur interagit avec la bannière ConsentForge, les données suivantes sont collectées :
| Donnée | Mode de stockage | Conservation |
|---|---|---|
| Choix de consentement (accepter/refuser par catégorie) | Haché, dans le reçu de consentement | 7 ans |
| Horodatage de la décision | UTC, dans le reçu de consentement | 7 ans |
| Adresse IP | Hash SHA-256 uniquement — IP brute jamais stockée | 7 ans |
| Agent utilisateur | Hash SHA-256 uniquement — UA brut jamais stocké | 7 ans |
| Version de politique au moment de la décision | Dans le reçu de consentement | 7 ans |
| Version de bannière au moment de la décision | Dans le reçu de consentement | 7 ans |
Aucune DCP brute n'est stockée. Les adresses IP et agents utilisateurs sont hachés à sens unique avant le stockage.
Base juridique de la collecte de données propre à ConsentForge
ConsentForge traite les données des visiteurs sous l'intérêt légitime (Art. 6(1)(f) RGPD) : l'enregistrement des décisions de consentement est nécessaire pour vous permettre de démontrer la conformité. Ce traitement est inhérent au service.
Localisation des données
Toute l'infrastructure ConsentForge est hébergée dans l'Union européenne (Francfort, Allemagne). Les données ne quittent pas l'UE.
Accord de traitement des données
ConsentForge agit en tant que sous-traitant en vertu de l'Art. 28 RGPD. Vous (le propriétaire du site) êtes le responsable du traitement.
Un ATD pré-signé est disponible dans Tableau de bord → Compte → Juridique → Accord de traitement des données.
Conservation des reçus de consentement
Les reçus de consentement sont conservés pendant 7 ans pour soutenir les obligations d'audit RGPD. Vous pouvez exporter les reçus à tout moment via :
- Tableau de bord → Preuves → Exporter
- API :
GET /api/v1/receipts
Droit à l'effacement (Art. 17 RGPD)
Étant donné que les reçus de consentement sont stockés uniquement sous forme d'identifiants hachés (aucune DCP brute), il n'est pas possible d'identifier ou de supprimer des enregistrements appartenant à un individu spécifique — le hash est irréversible. Cette conception est intentionnelle et réduit vos obligations d'effacement RGPD pour les enregistrements de consentement.
Notification de violation de données
En cas de violation de données affectant les données de votre tenant, ConsentForge vous notifiera dans les 72 heures conformément à l'Art. 33 RGPD. La notification sera envoyée à l'adresse email principale de votre compte.