Version : 3.1 Date d'entrée en vigueur : 02 juin 2026 Dernière mise à jour : 03 juin 2026 (mesure d'audience Matomo désormais soumise à consentement - IP complète)
La présente politique décrit la manière dont Dativo SAS collecte, utilise et protège les données personnelles dans le cadre du service MonAuditPA, accessible à l'adresse https://www.monauditpa.fr et sur les sous-domaines partenaires {slug}.monauditpa.fr.
Elle est rédigée conformément au règlement (UE) 2016/679 (RGPD), à la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés ») et, pour la transparence du recours à l'intelligence artificielle, au règlement (UE) 2024/1689 (« AI Act »).
1. Modèle d'activité et rôles RGPD
Le service MonAuditPA fonctionne principalement selon un modèle de vente indirecte (revente en marque blanche) :
`` Client final ──[€]──> Partenaire ──[€]──> Dativo SAS ``
Dativo SAS commercialise le service à des Partenaires professionnels (cabinets conseil, intégrateurs, éditeurs, experts-comptables, etc.) qui le revendent à leurs propres clients (les « clients finaux ») sous leur marque, via un lien personnel (« magic link ») transmis au client final.
Trois catégories de personnes voient leurs données traitées par le service, avec des rôles RGPD distincts :
| Personne concernée | Donnée traitée | Rôle de Dativo | Rôle du Partenaire |
|---|---|---|---|
| Utilisateur du Partenaire (Administrateur, Comptabilité, Commerce) | Compte utilisateur, journaux d'activité, facturation | Responsable de traitement | - |
| Client final auditeur du partenaire (et personnes physiques apparaissant dans les documents qu'il téléverse) | Réponses au questionnaire, factures et documents téléversés, contenu du rapport | Sous-traitant (art. 28 RGPD) | Responsable de traitement |
| Visiteur du site public | Adresse IP (mesure d'audience soumise à consentement), cookies techniques | Responsable de traitement | - |
L'accord de sous-traitance entre Dativo et le Partenaire figure à l'article 17 des Conditions Générales de Vente.
2. Responsable du traitement
Dénomination : Dativo SAS (société par actions simplifiée), au capital de 1 000 € Représentant légal : M. Guillaume BACA, Président Adresse du siège social : 274 rue du Bas, 80300 Senlis-le-Sec, France SIREN : 105 137 061 - RCS : Amiens 105 137 061 TVA intracommunautaire : FR78 105 137 061 Email de contact général : audit@monauditpa.fr
3. Contact dédié à la protection des données
Pour toute question relative au traitement de vos données personnelles, à l'exercice de vos droits ou à la conformité au RGPD :
- Email : dpo@monauditpa.fr
- Courrier : Dativo SAS - Protection des données - 274 rue du Bas, 80300 Senlis-le-Sec, France
4. Données collectées et caractère obligatoire
4.1 Côté Partenaire (utilisateurs de l'espace partenaire)
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse e-mail professionnelle | Obligatoire | Identification et envoi des invitations / notifications |
| Mot de passe (hash bcrypt) | Obligatoire | Authentification sécurisée |
| Identité du Partenaire (raison sociale, SIRET, code NAF, adresse) | Obligatoire | Contractualisation et facturation |
| Rôle utilisateur (Administrateur, Comptabilité, Commerce) | Obligatoire | Gestion des habilitations |
| Identité et coordonnées du dirigeant signataire | Obligatoire | Signature du Contrat Partenaire |
| Référence interne de bon de commande (PO) | Facultatif | Affichage sur devis et factures |
| Données de paiement (Stripe) | Obligatoire | Achat de slots - Dativo ne stocke aucune donnée bancaire en clair |
4.2 Côté client final (audit via magic link)
Pour ces données, le Partenaire est responsable de traitement et Dativo est sous-traitant (art. 28 RGPD).
| Donnée | Caractère | Finalité |
|---|---|---|
| Numéro SIREN du client final | Obligatoire | Génération du magic link et exécution de l'audit |
| Données publiques d'entreprise issues de l'API Sirene INSEE (raison sociale, forme juridique, code NAF, adresse, effectifs) | Automatique | Pré-remplissage de la fiche client |
| Identité et fonction du répondant (saisies dans le questionnaire) | Selon le client final | Réalisation de l'audit |
| Réponses au questionnaire d'audit | Obligatoire | Réalisation de l'audit |
| Factures et documents téléversés (le cas échéant) | Facultatif | Pré-analyse automatisée des formats et des mentions obligatoires |
| Données présentes dans les documents téléversés (noms, e-mails et téléphones professionnels, IBAN, montants, références) | Selon le contenu | Analyse de conformité ; rétention limitée à 30 jours après remise du rapport |
4.3 Lors de la navigation sur le site
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse IP complète | Soumise à votre consentement | Mesure d'audience via Matomo (§12.2) |
Cookies techniques (PHPSESSID, csrf_token) |
Automatique | Fonctionnement du site et sécurité |
Conséquence d'un refus de fournir les données obligatoires : l'impossibilité de souscrire en tant que Partenaire ou, pour le client final, l'impossibilité d'accéder à l'audit que son Partenaire lui a transmis.
5. Finalités et bases légales
| Finalité | Base légale | Référence |
|---|---|---|
| Création et gestion du compte Partenaire | Exécution du contrat ou mesures précontractuelles | Art. 6.1.b RGPD |
| Réalisation de l'audit pour le compte du Partenaire (sous-traitance) | Sous-traitance, l'instruction venant du Partenaire (responsable de traitement) | Art. 28 RGPD |
| Génération du rapport d'audit et personnalisation marque blanche | Exécution du contrat | Art. 6.1.b RGPD |
| Envoi d'e-mails transactionnels aux utilisateurs du Partenaire (confirmation, facturation, sécurité) | Exécution du contrat | Art. 6.1.b RGPD |
| Facturation et conservation des pièces comptables | Obligation légale | Art. 6.1.c RGPD - L.123-22 Code de commerce |
| Sécurité du Service et prévention de la fraude | Intérêt légitime | Art. 6.1.f RGPD |
| Mesure d'audience (Matomo, IP complète) | Consentement | Art. 6.1.a RGPD + art. 82 LIL |
| Prospection commerciale B2B de Partenaires potentiels | Intérêt légitime | Art. 6.1.f RGPD + doctrine CNIL B2B |
5.1 Justification des intérêts légitimes (art. 13.1.d RGPD)
Une mise en balance a été conduite entre nos intérêts et les droits des personnes concernées :
- Sécurité du Service : intérêt de protéger l'intégrité du système (rate-limit, journalisation, prévention des abus) proportionné aux droits des personnes (logs limités, accès restreint).
- Prospection B2B : ciblage exclusivement de structures professionnelles susceptibles de proposer le service à leurs clients (cabinets, intégrateurs, etc.), proportionné, avec opposition simple et gratuite (lien de désinscription).
Vous pouvez à tout moment vous opposer à un traitement fondé sur l'intérêt légitime (article 10 ci-dessous).
6. Recours à l'intelligence artificielle et transparence
6.1 Périmètre
Le rapport d'audit est généré par un traitement automatisé combinant : (i) un moteur déterministe (règles métier codées par Dativo confrontant les réponses au cadre réglementaire) qui produit les scores, la grille de criticité, le plan d'action priorisé, le risque financier et les références juridiques ; et (ii) un modèle de langage fourni par Anthropic PBC (États-Unis) qui rédige certaines sections (synthèse exécutive, paragraphes d'analyse sectorielle, commentaires d'analyse par axe, paragraphes de conclusion).
6.2 Données transmises au modèle - minimisation
Les données transmises au modèle sont strictement minimisées : profil d'entreprise (secteur d'activité, taille, régime TVA, vague d'obligation), scores par axe, libellés des non-conformités. Ni le SIREN, ni la raison sociale, ni l'adresse, ni l'e-mail ne sont transmis au modèle.
6.3 Conditions contractuelles avec Anthropic
Conformément aux engagements contractuels d'Anthropic applicables aux appels API de production, les données ne sont pas réutilisées pour l'entraînement du modèle (opt-out par défaut) et font l'objet d'une rétention opérationnelle limitée à trente (30) jours maximum à des fins de sécurité et de prévention des abus, puis supprimées.
6.4 Transfert hors UE
Les États-Unis ne bénéficient pas, pour Anthropic, d'une décision d'adéquation. Le transfert est encadré par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46.2.c du RGPD.
6.5 Transparence (art. 50 du règlement (UE) 2024/1689 - AI Act)
Le Partenaire et le client final sont informés, dans les présentes, dans les Conditions Générales de Vente et dans la section « Mentions légales » du rapport PDF, de l'existence et du périmètre du traitement par IA, des sections rédigées par IA, du modèle utilisé, des données transmises et des droits des personnes.
6.6 Qualification juridique - pas de décision automatisée au sens de l'art. 22 du RGPD
Le traitement, ainsi minimisé et combiné à un moteur déterministe, ne constitue pas une décision automatisée produisant des effets juridiques au sens de l'article 22 du RGPD. Le rapport demeure un outil d'aide à la décision.
Néanmoins, par mesure de transparence et à titre supplétif, le Partenaire et le client final peuvent à tout moment :
- demander une intervention humaine : relecture, commentaire ou correction manuelle du rapport généré ;
- exprimer leur point de vue sur le contenu du rapport ;
- contester les conclusions et en demander le réexamen.
Ces demandes s'exercent : pour les utilisateurs du Partenaire, à dpo@monauditpa.fr ; pour les clients finaux, auprès du Partenaire, responsable de traitement, qui sollicitera l'appui de Dativo en sous-traitance.
7. Destinataires et sous-traitants (art. 28 RGPD)
7.1 Sous-traitants ultérieurs de Dativo
Conformément à l'autorisation générale figurant à l'article 17 des CGV, Dativo recourt aux sous-traitants ultérieurs suivants, encadrés par les DPA de leurs prestataires (art. 28 du RGPD) :
| Sous-traitant | Finalité | Localisation | Encadrement |
|---|---|---|---|
| Stripe Payments Europe Ltd | Traitement des paiements CB et SEPA des Partenaires | Irlande (UE) + États-Unis | SCCs (décision 2021/914) + DPF (Stripe Inc.) |
| Brevo (ex-Sendinblue) | Envoi d'e-mails transactionnels aux utilisateurs du Partenaire et notifications | France | DPA du prestataire (art. 28 RGPD) |
| OVH SAS | Hébergement du site et de la base de données | France (Gravelines / Roubaix) | DPA du prestataire (art. 28 RGPD) |
| Anthropic PBC | Modèle de langage (Claude) pour la rédaction de certaines sections du rapport - données minimisées (cf. § 6) | États-Unis | Clauses contractuelles types (art. 46 RGPD) |
Toute modification (ajout ou remplacement) sera notifiée au Partenaire au moins quinze (15) jours à l'avance, avec droit d'objection motivée.
7.2 Sources de données externes (non sous-traitants)
Ces organismes ne sont pas nos sous-traitants ; ils mettent à disposition des données publiques dans le cadre de leurs missions de service public.
| Source | Donnée récupérée | Fondement |
|---|---|---|
| INSEE - API Sirene | Raison sociale, forme juridique, adresse, code NAF, effectifs à partir du SIREN | Licence ouverte Etalab |
7.3 Cas particulier : documents téléversés par le client final
Lorsque le client final téléverse ses propres factures, ces documents peuvent contenir des données personnelles de tiers (contacts commerciaux, dirigeants, signataires). Pour ces données :
- Le client final et son Partenaire demeurent collectivement responsables de traitement, dans les conditions de leur contrat respectif et de la base légale dont ils disposent.
- Dativo intervient en qualité de sous-traitant au sens de l'article 28 du RGPD.
- Les documents sont utilisés uniquement pour l'analyse nécessaire à l'audit et supprimés dans un délai maximal de 30 jours après la remise du rapport.
8. Transferts de données hors Union européenne
Certains sous-traitants ultérieurs (Stripe pour ses opérations US, Anthropic) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46.2.c du RGPD ;
- pour Stripe Inc., la certification EU-US Data Privacy Framework (décision d'adéquation du 10 juillet 2023) ;
- pour Anthropic, transfert fondé sur les SCCs (clauses contractuelles types, art. 46 RGPD).
Aucune donnée directement identifiante (nom, e-mail, SIREN en clair) n'est transmise au modèle d'Anthropic. Seules des données structurées et minimisées sont envoyées, après pseudonymisation. Nous attirons l'attention sur le fait que la pseudonymisation n'équivaut pas à une anonymisation irréversible au sens du considérant 26 du RGPD : les données pseudonymisées restent soumises au RGPD.
Une copie des SCCs applicables est disponible sur simple demande à dpo@monauditpa.fr.
9. Durées de conservation
| Donnée | Durée | Fondement |
|---|---|---|
| Compte utilisateur du Partenaire (e-mail, hash, rôle) | Durée de la relation contractuelle, puis 30 jours de rétention technique avant effacement | Minimisation (art. 5.1.c RGPD) |
| Données d'audit (réponses, rapport PDF) | 12 mois à compter de la génération du rapport | Intérêt légitime + durée de garantie contractuelle |
| Factures et documents téléversés par le client final | 30 jours après génération du rapport | Minimisation |
| Données de facturation (factures émises au Partenaire, devis) | 10 ans | Art. L.123-22 Code de commerce |
| Journaux d'activité applicative (admin, partenaire) | 12 mois | Sécurité + recommandation CNIL |
| Données d'audience Matomo (IP complète, après consentement) | 13 mois | Recommandation CNIL |
| Données de prospection commerciale B2B | 3 ans à compter du dernier contact | Doctrine CNIL B2B |
10. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation (comptabilité, preuve contractuelle).
- Droit à la limitation du traitement (art. 18 RGPD) : demander le gel du traitement dans certaines hypothèses.
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
- Droit d'opposition (art. 21 RGPD) : vous opposer à un traitement fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière (ex. : prospection commerciale, mesure d'audience).
- Droit de ne pas faire l'objet d'une décision exclusivement automatisée (art. 22 RGPD) : voir l'article 6 de la présente politique.
- Droit de définir des directives post-mortem (art. 85 de la loi Informatique et Libertés).
10.1 Comment exercer vos droits
Vous pouvez exercer ces droits :
- Si vous êtes utilisateur d'un compte Partenaire : par e-mail à dpo@monauditpa.fr ou par courrier (Dativo SAS - Protection des données - 274 rue du Bas, 80300 Senlis-le-Sec).
- Si vous êtes client final (ou personne dont les données figurent dans les documents téléversés) : adressez-vous en premier lieu à votre Partenaire, responsable de traitement. Dativo, en qualité de sous-traitant, assistera le Partenaire dans l'instruction de la demande.
Nous vous répondrons dans un délai d'un mois à compter de la réception de votre demande (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas nous vous en informerons dans le mois suivant votre demande.
Nous pourrons vous demander une preuve d'identité en cas de doute raisonnable sur votre identité (art. 12.6 RGPD).
10.2 Droit d'introduire une réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy - TSA 80715 - 75334 PARIS CEDEX 07
- Téléphone : +33 (0)1 53 73 22 22
11. Sécurité des données (art. 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès non autorisé, perte, destruction ou altération :
- Chiffrement en transit : toutes les communications entre le navigateur et nos serveurs sont chiffrées via TLS 1.2 minimum (HTTPS).
- Chiffrement des mots de passe : stockés sous forme de hash bcrypt avec salage automatique ; jamais en clair.
- Tokens cryptographiques : les magic links et les liens de réinitialisation de mot de passe utilisent des tokens aléatoires (64 caractères hexadécimaux), à usage unique pour les opérations sensibles.
- Protection CSRF : jetons anti-CSRF sur tous les formulaires sensibles.
- Accès restreint par rôle : l'interface d'administration est protégée par authentification forte et restreinte aux seuls administrateurs habilités.
- Hébergement sécurisé : serveur localisé en France (OVH), accès SSH restreint par clé et filtrage IP, mises à jour de sécurité régulières, fail2ban et CrowdSec.
- Sauvegardes : sauvegardes quotidiennes chiffrées de la base de données.
- Journalisation : traçabilité des accès administrateurs pour la détection d'incidents.
- Procédure de notification de violation : en cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, nous notifierons la CNIL sous 72 heures (art. 33 RGPD) et informerons les personnes concernées sans délai si le risque est élevé (art. 34 RGPD). En qualité de sous-traitant, nous notifierons également le Partenaire dans un délai de 48 heures (article 17 des CGV).
12. Cookies et traceurs
Le site monauditpa.fr utilise uniquement :
12.1 Cookies techniques strictement nécessaires
| Nom | Type | Finalité | Durée |
|---|---|---|---|
PHPSESSID |
Technique | Gestion de la session utilisateur | Session (supprimé à la fermeture du navigateur) |
csrf_token |
Technique | Protection contre les attaques CSRF | Session |
Ces cookies ne nécessitent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés (exemption pour les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur).
12.2 Mesure d'audience : Matomo Analytics (soumise à consentement)
La mesure d'audience repose sur Matomo, hébergé par nos soins (aucun transfert vers un tiers). Depuis juin 2026, elle enregistre votre adresse IP complète (géolocalisation à la ville et décompte précis des visiteurs). Cette collecte n'est donc plus couverte par l'exemption de consentement CNIL :
- Base légale : votre consentement (art. 6.1.a RGPD et art. 82 de la loi Informatique et Libertés). Matomo n'est chargé qu'après votre accord explicite.
- Gestion du consentement : un bandeau de consentement (Orejime) vous permet d'accepter ou de refuser la mesure d'audience dès votre arrivée. Le refus est le choix par défaut : aucune mesure n'est effectuée tant que vous n'avez pas consenti.
- Modifier votre choix à tout moment via le lien « Gérer les cookies » en pied de page.
- Pas de suivi cross-site ni cross-device, pas de cookie publicitaire, pas de partage avec des tiers.
- Durée de conservation des données d'audience limitée à 13 mois.
- Exclusion des pages d'authentification et de paiement.
12.3 Aucun traceur publicitaire
Aucun cookie publicitaire, de pistage tiers ou de réseau social n'est utilisé sur ce site. Nous ne pratiquons ni retargeting, ni profilage publicitaire, ni partage de données à des fins marketing. Seule la mesure d'audience (§12.2), soumise à votre consentement, est susceptible de déposer des traceurs.
13. Prospection commerciale B2B
Le service MonAuditPA étant un service exclusivement B2B partenaires (article 2 des CGV), nous pouvons être amenés à adresser des communications commerciales à des structures professionnelles susceptibles de devenir Partenaire (cabinets conseil, intégrateurs, éditeurs, experts-comptables), à la condition que :
- l'objet de la sollicitation soit en rapport avec la fonction professionnelle du destinataire ;
- un moyen simple et gratuit d'opposition soit prévu dans chaque communication (lien de désinscription).
Cette pratique est conforme à la doctrine CNIL en matière de prospection B2B.
14. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique à tout moment, notamment pour la mettre en conformité avec toute évolution réglementaire, technique ou organisationnelle.
En cas de modification substantielle (ajout d'un sous-traitant ultérieur, nouvelle finalité, modification des durées de conservation, changement de base légale, modification de la logique du traitement automatisé), les Partenaires disposant d'un compte actif seront informés par e-mail au moins 15 jours avant l'entrée en vigueur des modifications. Une bannière informative sera également affichée sur le site pendant 30 jours pour les visiteurs non connectés.
La date de dernière mise à jour est indiquée en haut de la présente politique. La version applicable est celle publiée sur le site au moment de la consultation.
15. Droit applicable
La présente politique est régie par le droit français et le droit de l'Union européenne. Toute difficulté d'interprétation ou d'application sera soumise, à défaut d'accord amiable, aux juridictions compétentes conformément à l'article 20 des Conditions Générales de Vente.
16. Contact
Pour toute question relative à cette politique ou au traitement de vos données personnelles :
- Email dédié protection des données : dpo@monauditpa.fr
- Courrier : Dativo SAS - Protection des données - 274 rue du Bas, 80300 Senlis-le-Sec, France
- Formulaire en ligne : https://www.monauditpa.fr/contact
Document établi en conformité avec le règlement (UE) 2016/679 du 27 avril 2016 (RGPD), la loi n° 78-17 du 6 janvier 1978 modifiée et le règlement (UE) 2024/1689 du 13 juin 2024 (AI Act).
À compléter avant mise en ligne : alias e-mail dpo@monauditpa.fr à créer sur le serveur mail.