Politique de confidentialité
Dernière mise à jour : 20 mai 2026
Introduction
VantarGroup LLC (« Matproof », « nous », « notre » ou « nos ») respecte votre vie privée et s’engage à protéger vos données personnelles. La présente politique de confidentialité explique comment nous collectons, utilisons, divulguons et protégeons vos informations lorsque vous visitez notre site web ou utilisez notre plateforme d’automatisation de la conformité.
ℹ️ Avis important
Matproof fournit un logiciel d’automatisation de la conformité et NE fournit PAS de conseils juridiques, fiscaux ou de consulting réglementaire. Rien dans la présente Politique de confidentialité ou dans notre Service ne doit être interprété comme un conseil juridique. Vous devez consulter des professionnels juridiques et de la conformité qualifiés concernant vos obligations spécifiques en matière de protection des données.
Informations que nous collectons
Nous collectons les informations que vous nous fournissez directement, notamment :
- Informations de compte (nom, adresse e-mail, nom de l’entreprise)
- Informations de facturation (traitées de manière sécurisée par notre prestataire de paiement)
- Communications que vous nous envoyez (demandes de support, retours)
- Données de conformité que vous téléchargez sur notre plateforme (politiques, preuves, contrôles)
Comment nous utilisons vos informations
Nous utilisons les informations collectées pour :
- Fournir et maintenir notre plateforme de conformité
- Traiter vos transactions et gérer votre compte
- Vous envoyer des avis techniques et des messages de support
- Répondre à vos commentaires, questions et demandes de service client
- Analyser les schémas d’utilisation pour améliorer nos services (sous forme agrégée et anonymisée)
- Envoyer des communications marketing (avec votre consentement, le cas échéant)
Stockage et sécurité des données
Vos données sont stockées exclusivement dans des centres de données de l’UE situés en Allemagne. Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout traitement non autorisé ou illicite, toute perte accidentelle, destruction ou dommage. Ces mesures comprennent le chiffrement au repos et en transit, les contrôles d’accès et les évaluations de sécurité régulières.
Vos droits en vertu du GDPR
En tant que personne concernée dans l’Union européenne, vous disposez des droits suivants :
- Droit d’accès : Vous pouvez demander une copie de vos données personnelles
- Droit de rectification : Vous pouvez demander la correction de données inexactes
- Droit à l’effacement : Vous pouvez demander la suppression de vos données personnelles
- Droit à la portabilité des données : Vous pouvez demander vos données dans un format lisible par machine
- Droit d’opposition : Vous pouvez vous opposer au traitement de vos données personnelles
- Droit de retrait du consentement : Vous pouvez retirer votre consentement à tout moment lorsque nous nous appuyons sur le consentement pour traiter vos données
Base juridique du traitement
Nous traitons vos données personnelles sur les bases juridiques suivantes en vertu de l’article 6 du RGPD :
- Exécution du contrat (art. 6(1)(b)) : traitement nécessaire à la fourniture de nos services lorsque vous vous inscrivez ou demandez une démo.
- Intérêts légitimes (art. 6(1)(f)) : analyse pour améliorer notre site web et nos services, dans la mesure où nos intérêts ne priment pas sur vos droits.
- Consentement (art. 6(1)(a)) : communications marketing et soumissions de formulaires de contact, lorsque vous avez donné votre consentement explicite.
Conservation des données
Nous conservons les données personnelles uniquement le temps nécessaire aux finalités décrites dans la présente politique. Concrètement : les demandes via le formulaire de contact sont conservées 24 mois. Les données de compte et les données de conformité chargées sur la plateforme sont conservées pendant la durée du contrat ; à la résiliation s'ouvre une période de grâce de 30 jours pendant laquelle les données peuvent être exportées (droit à la portabilité), avant suppression automatique définitive. Les données analytiques sont agrégées/anonymisées et conservées jusqu'à 26 mois. Une conservation plus longue ne s'applique que lorsque la loi l'exige (par ex. § 257 HGB allemand pour les données comptables, 10 ans). Vous pouvez demander la suppression à tout moment.
Cookies et analyses
Sur matproof.com (site marketing), nous utilisons Umami Analytics pour une mesure d'audience agrégée sans cookies et — uniquement après votre consentement explicite via notre bannière — Google Ads pour le suivi des conversions. Les deux outils sont chargés exclusivement après consentement (§ 25(1) TDDDG, Art. 6(1)(a) RGPD). Dans la plateforme authentifiée app.matproof.com, nous utilisons PostHog pour l'analytique produit (EU Cloud Francfort, également basée sur le consentement). Vous pouvez retirer votre consentement à tout moment via la bannière ou en effaçant le stockage du navigateur.
Sous-traitants
Nous recourons aux sous-traitants suivants conformément à l'Art. 28 RGPD. La colonne « Surface » indique quels prestataires interviennent uniquement sur le site public (matproof.com), uniquement dans la plateforme authentifiée (app.matproof.com), ou sur les deux. Tous disposent d'accords de traitement des données. Pour les prestataires basés ou traitant des données hors UE (notamment États-Unis, Royaume-Uni), des Clauses Contractuelles Types UE (CCT 2021/914) au titre de l'Art. 46 RGPD et des mesures techniques et organisationnelles complémentaires sont en place. Remarque : les données soumises via les formulaires web (contact, outils, évaluations) sont également écrites dans notre instance Twenty CRM auto-hébergée (sur notre propre infrastructure Hetzner en Allemagne, accessible à crm.klyntos.com) pour le suivi des demandes. Il ne s'agit pas d'un sous-traitant externe, mais d'un outil interne sur l'infrastructure Hetzner déjà listée.
| Fournisseur | Siège / Entité juridique | Région de traitement | Surface | Finalité | Catégories de données | Base juridique |
|---|---|---|---|---|---|---|
| Hetzner Online GmbH | Gunzenhausen, Allemagne | Falkenstein et Nuremberg, DE | Les deux | Hébergement de l'application, calcul, tâches cron, systèmes auxiliaires auto-hébergés (CRM interne inclus) | Sessions, journaux applicatifs, toutes les données en transit dans le système | Art. 28 RGPD |
| Neon, Inc. | Delaware, États-Unis | AWS eu-central-1 (Francfort, DE) | App (connecté) | Hébergement de base de données PostgreSQL | ensemble des données clients persistantes (comptes, documents de conformité, pistes d'audit) | Art. 28 RGPD + CCT UE 2021/914 (Module 3) |
| Amazon Web Services EMEA SARL | Luxembourg (société mère : AWS Inc., États-Unis) | eu-central-1 (Francfort, DE) | App (connecté) | Stockage de fichiers (S3), AWS Security Hub | Téléversements, sauvegardes, journaux de sécurité | Art. 28 RGPD + AWS GDPR DPA + CCT |
| Upstash, Inc. | Delaware, États-Unis | Région UE (Francfort) | App (connecté) | Cache Redis, recherche vectorielle pour les fonctionnalités d'IA | Jetons de session, compteurs de rate-limit, vecteurs d'embedding | Art. 28 RGPD + CCT |
| Stripe Payments Europe, Ltd. | Dublin, Irlande (société mère : Stripe, Inc., États-Unis) | UE avec bascule globale | App (connecté) | Traitement des paiements, gestion des abonnements | Nom, e-mail, adresse de facturation, moyen de paiement (tokenisé) | Art. 28 RGPD + Stripe DPA + CCT |
| Resend, Inc. | Delaware, États-Unis | Multi-région avec routage UE | Les deux | E-mails transactionnels et marketing | Adresses e-mail, contenu des messages | Art. 28 RGPD + CCT |
| Trigger.dev Ltd. | Londres, Royaume-Uni | Royaume-Uni | App (connecté) | Traitement asynchrone de tâches | Charges utiles (peuvent contenir des données personnelles) | Art. 28 RGPD + décision d'adéquation UE pour le Royaume-Uni |
| OpenAI Ireland Ltd. | Dublin, Irlande (société mère : OpenAI, Inc., États-Unis) | Résidence UE lorsque disponible, sinon US | App (connecté) | Inférence LLM pour les fonctionnalités de conformité | Contenu des requêtes (texte de conformité non personnel typiquement) | Art. 28 RGPD + CCT ; pas d'entraînement du modèle (zéro-rétention demandée) |
| Anthropic, PBC | San Francisco, États-Unis | États-Unis (région API Anthropic) | App (connecté) | Inférence LLM pour conformité et sécurité (assistant IA, agents Sentinel) | Contenu des requêtes ; avec Sentinel : code source client (opt-in) | Art. 28 RGPD + CCT ; pas d'entraînement du modèle (zéro-rétention demandée) |
| Functional Software, Inc. (Sentry) | San Francisco, États-Unis | Résidence UE (Francfort) | Les deux | Supervision des erreurs et des performances | Traces d'erreurs, adresses IP, ID utilisateur, métadonnées du navigateur | Art. 28 RGPD + CCT |
| PostHog, Inc. | San Francisco, États-Unis | EU Cloud (Francfort) | App (connecté) | Analytique produit dans l'application (utilisateurs connectés) | Données appareil/navigateur, ID de session, parcours de clics (pseudonymisé) | Art. 28 RGPD + CCT + consentement au titre du § 25 TDDDG |
| Umami Software, Inc. | États-Unis | États-Unis (Umami Cloud) | Site marketing | Analytique web anonyme pour matproof.com (avec consentement) | Pages vues agrégées, referrer, user-agent (sans cookies, IP non persistée) | Consentement Art. 6 (1) a RGPD + § 25 TDDDG (uniquement après acceptation du bandeau cookies) |
| Google Ireland Ltd. (Google Ads + GTM) | Dublin, Irlande (société mère : Alphabet Inc., États-Unis) | UE + États-Unis | Site marketing | Mesure des conversions publicitaires ; gestion de tags (chargé uniquement après consentement) | Click-IDs, adresse IP, chemin URL, événements de conversion (avec ads_data_redaction) | Consentement Art. 6 (1) a RGPD + § 25 TDDDG + Google Consent Mode v2 + CCT |
| lempire SAS (lemlist) | Paris, France | UE (France) avec sous-traitant AWS | Site marketing | Attribution des visiteurs pour les campagnes d'e-mails outbound (site matproof.com, avec consentement) — lie les visites web aux destinataires des campagnes lemlist | Cookie d'ID visiteur, adresse IP, user-agent, chemins de page, jetons UTM/campagne | Consentement Art. 6 (1) a RGPD + § 25 TDDDG (uniquement après acceptation du bandeau cookies) + CCT |
| Google Ireland Ltd. (OAuth Login) | Dublin, Irlande (société mère : Alphabet Inc., États-Unis) | UE + États-Unis | App (connecté) | Connexion Google (OAuth, optionnel par client) | E-mail, nom, photo de profil | Consentement Art. 6 (1) a RGPD + CCT |
| Cloudflare, Inc. | San Francisco, États-Unis | Edge multi-région (routage UE privilégié) | Les deux | DNS, CDN, protection DDoS, WAF, routage e-mail | Adresses IP, métadonnées HTTP, handshake TLS | Art. 28 RGPD + Cloudflare DPA + CCT |
| Dub, Inc. | Delaware, États-Unis | États-Unis | App (connecté) | Programme de parrainage / partenaires (attribution clics et ventes) | Click-IDs, e-mail, Stripe Customer ID, paramètres UTM | Art. 28 RGPD + CCT |
| Novu, Inc. | Delaware, États-Unis | États-Unis | App (connecté) | Orchestration des notifications in-app et e-mail | ID utilisateur, e-mail, charges utiles des notifications | Art. 28 RGPD + CCT |
| Vercel, Inc. | San Francisco, États-Unis | Multi-région (UE privilégié) | App (connecté) | Hébergement des sous-domaines Trust Portal du client ; sandbox ; Web Analytics pour Trust Portal | Requêtes HTTP, contenu Trust Portal (publié par le client) | Art. 28 RGPD + Vercel DPA + CCT |
| GitHub, Inc. | San Francisco, États-Unis (société mère : Microsoft Corp.) | États-Unis | App (connecté) | Pentest Sentinel : accès optionnel au code source client via la GitHub App Matproof-Sentinel | Contenu des dépôts (code source), publications d'issues (constats) | Art. 28 RGPD + CCT ; uniquement avec installation active par le client |
| Firecrawl, Inc. | San Francisco, États-Unis | États-Unis | App (connecté) | Scraping web pour la recherche fournisseurs (TPRM, registre DORA Art. 28) | URLs publiquement accessibles des fournisseurs (aucune donnée personnelle) | Intérêt légitime Art. 6 (1) f RGPD |
| Logokit, Inc. (logo.dev) | États-Unis | États-Unis / CDN edge | App (connecté) | API de logos et favicons pour l'affichage fournisseurs | Chaînes de domaines (aucune donnée personnelle) | Intérêt légitime Art. 6 (1) f RGPD |
| NIST National Vulnerability Database | Agence fédérale, États-Unis | États-Unis | App (connecté) | Interrogation des données publiques CVE pour la surveillance des vulnérabilités | Aucune donnée personnelle (identifiants CVE et chaînes de version uniquement) | Source publique |
Dernière mise à jour de la liste : 20 mai 2026. Toute modification est notifiée aux clients existants avec un préavis d’au moins 30 jours.
Transferts internationaux de données (transferts vers des pays tiers)
Lorsque nous faisons appel à des sous-traitants établis ou traitant des données en dehors de l’UE/EEE (en particulier États-Unis, Royaume-Uni et filiales européennes de groupes américains), les transferts s’appuient sur les garanties suivantes au titre des Art. 44 et suivants RGPD : (1) pour le Royaume-Uni : la décision d’adéquation de l’UE du 28 juin 2021 ; (2) pour les États-Unis et autres pays tiers : les Clauses Contractuelles Types de l’UE (décision d’exécution 2021/914, Module 2 ou 3 selon la configuration) ; (3) des mesures techniques et organisationnelles complémentaires incluant le chiffrement, la pseudonymisation lorsque possible, des accords de non-rétention des données avec les fournisseurs d’IA et une limitation contractuelle des finalités. Nous tenons une Analyse d’Impact des Transferts (TIA) interne pour chaque sous-traitant en pays tiers.
Contact et protection des données
Pour toute question relative à la présente Politique de confidentialité, pour exercer vos droits RGPD ou pour contacter notre responsable de la protection des données, veuillez écrire à :
VantarGroup LLC
Responsable de la protection des données
Email: privacy@matproof.com
30 N Gould St Ste R, Sheridan, WY 82801, USA
Vous avez également le droit d’introduire une réclamation auprès de votre autorité de contrôle locale. En France : Commission nationale de l’informatique et des libertés (CNIL), Paris.