Conformité RGPD
Politique de confidentialité
Dernière mise à jour : 12 mai 2026
REALITIM accorde la plus grande importance à la protection de la vie privée et au respect du droit fondamental à la protection des données à caractère personnel. La présente politique vous informe, conformément aux articles 12 à 14 du Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »), sur les traitements opérés depuis le site www.realitim.com (ci-après « le Site »).
Le traitement spécifique des données du chatbot Léo fait l’objet d’une politique dédiée : confidentialité du chatbot Léo.
1. Responsable de traitement
Le responsable du traitement, au sens de l’article 4.7 du RGPD, est :
REALITIM, EURL au capital de 50 000 €
34 rue Joncours, 44100 Nantes, France
SIRET : 838 763 902 00049 — RCS Nantes B 838 763 902
Représentée par Arthur Devouge, Gérant.
Référent à la protection des données : dpo@realitim.com. Compte tenu de la nature et du volume de ses traitements, REALITIM n’est pas soumise à l’obligation de désigner un Délégué à la protection des données (DPO) au sens de l’article 37 du RGPD ; un point de contact unique est néanmoins maintenu pour faciliter l’exercice de vos droits.
2. Données collectées, finalités et bases légales
REALITIM ne collecte que les données strictement nécessaires aux finalités poursuivies, conformément au principe de minimisation (RGPD, article 5.1.c). Aucune donnée sensible au sens de l’article 9 du RGPD (origine, opinions, santé, orientation sexuelle, etc.) n’est collectée intentionnellement.
| Traitement | Données | Base légale (RGPD art. 6) | Conservation |
|---|---|---|---|
| Formulaire de contact projet | Email, téléphone (facultatif), service souhaité, message libre | Mesures précontractuelles à votre demande (art. 6.1.b) et intérêt légitime à répondre aux sollicitations commerciales (art. 6.1.f) | 3 ans à compter du dernier contact significatif, puis archivage intermédiaire jusqu’à prescription des actions |
| Candidature spontanée | Email, téléphone (facultatif), profil et expertise, message, CV (PDF/DOC/DOCX) | Mesures précontractuelles à votre demande (art. 6.1.b) et consentement (art. 6.1.a) pour la conservation au-delà d’une décision négative | 24 mois après le dernier échange en l’absence de recrutement (durée recommandée par la CNIL), suppression immédiate sur demande |
| Confirmations email transactionnelles | Email, contenu de l’accusé de réception | Exécution d’une mesure précontractuelle (art. 6.1.b) | 90 jours dans les logs SendGrid puis purge automatique |
| Chatbot Léo | Voir la politique dédiée | Voir politique dédiée | Voir politique dédiée |
| Notifications push (Web Push) | Endpoint navigateur, clés publiques de chiffrement (p256dh, auth) | Consentement explicite (art. 6.1.a) | Jusqu’au retrait du consentement ou désinstallation côté navigateur, avec purge automatique des abonnements expirés |
| Mesure d’audience anonymisée | Pages vues, durée, type d’appareil, pays, source de trafic agrégée — sans identifiant persistant | Intérêt légitime à mesurer l’audience du Site (art. 6.1.f) — exemption de consentement CNIL pour la mesure d’audience strictement anonymisée | 25 mois maximum (préconisation CNIL) |
| Logs techniques et sécurité | Adresse IP tronquée, user-agent, horodatage, codes HTTP, route appelée | Intérêt légitime à assurer la sécurité du Site et à prévenir les abus (art. 6.1.f), obligation légale (art. 6 II LCEN) | 30 jours pour les logs applicatifs, 12 mois pour les logs de connexion (art. L.34-1 CPCE) |
3. Destinataires et sous-traitants
Vos données ne font l’objet d’aucune cession, location ou commercialisation. Elles sont accessibles uniquement aux collaborateurs habilités de REALITIM (commerce, direction, support technique, ressources humaines pour les candidatures) dans la stricte limite de leurs missions.
REALITIM s’appuie sur un nombre restreint de sous-traitants techniques, sélectionnés pour leurs garanties de sécurité et de conformité au RGPD. Chaque sous-traitant est lié par un contrat conforme à l’article 28 du RGPD (DPA) :
| Sous-traitant | Rôle | Localisation des données |
|---|---|---|
| Vercel Inc. | Hébergement du Site et de l’API (région cdg1 — Paris) | UE (Paris) — entité aux États-Unis (CCT + DPF) |
| Supabase Pro EU | Base de données PostgreSQL et stockage objet | UE (Francfort) |
| SendGrid (Twilio Inc.) | Routage des emails de contact, candidature et confirmation | États-Unis (CCT + DPF) |
| OpenAI Ireland Ltd. | Génération de réponses du chatbot Léo (Zero Data Retention activé) | UE (Irlande) |
| Google Workspace | Création des invitations Calendar / Meet pour les rendez-vous | UE (Belgique) — flux mondiaux Google (CCT + DPF) |
| Langfuse Cloud EU | Observabilité du chatbot (latence, qualité) | UE |
| Vercel Analytics & Speed Insights | Mesure d’audience anonymisée et performance (Core Web Vitals) | UE — entité Vercel Inc. (CCT + DPF) |
REALITIM peut également être amenée à communiquer vos données aux autorités administratives ou judiciaires, sur réquisition légale, dans le strict cadre des textes en vigueur.
4. Transferts hors Union européenne
Certains sous-traitants (Vercel Inc., Twilio/SendGrid, Google) sont susceptibles de traiter des données depuis les États-Unis. Ces transferts sont strictement encadrés par :
- les Clauses Contractuelles Types (CCT) adoptées par la décision d’exécution (UE) 2021/914 de la Commission européenne ;
- lorsque le destinataire y est éligible, la certification au EU-US Data Privacy Framework (décision d’adéquation du 10 juillet 2023) ;
- des mesures techniques et organisationnelles complémentaires (chiffrement en transit TLS 1.2+ et au repos AES-256, minimisation, contrôle d’accès).
5. Sécurité des données
Conformément à l’article 32 du RGPD, REALITIM met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :
- chiffrement systématique des communications (HTTPS / TLS 1.2 minimum) ;
- chiffrement au repos des bases de données et des sauvegardes (AES-256) ;
- politique stricte d’accès à privilèges minimum, authentification forte (MFA) sur les outils critiques ;
- journalisation et supervision des accès, avec alertes en cas d’anomalie ;
- sauvegardes quotidiennes glissantes et procédures de restauration testées ;
- revue régulière des dépendances logicielles et application des correctifs de sécurité critiques.
En cas de violation de données susceptible d’engendrer un risque pour vos droits et libertés, REALITIM s’engage à notifier la CNIL dans un délai de 72 heures (RGPD, article 33) et à vous en informer individuellement lorsque ce risque est élevé (article 34).
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données :
- Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : faire corriger toute donnée inexacte ou incomplète.
- Droit à l’effacement (« droit à l’oubli ») : obtenir la suppression de vos données dans les conditions de l’article 17.
- Droit à la limitation du traitement dans les hypothèses prévues à l’article 18.
- Droit à la portabilité : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou les faire transmettre à un autre responsable de traitement.
- Droit d’opposition, à tout moment et pour des raisons tenant à votre situation particulière, au traitement fondé sur l’intérêt légitime ; et à tout moment, sans motif, en cas de prospection commerciale.
- Droit de retirer votre consentement à tout moment, sans que cela ne porte atteinte à la licéité du traitement effectué avant le retrait.
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 de la loi Informatique et Libertés).
Comment exercer vos droits ? Adressez votre demande, accompagnée le cas échéant d’un justificatif d’identité en cas de doute raisonnable, à dpo@realitim.com ou par courrier à : REALITIM — Référent RGPD, 34 rue Joncours, 44100 Nantes. Une réponse vous sera apportée dans un délai d’un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité (RGPD, article 12.3).
Pour les conversations avec le chatbot Léo, un formulaire d’effacement immédiat est mis à votre disposition.
7. Cookies et traceurs
Conformément à l’article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, le Site limite strictement l’usage de cookies et traceurs.
Aucun cookie publicitaire ni de profilage tiers n’est déposé. Les traceurs utilisés relèvent de deux catégories :
- Traceurs strictement nécessaires au fonctionnement du Site (gestion de session, sécurité, préférence de langue) — exemptés de consentement en application de l’article 82 LIL.
- Mesure d’audience anonymisée (Vercel Analytics, Speed Insights) : ces solutions ne déposent pas de cookie persistant et n’utilisent pas d’identifiant individuel ; elles relèvent de l’exemption CNIL pour les outils de mesure d’audience strictement anonymisés.
- Stockage local du chatbot Léo (LocalStorage navigateur) : conserve votre identifiant de conversation pour assurer la continuité de l’échange. Vous pouvez le supprimer à tout moment via les paramètres de votre navigateur ou via le formulaire d’effacement dédié.
- Notifications push (Web Push API) : déclenchées uniquement après votre consentement explicite via la pop-in native du navigateur.
Vous pouvez à tout moment paramétrer ou supprimer ces traceurs via les réglages de votre navigateur (Chrome, Firefox, Safari, Edge…). Le refus n’altère pas l’accès aux contenus du Site.
8. Décisions automatisées et profilage
REALITIM ne prend aucune décision produisant des effets juridiques à votre égard ou vous affectant de manière significative qui serait fondée exclusivement sur un traitement automatisé, au sens de l’article 22 du RGPD. Les réponses du chatbot Léo sont générées automatiquement, mais toute décision commerciale ou contractuelle est prise par un être humain.
9. Réclamation auprès de la CNIL
Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL), 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07, ou en ligne sur cnil.fr/fr/plaintes.
10. Évolution de la présente politique
REALITIM peut être amenée à faire évoluer la présente politique de confidentialité afin de refléter les évolutions réglementaires, jurisprudentielles, éditoriales ou techniques. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, une information adaptée sera diffusée sur le Site et, le cas échéant, par tout autre moyen approprié.