Politique de protection des données personnelles

Notre engagement

La protection des données personnelles constitue un engagement fondamental pour St-Blancat Cybersécurité, société toulousaine spécialisée en cybersécurité et en accompagnement à la conformité RGPD. En tant que prestataire de services de DPO externalisé et d’audits de sécurité, nous plaçons la confidentialité des données de nos clients et le respect du secret des affaires au cœur de toutes nos missions.

Nous nous engageons à traiter vos données avec la plus grande rigueur, dans le strict respect du Règlement Général sur la Protection des Données (RGPD) n° 2016/679 et de la loi Informatique et Libertés du 6 janvier 1978 modifiée. Cette politique a pour objectif de vous informer de manière claire et transparente sur les traitements que nous réalisons, les finalités poursuivies, les mesures de sécurité mises en œuvre et les droits dont vous disposez.

Chez St-Blancat Cybersécurité, la confiance accordée par nos clients est notre valeur la plus absolue. C’est pourquoi nous appliquons une politique de souveraineté numérique sans compromis : aucune donnée personnelle n’est transférée en dehors de l’Union Européenne. 

Cette politique de protection des données personnelles est conçue pour une lecture rapide et accessible. Elle reflète notre volonté d’amélioration continue et notre exigence de transparence. Pour toute question, vous pouvez contacter notre délégué à la protection des données à l’adresse : dpo@st-blancat.fr.

Nos principes fondamentaux

St-Blancat Cybersécurité fonde sa politique de protection des données sur des principes clairs et exigeants, qui guident l’ensemble de ses activités et de ses prestations.

Minimisation des données et respect des finalités

Nous ne collectons et ne traitons que les données strictement nécessaires à l’exécution de nos missions. Chaque traitement est défini par une finalité explicite, légitime et documentée. Ce principe de minimisation est appliqué à tous les stades de nos prestations.

Transparence, loyauté et confiance client au plus haut niveau

La transparence et la loyauté guident toutes nos actions. Nous nous engageons à informer nos clients de manière claire et accessible sur les traitements réalisés et à placer leur confiance au plus haut niveau. Cette exigence est au fondement de notre relation avec chaque client.

Approche « privacy by design » et « privacy by default »

Nous intégrons la protection des données dès la conception de tous nos services et processus. Les principes de « privacy by design » et de « privacy by default » sont appliqués systématiquement afin de garantir un niveau de protection élevé par défaut, sans intervention supplémentaire de la personne concernée.

Finalités des traitements et bases juridiques

En tant que responsable de traitement, St-Blancat Cybersécurité collecte et traite des données à caractère personnel uniquement pour des finalités déterminées, explicites, légitimes et proportionnées.

Finalités principales

Les traitements que nous réalisons poursuivent les finalités suivantes :

  • Gestion des contrats clients et exécution des prestations : mise en œuvre des mandats de DPO externalisé, réalisation d’audits de cybersécurité, accompagnement à la conformité RGPD, formations et missions techniques ;
  • Gestion de la relation client : suivi des échanges, organisation des rendez-vous, réponse aux demandes et maintien de la relation contractuelle ;
  • Gestion des ressources humaines : traitement des données des collaborateurs, stagiaires et candidats dans le cadre du recrutement, de la gestion du personnel et des obligations sociales ;
  • Prospection et développement commercial B2B : présentation de nos services auprès de professionnels (entreprises, cabinets d’avocats, collectivités) ;
  • Amélioration et sécurisation de nos services : analyse des données techniques et organisationnelles afin d’optimiser nos prestations et de renforcer la protection de nos systèmes ;
  • Conformité réglementaire et obligations légales : respect des dispositions légales et réglementaires applicables à notre activité.

Toute nouvelle finalité de traitement fait l’objet d’une analyse préalable et, le cas échéant, d’une mise à jour de la présente politique. Les personnes concernées en sont informées avant la mise en œuvre du traitement, conformément aux exigences de transparence du RGPD.

Bases légales associées

Chaque traitement repose sur l’une des bases légales prévues par le RGPD :

  • Exécution du contrat (article 6.1.b) : pour la gestion des contrats et l’exécution des prestations de DPO et de cybersécurité ;
  • Intérêt légitime (article 6.1.f) : pour la prospection B2B, l’amélioration des services et la gestion de la relation client ;
  • Consentement (article 6.1.a) : lorsque celui-ci est requis, notamment pour certaines communications commerciales ou le traitement de données sensibles ;
  • Obligation légale (article 6.1.c) : pour les traitements imposés par la réglementation (conservation comptable, réponse aux autorités, etc.).

Absence de prospection directe auprès des particuliers

St-Blancat Cybersécurité ne réalise aucune prospection directe auprès des particuliers. Nos actions commerciales sont exclusivement dirigées vers des professionnels (B2B) et s’effectuent dans le respect du droit d’opposition.

St-Blancat Cybersécurité collecte et traite des données à caractère personnel uniquement pour des finalités déterminées, explicites, légitimes et proportionnées.

Quelles données collectons nous ?

Dans le cadre de ses activités de cybersécurité et d’accompagnement à la conformité, St-Blancat Cybersécurité collecte et traite uniquement les données à caractère personnel strictement nécessaires à l’exécution de ses missions et à la gestion de ses relations avec ses clients, partenaires et collaborateurs.

Les catégories de données concernées sont les suivantes :

  • Données d’identification et de contact : nom, prénom, fonction, adresse e-mail professionnelle, numéro de téléphone, nom de la structure cliente. Ces informations sont indispensables pour identifier nos interlocuteurs, répondre à leurs demandes et assurer le suivi de nos prestations.
  • Données contractuelles et relatives aux missions : informations figurant dans les contrats, les mandats de DPO externalisé, les rapports d’audit, les analyses d’impact (AIPD) ou les fiches de traitement. Ces données peuvent inclure, selon les dossiers, des éléments techniques ou organisationnels confidentiels relevant du secret des affaires.
  • Données techniques : adresses IP, données de navigation, logs de connexion et informations relatives aux appareils utilisés lors de l’accès à nos services ou à notre site web. Ces données sont collectées pour garantir la sécurité de nos systèmes et améliorer la qualité de nos prestations.
  • Données relatives aux ressources humaines : informations des collaborateurs, stagiaires et candidats (CV, coordonnées, éléments de carrière) dans le cadre de la gestion du personnel et des recrutements.

St-Blancat Cybersécurité applique systématiquement le principe de minimisation : aucune donnée n’est collectée sans finalité précise et légitime. Les données personnelles sensibles, lorsque nous ne pouvons faire autrement que les traiter, y compris dans le cadre de missions clients, font l’objet de mesures de protection renforcées et sont recensées dans nos registres de traitement.

Toutes les données personnelles sont hébergées exclusivement au sein de l’Union Européenne et ne font l’objet d’aucun transfert vers des pays tiers.

Pourquoi et sur quelle base légale traitons-nous vos données ?

St-Blancat Cybersécurité collecte et traite vos données à caractère personnel uniquement pour des finalités déterminées, explicites et légitimes, dans le strict respect du Règlement Général sur la Protection des Données (RGPD).

Les traitements que nous réalisons poursuivent les finalités suivantes :

  • Exécution de nos contrats et prestations : gestion des mandats de DPO externalisé, réalisation d’audits de cybersécurité, accompagnement à la conformité RGPD, formations et missions techniques. Base légale : exécution du contrat (article 6.1.b du RGPD).
  • Gestion de la relation client et commerciale : suivi des échanges, prise de rendez-vous, envoi de propositions commerciales et d’informations relatives à nos services. Base légale : intérêt légitime (article 6.1.f du RGPD) ou consentement lorsque requis.
  • Amélioration et sécurisation de nos services : analyse anonymisée des données techniques afin d’optimiser nos prestations et de renforcer la protection de nos systèmes d’information. Base légale : intérêt légitime (article 6.1.f du RGPD).
  • Gestion des ressources humaines : traitement des données des collaborateurs, stagiaires et candidats dans le cadre du recrutement, de la paie et de la gestion du personnel. Base légale : exécution du contrat de travail et obligations légales (article 6.1.b et 6.1.c du RGPD).
  • Conformité réglementaire et obligations légales : réponse aux réquisitions judiciaires ou administratives, déclarations obligatoires et conservation des documents comptables. Base légale : obligation légale (article 6.1.c du RGPD).

Toute nouvelle finalité fera l’objet d’une information préalable et, le cas échéant, d’un consentement spécifique. Nous ne réalisons aucune prospection directe auprès des particuliers et garantissons à tout moment un droit d’opposition facile et effectif pour les communications commerciales.

Avec qui partageons-nous vos données ?

St-Blancat Cybersécurité s’engage à ne partager vos données personnelles qu’avec des destinataires strictement nécessaires à l’accomplissement des finalités décrites dans la présente politique, et dans le respect des principes de minimisation et de confidentialité.

Les destinataires de vos données sont les suivants :

  • Personnel habilité de St-Blancat Cybersécurité : Seules les personnes dûment formées et habilitées ont accès aux données, dans la limite de ce qui est nécessaire à l’exécution de leurs missions. Tous nos collaborateurs sont soumis à une obligation de confidentialité renforcée et au respect du secret des affaires.
  • Sous-traitants techniques et opérationnels : Nous faisons appel à des prestataires européens (hébergement, outils de sécurité, solutions cloud) sélectionnés pour leur conformité RGPD. Ces relations sont encadrées par des contrats incluant des clauses de protection des données conformes à l’article 28 du RGPD. Aucun de nos sous-traitants n’est autorisé à utiliser vos données pour ses propres finalités.
  • Partenaires et collaborations professionnelles : Lorsque nous intervenons en partenariat avec d’autres prestataires (experts techniques, confrères ou co-traitants), nous ne procédons jamais à l’interconnexion de nos systèmes d’information. Dans la grande majorité des cas, le client met à notre disposition des outils d’accès dédiés (poste de travail isolé, environnement sécurisé ou accès distant contrôlé) de sorte que les systèmes d’information restent totalement ségrégués. Aucune donnée n’est transférée entre les systèmes des différents intervenants. Cette organisation garantit une protection optimale de vos informations et du secret des affaires.
  • Autorités publiques ou judiciaires : Vos données peuvent être communiquées aux autorités compétentes (CNIL, autorités judiciaires, administrations fiscales…) uniquement sur réquisition légale ou dans le cadre d’obligations réglementaires.

Engagement de souveraineté numérique St-Blancat Cybersécurité garantit qu’aucune donnée personnelle n’est transférée en dehors de l’Union Européenne. Tous nos traitements et ceux de nos partenaires et sous-traitants sont réalisés exclusivement au sein de l’Espace Économique Européen.

Combien de temps conservons-nous vos données ?

St-Blancat Cybersécurité conserve vos données à caractère personnel pendant une durée strictement limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles ont été collectées, conformément aux recommandations de la CNIL et aux obligations légales applicables.

Les durées de conservation appliquées sont les suivantes :

Catégorie de donnéesDurée de conservationJustification
Données clients et contrats de prestation (DPO, audits, missions)Durée du contrat + 5 ansPrescription civile et obligations légales
Données de prospection et relation commerciale B2B3 ans après le dernier contactRecommandation CNIL – intérêt légitime
Données des collaborateurs et fiches de paie5 ansObligations légales (Code du travail et fiscal)
Données des candidats non retenus2 ans après le dernier contactRecommandation CNIL – consentement et intérêt légitime
Données techniques et logs de sécurité1 an maximumSécurité des systèmes et investigation d’incidents
Cookies et traceurs13 mois maximumRecommandations CNIL
 

À l’issue de ces durées, les données sont effacées de manière sécurisée ou anonymisées de façon irréversible, sauf obligation légale contraire. Cette politique d’effacement systématique garantit le respect du principe de minimisation et renforce la confiance que vous nous accordez.

Quels sont vos droits ?

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, St-Blancat Cybersécurité vous garantit l’exercice effectif de l’ensemble de vos droits sur vos données personnelles.

Vous disposez des droits suivants :

  • Droit d’accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie, ainsi que des informations sur les finalités, les destinataires et la durée de conservation.
  • Droit de rectification : demander la correction de vos données si elles sont inexactes ou incomplètes.
  • Droit à l’effacement (et droit à l’oubli) : obtenir la suppression de vos données lorsque celles-ci ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou lorsque vous retirez votre consentement.
  • Droit à la limitation du traitement : demander que le traitement de vos données soit suspendu temporairement dans certains cas (contestation de l’exactitude des données, traitement illicite, etc.).
  • Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé, et les transmettre à un autre responsable de traitement, lorsque le traitement est fondé sur votre consentement ou sur un contrat.
  • Droit d’opposition : vous opposer à tout moment au traitement de vos données pour des raisons tenant à votre situation particulière, notamment en cas de prospection commerciale.
  • Droit de ne pas faire l’objet d’une décision automatisée : ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant.
  • Droit d’introduire une réclamation : saisir la Commission Nationale de l’Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données ne respecte pas la réglementation.

Pour exercer l’un de ces droits, vous pouvez nous contacter par e-mail à l’adresse dpo@st-blancat.fr ou via le formulaire dédié sur notre site. Nous nous engageons à répondre dans un délai d’un mois, délai pouvant être prolongé de deux mois supplémentaires en cas de demande complexe.

Comment protégeons-nous vos données ?

La protection de vos données personnelles constitue une priorité absolue pour St-Blancat Cybersécurité. En tant que spécialiste de la cybersécurité, nous mettons en œuvre des mesures techniques et organisationnelles robustes, proportionnées aux risques identifiés.

Il n’est pas possible, pour des raisons de sécurité, de détailler l’intégralité des mesures appliquées. Nous vous présentons ci-dessous les principaux axes de notre politique de sécurité :

  • Application stricte du guide d’hygiène informatique de l’ANSSI et du guide de la sécurité des données personnelles de la CNIL ;
  • Sécurisation de notre infrastructure locale et cloud, avec hébergement exclusivement européen et activation des fonctionnalités de protection avancées ;
  • Sécurisation physique de nos locaux, avec mise en place de plusieurs réseaux dédiés et isolés selon les types d’activités, sécurisation avancée des bordures ;
  • Sensibilisation continue de l’ensemble du personnel aux bonnes pratiques de sécurité et de protection des données ;
  • Application des mesures de management de la sécurité de l’information issues de la norme ISO 27001, même si St-Blancat Cybersécurité n’est pas encore certifiée à ce jour. Un projet de certification est en cours sur l’ensemble du périmètre de nos activités, avec un objectif de certification visé pour 2028.

Ces mesures sont régulièrement revues et améliorées afin de garantir un niveau de protection élevé et conforme aux exigences du RGPD.

Nous contacter

Pour toute question relative à la protection de vos données personnelles, pour exercer vos droits ou pour obtenir des informations complémentaires sur nos traitements, vous pouvez contacter notre délégué à la protection des données à l’adresse suivante :

  • dpo@st-blancat.fr
  • St-Blancat Cybersécurité – 32 rue Claire Pauilhac,  31000 Toulouse

Si vous estimez que le traitement de vos données personnelles ne respecte pas la réglementation en vigueur, vous avez également la possibilité d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) via son site internet : www.cnil.fr.

Pour toute autre information (mentions légales, conditions générales de vente, politique en matière de cookies, etc.), nous vous invitons à consulter la page Mentions légales de notre site internet.