Politique de Confidentialité

Dernière mise à jour: 8 avril 2026  ·  En vigueur: 8 avril 2026

CaseStories ("nous", "notre") est exploité par Vento Digitale di Marco Forlani (N° TVA IT03694090139), Italie. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles en pleine conformité avec le RGPD (UE 2016/679), le Code de la vie privée italien, le UK GDPR et les lois applicables.

1. Responsable du Traitement et Coordonnées

Le responsable du traitement de vos données personnelles est :

  • Vento Digitale di Marco Forlani
  • N° TVA IT03694090139 — Italie
  • Adresse enregistrée : Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy
  • Plateforme : CaseStorieswww.casestories.com
  • E-mail : support@casestories.com

Délégué à la Protection des Données (DPD)

En vertu de l'Art. 37 RGPD, un DPD est obligatoire pour les autorités publiques, les organisations effectuant une surveillance systématique à grande échelle ou traitant des catégories particulières de données à grande échelle. Vento Digitale di Marco Forlani est un petit opérateur privé qui ne procède pas à une surveillance systématique à grande échelle. Par conséquent, la désignation d'un DPD n'est pas légalement requise. Toutes les questions de protection des données sont traitées directement par le responsable.

2. Données que Nous Collectons

2.1 Données de Compte

Lors de votre inscription, nous collectons :

  • Adresse e-mail (obligatoire — identifiant de compte)
  • Prénom et nom (obligatoires)
  • Mot de passe — stocké sous forme de hachage à sens unique (Argon2id).
  • Nom d'entreprise, description, site web, ville, pays, secteur, téléphone (facultatifs)
  • Logo d'entreprise (image, facultatif)
  • Langue d'interface préférée

2.2 Données de Contenu

Toutes les études de cas, descriptions de projets, fichiers médias et messages directs que vous créez via la plateforme sont stockés et associés à votre compte.

2.3 Analytique

2.3.1 Analytique basée sur les cookies — Matomo (consentement requis)

Nous utilisons Matomo, une plateforme d'analytique web open source opérée exclusivement sur nos propres serveurs au sein de l'Union européenne. Aucune donnée analytique n'est envoyée à un service tiers. Matomo est chargé uniquement après votre acceptation des cookies via notre bannière. Lorsqu'il est actif, Matomo collecte :

  • Adresse IP anonymisée — les deux derniers octets sont masqués avant stockage (ex. 203.0.113.0.0) ; l'IP complète n'est jamais stockée.
  • Pages visitées et horodatages
  • Type de navigateur et OS
  • URL de référence
  • Pays approximatif (dérivé de l'IP masquée)

Si vous refusez les cookies, Matomo n'est pas chargé et aucun suivi basé sur les cookies n'a lieu.

2.3.2 Analytique first-party côté serveur (sans consentement requis)

Indépendamment du consentement aux cookies, la plateforme enregistre côté serveur les événements d'interaction — notamment les vues de page, les clics sur les CTA, les partages, les recherches et les clics sur les liens de contact des études de cas publiées. Ces données sont traitées exclusivement pour fournir aux propriétaires d'études de cas des statistiques de performance agrégées. La base juridique est l'intérêt légitime (Art. 6(1)(f) RGPD).

Pour chaque événement, les données suivantes sont enregistrées côté serveur :

  • Type d'événement (vue, clic, partage, recherche ou clic contact)
  • Hachage SHA-256 de l'adresse IP — l'IP brute n'est jamais stockée ; seul son hachage unidirectionnel est conservé.
  • Code pays (code ISO 3166-1 à 2 lettres, ex. IT, FR) — dérivé de l'IP avant hachage.
  • URL de référence — l'en-tête HTTP Referer, si présent.
  • Chaîne User-Agent — l'identifiant complet du navigateur et du système d'exploitation envoyé par votre navigateur à chaque requête HTTP (ex. Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)…). Cette chaîne est stockée telle quelle et utilisée pour classer les visites par type d'appareil et navigateur dans les statistiques agrégées. Bien que la chaîne User-Agent ne soit pas à elle seule uniquement identifiante, combinée au hachage IP et au référent elle constitue une donnée pseudonyme au sens du RGPD. Elle est conservée 24 mois puis supprimée.

Ce traitement n'utilise ni cookies ni mécanismes de stockage côté client et relève donc hors du champ d'application de la Directive ePrivacy. Vous pouvez vous y opposer à tout moment en vertu de l'Art. 21 RGPD en nous contactant à support@casestories.works.

Nous n'utilisons pas Google Analytics, Meta Pixel ni aucun script de suivi tiers sur la plateforme ou dans nos e-mails.

2.4 Données de Paiement

Les paiements sont gérés par Paddle, qui agit en tant que Marchand de référence et responsable autonome du traitement des données de paiement. Nous ne stockons pas de numéros de carte, CVV ou coordonnées bancaires. Nous conservons uniquement l'identifiant client, d'abonnement, de transaction et le statut de paiement Paddle.

2.5 Contenu Généré par IA

Lors de l'utilisation des fonctions IA, le texte du projet est transmis à l'API d'Anthropic. Aucun identifiant personnel n'est transmis. Le texte est traité de manière transitoire et non utilisé pour entraîner les modèles d'Anthropic selon notre DPA.

2.6 Données de Connexion OAuth

Via Google, LinkedIn ou Facebook, nous ne recevons que l'e-mail et le nom d'affichage. Nous stockons le nom du fournisseur et l'identifiant utilisateur. Nous ne recevons ni ne stockons de jetons OAuth ni mots de passe.

2.7 Métadonnées des E-mails Transactionnels

Pour les e-mails transactionnels, nous traitons votre adresse e-mail et le statut de livraison. Nous n'intégrons pas de pixels de suivi ni de liens trackés dans nos e-mails.

3. Comment Nous Utilisons Vos Données

  • Prestation du service : Création et gestion de compte, publication d'études de cas, paiements, rédaction et traduction IA.
  • Amélioration du service : Analyse de modèles d'utilisation agrégés et anonymisés.
  • Communication : E-mails transactionnels (vérification, réinitialisation, reçus, alertes). Aucun e-mail marketing sans consentement explicite préalable.
  • Sécurité : Détection et prévention des accès frauduleux, limitation du débit, prévention des abus.
  • Conformité légale et comptabilité : Conservation des dossiers de facturation selon le droit fiscal européen et italien.
  • Divulgation aux autorités publiques : Lorsque la loi, une décision de justice ou une demande contraignante d'une autorité compétente l'exige, nous pouvons divulguer des données personnelles. Nous vous en informerons sauf interdiction légale.
  • Support : Réponse aux demandes et résolution des litiges.
  • Administration et maintenance de la plateforme : En tant qu'opérateur de la plateforme, nous pouvons accéder aux données de compte et aux contenus des utilisateurs uniquement lorsque cela est strictement nécessaire pour la maintenance technique, le diagnostic système, la réponse aux incidents de sécurité et l'investigation des abus. Cet accès est limité au strict nécessaire, est journalisé et n'est jamais utilisé à des fins commerciales.

Nous ne vendons, louons, cédons ni ne commercialisons vos données personnelles à des tiers, et nous ne les utilisons pas pour le ciblage publicitaire.

4. Bases Légales du Traitement (Art. 6 RGPD)

  • Exécution du contrat (Art. 6(1)(b)) : Traitement nécessaire à la fourniture du service — gestion de compte, publication d'études de cas, paiements, écriture IA.
  • Intérêts légitimes (Art. 6(1)(f)) : Surveillance de la sécurité, prévention des fraudes et analytique interne. Une analyse des intérêts légitimes (LIA) a été réalisée : nos intérêts sont équilibrés par des techniques préservant la vie privée (hachage IP, anonymisation). Vous pouvez vous y opposer à tout moment (§8).
  • Obligation légale (Art. 6(1)(c)) : Conservation des dossiers de facturation selon le droit fiscal (10 ans).
  • Consentement (Art. 6(1)(a)) : Traitement fondé sur le consentement uniquement pour l'inscription (vérification e-mail). Toute fonctionnalité optionnelle future sera clairement opt-in, avec droit de retrait sans pénalité.

5. Sous-Traitants et Prestataires Tiers

5.1 Paddle (Paiements — Responsable Autonome)

Paddle.com Market Ltd (Royaume-Uni / Irlande). Agit en tant que Marchand de référence — Paddle est un responsable du traitement autonome pour les données de paiement, non un sous-traitant. PCI-DSS conforme selon sa propre politique : paddle.com/legal/privacy. Nous ne recevons que les métadonnées listées au §2.4.

5.2 Anthropic (Rédaction IA & Traduction — Sous-Traitant)

Anthropic, PBC (San Francisco, États-Unis). Sous DPA signé. Seul le texte du projet est transmis. Transfert US couvert par CCT (Art. 46(2)(c) RGPD) et mesures supplémentaires. TIA effectuée. Politique : anthropic.com/privacy.

5.3 Fournisseurs OAuth — Google, LinkedIn (Identité — Responsables Autonomes)

Google LLC et LinkedIn Corporation — uniquement si vous choisissez de vous connecter via leurs services. Chaque fournisseur est responsable autonome pour l'authentification OAuth. Nous ne recevons que nom et e-mail (§2.6) ; nous ne recevons pas de jetons OAuth, mots de passe ou autres données de profil. La connexion via Facebook est également disponible comme option alternative. Les transferts vers les États-Unis sont couverts par la décision d'adéquation UE–États-Unis (10 juillet 2023) ou, le cas échéant, par les CCT.

5.4 Infrastructure d'Hébergement — Amazon Web Services UE (Sous-Traitant)

Tous les serveurs applicatifs et bases de données sont hébergés sur Amazon Web Services (AWS), région Union européenne (eu-west-1 — Irlande ou eu-central-1 — Francfort). Aucune donnée primaire n'est stockée en dehors de l'Union européenne. AWS a signé un DPA avec nous et est lié par l'Art. 28 RGPD. Les régions UE d'AWS sont certifiées ISO 27001, SOC 2 et garantissent contractuellement la résidence des données dans l'UE.

5.5 Livraison des E-mails Transactionnels (Sous-Traitant)

E-mails transmis via SMTP chiffré TLS. Infrastructure dans l'UE, liée par un DPA et l'Art. 28 RGPD. Votre adresse n'est utilisée que pour la livraison de la notification système.

5.6 Analytique — Matomo (Opéré par Nous, Infrastructure UE)

Nous hébergeons nous-mêmes Matomo, une plateforme d'analytique web open source, sur notre propre infrastructure au sein de l'Union européenne. Matomo n'est pas un service tiers — il fonctionne entièrement sur des serveurs que nous contrôlons et aucune donnée analytique n'est transmise à des tiers. Matomo traite uniquement les données anonymisées décrites au §2.3. En tant qu'outil interne, Matomo est intégralement soumis à la présente politique de confidentialité.

6. Cookies et Technologies Similaires

CaseStories utilise des cookies en deux catégories :

Cookies Strictement Nécessaires (aucun consentement requis)

Ces cookies sont indispensables au fonctionnement de la plateforme et ne peuvent pas être désactivés.

  • Cookie de session (PHPSESSID) : Maintient l'authentification. Expire à la fermeture du navigateur ou après 30 min d'inactivité. Attributs : HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF : Protection CSRF. Ne vous identifie pas. Attributs : HttpOnly, Secure, SameSite=Strict.
  • Cookie de langue : Mémorise la langue d'interface. Sans données personnelles. Expire après 1 an.
  • Cookie de préférence de consentement : Enregistre votre choix d'accepter ou refuser les cookies analytiques. Expire après 1 an.

Cookies Analytiques (consentement requis)

Ces cookies ne sont définis qu'après votre consentement via notre bannière de cookies. Ils sont utilisés exclusivement pour les analyses agrégées et anonymisées décrites au §2.3 (Matomo, hébergé sur notre infrastructure UE).

  • _pk_id.* : Identifie une session navigateur pour Matomo. Expire après 13 mois. Aucune information personnellement identifiable n'est stockée.
  • _pk_ses.* : Cookie de session de courte durée pour Matomo. Expire après 30 minutes.

Vous pouvez retirer votre consentement aux cookies analytiques à tout moment en cliquant sur le lien des paramètres de cookies dans le pied de page. Matomo est opéré par nous sur nos serveurs UE — aucune donnée analytique n'est partagée avec des tiers.

Nous n'utilisons pas de cookies publicitaires, pixels de suivi, scripts de fingerprinting ni cookies tiers.

7. Durée de Conservation

  • Données du compte : Conservées pendant l'activité du compte. Supprimées dans les 30 jours d'une demande d'effacement vérifiée (§8), sous réserve des obligations légales ci-dessous.
  • Études de cas publiées : Jusqu'à suppression ou fermeture. Retirées immédiatement de la vue publique ; effacées des sauvegardes dans les 90 jours.
  • Données analytiques (IP hachée + statistiques) : 24 mois. L'IP hachée est techniquement irréversible.
  • Dossiers de facturation : 10 ans — Directive TVA UE et droit fiscal italien. Impossible de les supprimer plus tôt.
  • Messages de support : 3 ans après le dernier contact.
  • Journaux de livraison des e-mails : 30 jours, uniquement pour résolution de problèmes.
  • Données supprimées dans les sauvegardes : Écrasées dans les 90 jours.

8. Vos Droits au titre du RGPD et des Lois Applicables

Dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez des droits suivants :

  • Accès (Art. 15) : Copie de toutes vos données personnelles et informations sur leur traitement.
  • Rectification (Art. 16) : Corriger des données inexactes. La plupart des champs sont modifiables dans les paramètres du compte.
  • Effacement — "droit à l'oubli" (Art. 17) : Suppression dans les 30 jours. Exception : données légalement obligatoires (§7).
  • Portabilité (Art. 20) : Données en format JSON. Demande par e-mail.
  • Limitation (Art. 18) : Traitement limité pendant la résolution d'un litige.
  • Opposition (Art. 21) : Opposition au traitement fondé sur les intérêts légitimes. Nous cesserons le traitement sauf motifs légitimes impérieux.
  • Retrait du consentement (Art. 7(3)) : À tout moment, sans effet rétroactif.
  • Ne pas être soumis à une décision automatisée (Art. 22) : Nous ne prenons pas de décisions fondées exclusivement sur un traitement automatisé. Voir §15.

Fourniture des données — obligatoire et facultative (Art. 13(2)(e)) : L'adresse e-mail et le nom sont obligatoires pour créer un compte. Tous les autres champs de profil sont facultatifs.

Exercice des droits : E-mail support@casestories.com, objet "GDPR Request", ou par courrier postal à : Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy. Réponse dans les 30 jours (60 pour les demandes complexes). Sans frais.

Droit de réclamation : Vous pouvez déposer une réclamation auprès de toute autorité de contrôle compétente de l'UE/EEE dans votre État de résidence habituelle ou de travail. L'autorité chef de file est :
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Les résidents britanniques peuvent contacter l'ICO : ico.org.uk.

9. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles (MTO) appropriées selon l'Art. 32 RGPD et la protection des données dès la conception (Art. 25) :

  • HTTPS avec TLS 1.2+ ; redirections HTTP vers HTTPS
  • Argon2id pour les mots de passe (irréversible, avec sel)
  • Anonymisation IP SHA-256 + sel (IP brute jamais stockée)
  • Tokens CSRF sur toutes les requêtes modifiant l'état
  • Limitation du débit sur les endpoints d'authentification et d'API
  • HttpOnly, Secure, SameSite=Strict sur les cookies de session
  • Prévention des injections SQL via instructions préparées
  • Validation MIME et stockage hors racine web pour les fichiers téléchargés
  • Contrôle d'accès par rôle avec principe du moindre privilège
  • Révisions de sécurité régulières et audits des dépendances
  • Sauvegardes chiffrées dans l'UE

Aucun système n'est sûr à 100 %. En cas de violation, notification du Garante dans les 72 heures (Art. 33 RGPD) et des utilisateurs concernés sans délai injustifié en cas de risque élevé (Art. 34).

10. Transferts Internationaux de Données

Toutes les données primaires — comptes, contenus, analyses — sont stockées et traitées exclusivement sur Amazon Web Services (AWS), région Union européenne. Nous ne transférons pas vos données en dehors de l'UE à des fins de stockage ou de traitement principal.

Les seuls transferts hors UE/EEE sont strictement limités aux cas suivants :

  • Anthropic (États-Unis) — génération de texte IA uniquement : Couvert par les CCT (Art. 46(2)(c) RGPD) dans un DPA signé, complété par une TIA. Seul le texte du projet est transmis ; aucun identifiant personnel n'est inclus.
  • Fournisseurs OAuth (États-Unis) — Google, LinkedIn : Couvert par la décision d'adéquation UE–États-Unis (10 juillet 2023) ou, le cas échéant, par les CCT. Applicable uniquement si vous choisissez de vous connecter via ces fournisseurs.

Nous ne vendons, partageons ni transférons pas de données personnelles à d'autres parties hors UE à des fins commerciales, marketing ou techniques.

UK GDPR : Les utilisateurs du Royaume-Uni sont couverts par le UK GDPR. Les transferts vers le RU bénéficient de la décision d'adéquation de l'UE. Les droits du §8 s'appliquent également aux résidents britanniques.

Contactez-nous pour les détails des garanties spécifiques.

11. Confidentialité des Mineurs

CaseStories est une plateforme B2B professionnelle non destinée aux personnes de moins de 16 ans (âge de consentement numérique RGPD). Nous ne collectons pas sciemment de données de mineurs. Si vous pensez qu'un enfant nous a fourni des données, contactez-nous immédiatement à support@casestories.com.

12. Notification de Violation de Données

En cas de violation de données :

  • Notification du Garante dans les 72 heures (Art. 33 RGPD), sauf si la violation ne présente pas de risque
  • Notification des utilisateurs concernés sans délai injustifié (Art. 34 RGPD) en cas de risque élevé, sauf données rendues inintelligibles
  • Inclusion dans la notification : nature et portée, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises
  • Tenue d'un registre interne des violations (Art. 33(5) RGPD)

13. Modifications de cette Politique

Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques, la technologie ou les exigences légales.

Les changements importants (finalités, types de données, nouveaux sous-traitants ou droits des personnes concernées) seront notifiés par e-mail aux titulaires de comptes au moins 30 jours avant leur entrée en vigueur et par un avis visible sur la plateforme. La poursuite de l'utilisation après la date d'entrée en vigueur ne vaut acceptation que pour les mises à jour non importantes.

Les changements non importants (clarifications, mise en forme, coordonnées) peuvent prendre effet immédiatement.

Versions précédentes disponibles sur demande.

14. Contact

Pour toute demande, question ou plainte relative à la vie privée :

  • E-mail : support@casestories.com — objet "Privacy / GDPR"
  • Adresse postale : Vento Digitale di Marco Forlani, Via Pietro Mascagni, 119 - 24033 Calusco d'Adda (BG) - Italy, Italie
  • Délai de réponse : 30 jours (60 pour les demandes complexes, Art. 12(3) RGPD). Accusé de réception dans les 5 jours ouvrables.

Vérification d'identité avant tout traitement. Aucuns frais pour les demandes standard ; des frais raisonnables peuvent s'appliquer aux demandes manifestement infondées ou excessives (Art. 12(5) RGPD).

15. Prise de Décision Automatisée et Profilage

Conformément aux Art. 13(2)(f) et 22 du RGPD :

  • Nous ne prenons aucune décision automatisée individuelle produisant des effets juridiques ou similaires.
  • Nous ne procédons à aucun profilage au sens de l'Art. 4(4) RGPD — aucun traitement automatisé pour évaluer des aspects personnels, analyser ou prédire des comportements, préférences ou intérêts.
  • L'analytique interne (§2.3) produit uniquement des statistiques agrégées et anonymisées.
  • Les fonctions IA (§2.5) génèrent du texte éditorial à partir de descriptions de projets. Aucune évaluation, notation ou décision individuelle.
  • La limitation du débit et la détection des fraudes impliquent des vérifications automatisées, mais toute restriction de compte fait l'objet d'une révision humaine.

En cas de changement, nous mettrons à jour cette section et notifierons les utilisateurs à l'avance.

16. Aucune Vente ni Commercialisation des Données Personnelles

Nous confirmons explicitement que :

  • Nous ne vendons, louons, cédons ni échangeons jamais vos données personnelles contre une contrepartie monétaire ou non monétaire.
  • Nous ne partageons pas de données personnelles avec des courtiers en données, annonceurs ou réseaux publicitaires.
  • Nous n'utilisons pas vos données pour la publicité comportementale ou le ciblage basé sur les intérêts.
  • Nous n'utilisons pas le contenu de vos études de cas pour entraîner des modèles IA ou à des fins autres que la fourniture du service.

Cet engagement s'applique quelle que soit votre juridiction.

17. Juridictions Supplémentaires

17.1 UK GDPR

Les résidents britanniques sont protégés par le UK GDPR et le Data Protection Act 2018. Les droits du §8 s'appliquent pleinement. Autorité : ICO — ico.org.uk.

17.2 Brésil — LGPD

Les résidents brésiliens sont protégés par la LGPD (Loi 13.709/2018). Droits exercés via §14. Autorité : ANPDgov.br/anpd.

17.3 Suisse

Les résidents suisses sont protégés par la LPD révisée (en vigueur depuis le 1er septembre 2023). Autorité : PFPDTedoeb.admin.ch.

17.4 Californie — CCPA/CPRA

Les résidents californiens ont des droits au titre du CCPA/CPRA. Comme indiqué au §16, nous ne vendons ni ne partageons de données. Droits via §14.