Politique de Confidentialité

Dernière mise à jour: 4 avril 2026  ·  En vigueur: 4 avril 2026

CaseStories ("nous", "notre") est exploité par Vento Digitale di Marco Forlani (N° TVA IT03694090139), Italie. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles en pleine conformité avec le RGPD (UE 2016/679), le Code de la vie privée italien, le UK GDPR et les lois applicables.

1. Responsable du Traitement et Coordonnées

Le responsable du traitement de vos données personnelles est :

Délégué à la Protection des Données (DPD)

En vertu de l'Art. 37 RGPD, un DPD est obligatoire pour les autorités publiques, les organisations effectuant une surveillance systématique à grande échelle ou traitant des catégories particulières de données à grande échelle. Vento Digitale di Marco Forlani est un petit opérateur privé qui ne procède pas à une surveillance systématique à grande échelle. Par conséquent, la désignation d'un DPD n'est pas légalement requise. Toutes les questions de protection des données sont traitées directement par le responsable.

2. Données que Nous Collectons

2.1 Données de Compte

Lors de votre inscription, nous collectons :

  • Adresse e-mail (obligatoire — identifiant de compte)
  • Prénom et nom (obligatoires)
  • Mot de passe — stocké sous forme de hachage à sens unique (Argon2id).
  • Nom d'entreprise, description, site web, ville, pays, secteur, téléphone (facultatifs)
  • Logo d'entreprise (image, facultatif)
  • Langue d'interface préférée

2.2 Données de Contenu

Toutes les études de cas, descriptions de projets, fichiers médias et messages directs que vous créez via la plateforme sont stockés et associés à votre compte.

2.3 Analytique Interne

Nous utilisons notre propre système d'analyse. Nous collectons :

  • Adresse IP hachée — hachée immédiatement (SHA-256 + sel) ; l'IP brute n'est jamais conservée. Le hachage est conservé maximum 24 mois et est techniquement irréversible.
  • Pages visitées et horodatages
  • Type de navigateur et OS
  • URL de référence
  • Pays (dérivé de l'IP ; IP brute supprimée immédiatement)

Nous n'utilisons pas Google Analytics, Meta Pixel ni aucun script de suivi tiers sur la plateforme ou dans nos e-mails.

2.4 Données de Paiement

Les paiements sont gérés par Paddle, qui agit en tant que Marchand de référence et responsable autonome du traitement des données de paiement. Nous ne stockons pas de numéros de carte, CVV ou coordonnées bancaires. Nous conservons uniquement l'identifiant client, d'abonnement, de transaction et le statut de paiement Paddle.

2.5 Contenu Généré par IA

Lors de l'utilisation des fonctions IA, le texte du projet est transmis à l'API d'Anthropic. Aucun identifiant personnel n'est transmis. Le texte est traité de manière transitoire et non utilisé pour entraîner les modèles d'Anthropic selon notre DPA.

2.6 Données de Connexion OAuth

Via Google, LinkedIn ou Facebook, nous ne recevons que l'e-mail et le nom d'affichage. Nous stockons le nom du fournisseur et l'identifiant utilisateur. Nous ne recevons ni ne stockons de jetons OAuth ni mots de passe.

2.7 Métadonnées des E-mails Transactionnels

Pour les e-mails transactionnels, nous traitons votre adresse e-mail et le statut de livraison. Nous n'intégrons pas de pixels de suivi ni de liens trackés dans nos e-mails.

3. Comment Nous Utilisons Vos Données

  • Prestation du service : Création et gestion de compte, publication d'études de cas, paiements, rédaction et traduction IA.
  • Amélioration du service : Analyse de modèles d'utilisation agrégés et anonymisés.
  • Communication : E-mails transactionnels (vérification, réinitialisation, reçus, alertes). Aucun e-mail marketing sans consentement explicite préalable.
  • Sécurité : Détection et prévention des accès frauduleux, limitation du débit, prévention des abus.
  • Conformité légale et comptabilité : Conservation des dossiers de facturation selon le droit fiscal européen et italien.
  • Divulgation aux autorités publiques : Lorsque la loi, une décision de justice ou une demande contraignante d'une autorité compétente l'exige, nous pouvons divulguer des données personnelles. Nous vous en informerons sauf interdiction légale.
  • Support : Réponse aux demandes et résolution des litiges.

Nous ne vendons, louons, cédons ni ne commercialisons vos données personnelles à des tiers, et nous ne les utilisons pas pour le ciblage publicitaire.

4. Bases Légales du Traitement (Art. 6 RGPD)

  • Exécution du contrat (Art. 6(1)(b)) : Traitement nécessaire à la fourniture du service — gestion de compte, publication d'études de cas, paiements, écriture IA.
  • Intérêts légitimes (Art. 6(1)(f)) : Surveillance de la sécurité, prévention des fraudes et analytique interne. Une analyse des intérêts légitimes (LIA) a été réalisée : nos intérêts sont équilibrés par des techniques préservant la vie privée (hachage IP, anonymisation). Vous pouvez vous y opposer à tout moment (§8).
  • Obligation légale (Art. 6(1)(c)) : Conservation des dossiers de facturation selon le droit fiscal (10 ans).
  • Consentement (Art. 6(1)(a)) : Traitement fondé sur le consentement uniquement pour l'inscription (vérification e-mail). Toute fonctionnalité optionnelle future sera clairement opt-in, avec droit de retrait sans pénalité.

5. Sous-Traitants et Prestataires Tiers

5.1 Paddle (Paiements — Responsable Autonome)

Paddle.com Market Ltd (Royaume-Uni / Irlande). Agit en tant que Marchand de référence — Paddle est un responsable du traitement autonome pour les données de paiement, non un sous-traitant. PCI-DSS conforme selon sa propre politique : paddle.com/legal/privacy. Nous ne recevons que les métadonnées listées au §2.4.

5.2 Anthropic (Rédaction IA & Traduction — Sous-Traitant)

Anthropic, PBC (San Francisco, États-Unis). Sous DPA signé. Seul le texte du projet est transmis. Transfert US couvert par CCT (Art. 46(2)(c) RGPD) et mesures supplémentaires. TIA effectuée. Politique : anthropic.com/privacy.

5.3 Fournisseurs OAuth (Identité — Responsables Autonomes)

Google LLC, LinkedIn Corporation, Meta Platforms Inc. — uniquement si vous choisissez de vous connecter via leurs services. Chaque fournisseur est responsable autonome pour l'authentification OAuth. Nous ne recevons que nom et e-mail (§2.6). Transferts US couverts par la décision d'adéquation UE–États-Unis ou CCT.

5.4 Infrastructure d'Hébergement (Sous-Traitant)

Tous les serveurs sont dans l'Union européenne. Pas de fournisseurs cloud américains pour le stockage principal. Tous les hébergeurs ont signé des DPA conformes à l'Art. 28 RGPD.

5.5 Livraison des E-mails Transactionnels (Sous-Traitant)

E-mails transmis via SMTP chiffré TLS. Infrastructure dans l'UE. Tout relais SMTP tiers est dans l'UE, lié par un DPA et l'Art. 28 RGPD. Votre adresse n'est utilisée que pour la livraison de la notification système.

6. Cookies et Technologies Similaires

CaseStories utilise uniquement des cookies strictement nécessaires. Aucune bannière de consentement n'est requise selon la Directive ePrivacy (2002/58/CE).

  • Cookie de session (PHPSESSID) : Maintient l'authentification. Expire à la fermeture du navigateur ou après 30 min d'inactivité. Attributs : HttpOnly, Secure, SameSite=Strict.
  • Cookie CSRF : Protection CSRF. Ne vous identifie pas. Attributs : HttpOnly, Secure, SameSite=Strict.
  • Cookie de langue : Mémorise la langue d'interface. Sans données personnelles. Expire après 1 an.

Nous n'utilisons pas de cookies analytiques, publicitaires, de pixels de suivi, de fingerprinting ni de cookies tiers. Aucune donnée collectée via cookies n'est partagée.

7. Durée de Conservation

  • Données du compte : Conservées pendant l'activité du compte. Supprimées dans les 30 jours d'une demande d'effacement vérifiée (§8), sous réserve des obligations légales ci-dessous.
  • Études de cas publiées : Jusqu'à suppression ou fermeture. Retirées immédiatement de la vue publique ; effacées des sauvegardes dans les 90 jours.
  • Données analytiques (IP hachée + statistiques) : 24 mois. L'IP hachée est techniquement irréversible.
  • Dossiers de facturation : 10 ans — Directive TVA UE et droit fiscal italien. Impossible de les supprimer plus tôt.
  • Messages de support : 3 ans après le dernier contact.
  • Journaux de livraison des e-mails : 30 jours, uniquement pour résolution de problèmes.
  • Données supprimées dans les sauvegardes : Écrasées dans les 90 jours.

8. Vos Droits au titre du RGPD et des Lois Applicables

Dans l'EEE, au Royaume-Uni ou en Suisse, vous disposez des droits suivants :

  • Accès (Art. 15) : Copie de toutes vos données personnelles et informations sur leur traitement.
  • Rectification (Art. 16) : Corriger des données inexactes. La plupart des champs sont modifiables dans les paramètres du compte.
  • Effacement — "droit à l'oubli" (Art. 17) : Suppression dans les 30 jours. Exception : données légalement obligatoires (§7).
  • Portabilité (Art. 20) : Données en format JSON. Demande par e-mail.
  • Limitation (Art. 18) : Traitement limité pendant la résolution d'un litige.
  • Opposition (Art. 21) : Opposition au traitement fondé sur les intérêts légitimes. Nous cesserons le traitement sauf motifs légitimes impérieux.
  • Retrait du consentement (Art. 7(3)) : À tout moment, sans effet rétroactif.
  • Ne pas être soumis à une décision automatisée (Art. 22) : Nous ne prenons pas de décisions fondées exclusivement sur un traitement automatisé. Voir §15.

Fourniture des données — obligatoire et facultative (Art. 13(2)(e)) : L'adresse e-mail et le nom sont obligatoires pour créer un compte. Tous les autres champs de profil sont facultatifs.

Exercice des droits : E-mail support@casestories.com, objet "GDPR Request", ou par courrier postal à : Vento Digitale di Marco Forlani, [ADDRESS]. Réponse dans les 30 jours (60 pour les demandes complexes). Sans frais.

Droit de réclamation : Vous pouvez déposer une réclamation auprès de toute autorité de contrôle compétente de l'UE/EEE dans votre État de résidence habituelle ou de travail. L'autorité chef de file est :
Garante per la protezione dei dati personaliwww.garanteprivacy.it
Les résidents britanniques peuvent contacter l'ICO : ico.org.uk.

9. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles (MTO) appropriées selon l'Art. 32 RGPD et la protection des données dès la conception (Art. 25) :

  • HTTPS avec TLS 1.2+ ; redirections HTTP vers HTTPS
  • Argon2id pour les mots de passe (irréversible, avec sel)
  • Anonymisation IP SHA-256 + sel (IP brute jamais stockée)
  • Tokens CSRF sur toutes les requêtes modifiant l'état
  • Limitation du débit sur les endpoints d'authentification et d'API
  • HttpOnly, Secure, SameSite=Strict sur les cookies de session
  • Prévention des injections SQL via instructions préparées
  • Validation MIME et stockage hors racine web pour les fichiers téléchargés
  • Contrôle d'accès par rôle avec principe du moindre privilège
  • Révisions de sécurité régulières et audits des dépendances
  • Sauvegardes chiffrées dans l'UE

Aucun système n'est sûr à 100 %. En cas de violation, notification du Garante dans les 72 heures (Art. 33 RGPD) et des utilisateurs concernés sans délai injustifié en cas de risque élevé (Art. 34).

10. Transferts Internationaux de Données

Vos données principales sont stockées sur des serveurs UE. Certains sous-traitants opèrent hors UE/EEE :

  • Anthropic (États-Unis) : Couvert par les CCT (Art. 46(2)(c) RGPD) dans un DPA signé, complété par une TIA. Traitement limité à la génération de texte IA ; aucun identifiant personnel transmis.
  • Fournisseurs OAuth (États-Unis) — Google, LinkedIn, Meta : Couvert par la décision d'adéquation UE–États-Unis (10 juillet 2023) ou, le cas échéant, par les CCT.

UK GDPR : Les utilisateurs du Royaume-Uni sont couverts par le UK GDPR. Les transferts vers le RU bénéficient de la décision d'adéquation de l'UE. Les droits du §8 s'appliquent également aux résidents britanniques.

Tous les transferts utilisent des garanties appropriées. Contactez-nous pour les détails.

11. Confidentialité des Mineurs

CaseStories est une plateforme B2B professionnelle non destinée aux personnes de moins de 16 ans (âge de consentement numérique RGPD). Nous ne collectons pas sciemment de données de mineurs. Si vous pensez qu'un enfant nous a fourni des données, contactez-nous immédiatement à support@casestories.com.

12. Notification de Violation de Données

En cas de violation de données :

  • Notification du Garante dans les 72 heures (Art. 33 RGPD), sauf si la violation ne présente pas de risque
  • Notification des utilisateurs concernés sans délai injustifié (Art. 34 RGPD) en cas de risque élevé, sauf données rendues inintelligibles
  • Inclusion dans la notification : nature et portée, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises
  • Tenue d'un registre interne des violations (Art. 33(5) RGPD)

13. Modifications de cette Politique

Nous pouvons mettre à jour cette politique pour refléter des changements dans nos pratiques, la technologie ou les exigences légales.

Les changements importants (finalités, types de données, nouveaux sous-traitants ou droits des personnes concernées) seront notifiés par e-mail aux titulaires de comptes au moins 30 jours avant leur entrée en vigueur et par un avis visible sur la plateforme. La poursuite de l'utilisation après la date d'entrée en vigueur ne vaut acceptation que pour les mises à jour non importantes.

Les changements non importants (clarifications, mise en forme, coordonnées) peuvent prendre effet immédiatement.

Versions précédentes disponibles sur demande.

14. Contact

Pour toute demande, question ou plainte relative à la vie privée :

  • E-mail : support@casestories.com — objet "Privacy / GDPR"
  • Adresse postale : Vento Digitale di Marco Forlani, [ADDRESS], Italie
  • Délai de réponse : 30 jours (60 pour les demandes complexes, Art. 12(3) RGPD). Accusé de réception dans les 5 jours ouvrables.

Vérification d'identité avant tout traitement. Aucuns frais pour les demandes standard ; des frais raisonnables peuvent s'appliquer aux demandes manifestement infondées ou excessives (Art. 12(5) RGPD).

15. Prise de Décision Automatisée et Profilage

Conformément aux Art. 13(2)(f) et 22 du RGPD :

  • Nous ne prenons aucune décision automatisée individuelle produisant des effets juridiques ou similaires.
  • Nous ne procédons à aucun profilage au sens de l'Art. 4(4) RGPD — aucun traitement automatisé pour évaluer des aspects personnels, analyser ou prédire des comportements, préférences ou intérêts.
  • L'analytique interne (§2.3) produit uniquement des statistiques agrégées et anonymisées.
  • Les fonctions IA (§2.5) génèrent du texte éditorial à partir de descriptions de projets. Aucune évaluation, notation ou décision individuelle.
  • La limitation du débit et la détection des fraudes impliquent des vérifications automatisées, mais toute restriction de compte fait l'objet d'une révision humaine.

En cas de changement, nous mettrons à jour cette section et notifierons les utilisateurs à l'avance.

16. Aucune Vente ni Commercialisation des Données Personnelles

Nous confirmons explicitement que :

  • Nous ne vendons, louons, cédons ni échangeons jamais vos données personnelles contre une contrepartie monétaire ou non monétaire.
  • Nous ne partageons pas de données personnelles avec des courtiers en données, annonceurs ou réseaux publicitaires.
  • Nous n'utilisons pas vos données pour la publicité comportementale ou le ciblage basé sur les intérêts.
  • Nous n'utilisons pas le contenu de vos études de cas pour entraîner des modèles IA ou à des fins autres que la fourniture du service.

Cet engagement s'applique quelle que soit votre juridiction.

17. Juridictions Supplémentaires

17.1 UK GDPR

Les résidents britanniques sont protégés par le UK GDPR et le Data Protection Act 2018. Les droits du §8 s'appliquent pleinement. Autorité : ICO — ico.org.uk.

17.2 Brésil — LGPD

Les résidents brésiliens sont protégés par la LGPD (Loi 13.709/2018). Droits exercés via §14. Autorité : ANPDgov.br/anpd.

17.3 Suisse

Les résidents suisses sont protégés par la LPD révisée (en vigueur depuis le 1er septembre 2023). Autorité : PFPDTedoeb.admin.ch.

17.4 Californie — CCPA/CPRA

Les résidents californiens ont des droits au titre du CCPA/CPRA. Comme indiqué au §16, nous ne vendons ni ne partageons de données. Droits via §14.