RGPD et données clients
Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute organisation qui traite des données personnelles de résidents européens. En tant que gérant d'un site de self-stockage utilisant Boxanet, vous êtes responsable de traitement : c'est vous qui décidez pourquoi et comment les données de vos clients sont utilisées. Ce guide vous explique vos obligations et comment Boxanet vous aide à les respecter.
1. Données personnelles collectées par Boxanet
Boxanet collecte et traite plusieurs catégories de données pour le fonctionnement du service de self-stockage.
Données d'identité et de contact
| Donnée | Exemple | Utilisation principale |
|---|---|---|
| Nom et prénom | Jean Dupont | Identification du client, contrat |
| Adresse postale | 12 rue de la Paix, 75001 Paris | Livraison de documents, domiciliation |
| Adresse email | jean.dupont@email.com | Communication, espace client |
| Numéro de téléphone | 06 12 34 56 78 | Urgences, rappels |
| Date de naissance | 15/03/1980 | Vérification de majorité |
| Pièce d'identité (référence) | Passeport n°AB123456 | Vérification KYC |
Données contractuelles et financières
| Donnée | Exemple | Utilisation principale |
|---|---|---|
| IBAN | FR76 3000... | Prélèvement automatique |
| Historique des paiements | Factures, encaissements | Comptabilité, litiges |
| Numéro de contrat | CTR-2024-001 | Gestion du stockage |
| Box louée | Box A-12, 10 m² | Accès, facturation |
| Date d'entrée / sortie | 01/01/2024 — 30/06/2024 | Durée du contrat |
Données d'accès et de sécurité
| Donnée | Exemple | Utilisation principale |
|---|---|---|
| Code d'accès / badge | Code 4521 | Contrôle d'accès |
| Logs de connexion à l'espace client | Date, heure, IP | Sécurité, audit |
| Historique des accès physiques | Entrées/sorties site | Sécurité, litiges |
2. Base légale du traitement
Chaque traitement de données personnelles doit reposer sur une base légale définie à l'article 6 du RGPD. Voici les bases légales applicables à Boxanet :
Exécution du contrat (art. 6.1.b)
La base principale. Sans ces données, le contrat de location ne peut pas être exécuté.
- Identité et coordonnées du client
- IBAN pour le prélèvement automatique
- Gestion des accès à la box
Obligation légale (art. 6.1.c)
Certaines données doivent être conservées pour respecter la loi, indépendamment de la volonté des parties.
- Données de facturation (Code de commerce : 10 ans)
- Journaux d'accès en cas de réquisition judiciaire
- Documents comptables (FEC)
Intérêt légitime (art. 6.1.f)
Utilisé pour des traitements qui servent vos intérêts commerciaux légitimes sans prévaloir sur les droits des clients.
- Envoi de communications relatives à la fin de contrat ou aux impayés
- Prévention de la fraude
- Amélioration du service
Consentement (art. 6.1.a)
Requis uniquement pour les traitements optionnels, notamment :
- Envoi de newsletters commerciales
- Enquêtes de satisfaction
- Utilisation de cookies non essentiels sur votre site vitrine
3. Durées de conservation des données
La conservation des données doit être limitée à ce qui est strictement nécessaire.
| Catégorie de données | Durée de conservation | Base légale |
|---|---|---|
| Données du contrat actif | Durée du contrat + 5 ans | Prescription civile (art. 2224 C. civ.) |
| Données de facturation / comptabilité | 10 ans après clôture exercice | Code de commerce art. L123-22 |
| Journaux d'accès physiques | 1 an | Intérêt légitime (sécurité) |
| Logs de connexion espace client | 1 an | LCEN art. 6-II |
| Données prospects sans contrat | 3 ans après dernier contact | Intérêt légitime |
| IBAN (mandat de prélèvement) | Durée du contrat + 13 mois | Règles SEPA |
| Pièces d'identité (copie) | Non recommandée en principe | — |
4. Droits des clients
Vos clients disposent de droits qu'ils peuvent exercer à tout moment. Vous avez l'obligation de les traiter dans un délai d'un mois, prorogeable d'un mois supplémentaire pour les demandes complexes.
Droit d'accès (art. 15)
Le client peut demander une copie de toutes les données personnelles le concernant détenues par votre établissement.
À fournir : liste des données, finalités, durées de conservation, destinataires.Droit de rectification (art. 16)
Le client peut demander la correction de données inexactes ou incomplètes.
Exemples : correction d'une adresse, d'un numéro de téléphone, d'une erreur de nom.Droit à l'effacement (art. 17)
Aussi appelé "droit à l'oubli". Le client peut demander la suppression de ses données.
Limites importantes : Ce droit ne s'applique pas si les données sont nécessaires pour :- L'exécution d'un contrat en cours
- Le respect d'une obligation légale (comptabilité 10 ans)
- La constatation ou l'exercice de droits en justice
Droit à la portabilité (art. 20)
Le client peut demander à récupérer ses données dans un format structuré et lisible par machine (CSV, JSON).
S'applique à : données fournies par le client et traitées sur la base du contrat ou du consentement.Droit d'opposition (art. 21)
Le client peut s'opposer au traitement de ses données basé sur l'intérêt légitime, notamment à des fins de prospection commerciale.
Droit à la limitation du traitement (art. 18)
Le client peut demander que ses données ne soient plus utilisées (mais pas effacées) pendant la durée de vérification d'une contestation.
5. Procédure de traitement d'une demande d'exercice de droits
Suivre cette procédure pour chaque demande reçue :
Étape 1 — Réception et accusé de réception
Dès réception d'une demande (email, courrier, formulaire), envoyez un accusé de réception au client dans les 48 heures. Précisez le délai de traitement (1 mois).
Étape 2 — Vérification de l'identité
Avant de communiquer des données, vérifiez que la personne est bien celle qu'elle prétend être. Demandez une pièce d'identité si la demande arrive par email depuis une adresse inconnue.
Étape 3 — Traitement de la demande
- Accès : Exportez les données depuis Boxanet (profil client, contrats, factures, logs) et envoyez le tout par email sécurisé.
- Rectification : Corrigez les données directement dans Boxanet. Confirmez la modification au client.
- Effacement : Vérifiez les contraintes légales avant toute suppression. Supprimez ce qui peut l'être, expliquez par écrit ce qui ne peut pas l'être et pourquoi.
- Portabilité : Exportez les données en CSV depuis Boxanet et transmettez-les au client.
Étape 4 — Réponse formelle
Répondez par écrit dans le délai d'un mois. Conservez une trace de votre réponse (registre interne).
Étape 5 — En cas de refus partiel
Si vous ne pouvez pas satisfaire intégralement la demande (contraintes légales), expliquez clairement le motif par écrit. Informez le client de son droit de saisir la CNIL.
6. Procédure de suppression d'un client dans Boxanet
La suppression d'un client ne peut se faire que si toutes les conditions suivantes sont réunies :
- Aucun contrat en cours
- Aucune dette impayée
- Délai légal de conservation des données comptables respecté (ou données archivées séparément)
Ce qui peut être supprimé immédiatement
- Accès à l'espace client (désactivation du compte)
- Code d'accès / badge
- Données de contact non nécessaires à la comptabilité
Ce qui doit être conservé
- Données de facturation (10 ans à compter de la clôture de l'exercice)
- Données contractuelles (5 ans après la fin du contrat)
- Journaux d'audit liés à des transactions financières
7. Sous-traitants et transferts de données
En tant que responsable de traitement, vous devez conclure un contrat de sous-traitance (DPA) avec chaque prestataire qui traite des données personnelles pour votre compte.
| Sous-traitant | Rôle | Localisation des données | DPA disponible |
|---|---|---|---|
| Boxanet (OVH) | Hébergement applicatif | France (OVH Roubaix/Strasbourg) | Oui — via CGU |
| Stripe | Paiement par carte | Europe (Dublin) | Oui — stripe.com/fr/legal/dpa |
| Prestataire email (ex. Mailgun, Brevo) | Envoi d'emails transactionnels | À vérifier selon prestataire | Oui — à signer |
| OVH | Infrastructure serveurs | France | Oui — ovhcloud.com |
8. Le DPO (Délégué à la Protection des Données)
Êtes-vous obligé de nommer un DPO ?
La désignation d'un DPO est obligatoire si votre organisation :
- Traite des données sensibles à grande échelle, ou
- Effectue une surveillance systématique et à grande échelle de personnes, ou
- Est une autorité publique
Rôle du DPO
- Informer et conseiller sur les obligations RGPD
- Contrôler la conformité
- Conseiller sur les analyses d'impact (AIPD)
- Coopérer avec la CNIL
- Être le point de contact pour les demandes d'exercice de droits
Comment le désigner
- Choisissez une personne en interne (responsable administratif) ou un prestataire externe (juriste, cabinet RGPD)
- Déclarez le DPO sur le portail de la CNIL : notifications.cnil.fr
- Publiez ses coordonnées sur votre politique de confidentialité (obligatoire)
9. Registre des traitements (article 30 du RGPD)
Le registre des traitements est un document obligatoire qui recense tous les traitements de données personnelles réalisés dans votre organisation.
Contenu minimum du registre
Pour chaque traitement, le registre doit mentionner :
- Nom et coordonnées du responsable de traitement
- Finalité du traitement (pourquoi vous traitez ces données)
- Catégories de données concernées
- Catégories de personnes concernées (clients, prospects, salariés)
- Destinataires des données (sous-traitants inclus)
- Durée de conservation
- Mesures de sécurité techniques et organisationnelles
10. Sécurité des données dans Boxanet
Boxanet intègre plusieurs mesures de sécurité techniques pour protéger les données personnelles de vos clients.
Chiffrement des données sensibles
- IBAN : chiffré en AES-256 en base de données. La clé de chiffrement est stockée séparément des données.
- Mots de passe : hashés en bcrypt (algorithme à sens unique, irréversible). Aucun mot de passe n'est stocké en clair.
Contrôle des accès
- Système de rôles (admin, manager, concierge, employee, customer) : chaque utilisateur n'accède qu'aux données nécessaires à sa fonction (principe du moindre privilège).
- Double authentification (2FA) disponible pour les comptes admin.
- Sessions sécurisées avec expiration automatique.
Traçabilité
- Audit trail de toutes les actions sensibles (modification de données, exports, changements de rôle).
- Logs de connexion conservés 1 an.
- Aucun log ne peut être modifié ou supprimé par les utilisateurs.
Infrastructure
- Hébergement OVH France, certifié ISO 27001.
- Sauvegardes quotidiennes automatiques.
- Connexions chiffrées HTTPS/TLS sur toutes les interfaces.
FAQ
Q : Un client peut-il demander la suppression de toutes ses données alors qu'il nous doit encore de l'argent ?R : Non. Vous pouvez refuser la suppression des données nécessaires au recouvrement d'une créance. Ce traitement repose sur votre intérêt légitime et sur l'obligation légale de conservation des pièces comptables. Informez le client par écrit du motif du refus et de ses voies de recours (saisir la CNIL).
Q : Devons-nous notifier la CNIL en cas de violation de données ?R : Oui, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, vous devez notifier la CNIL dans les 72 heures suivant la découverte de l'incident. Si le risque est élevé, vous devez également en informer les personnes concernées directement. Contactez immédiatement le support Boxanet en cas de suspicion de violation.
Q : Peut-on conserver les données d'un client prospect qui n'a jamais signé de contrat ?R : Oui, pendant 3 ans à compter du dernier contact, sur la base de l'intérêt légitime à développer votre activité commerciale. Au-delà, vous devez supprimer ou obtenir un nouveau consentement. Prévoyez un processus de nettoyage régulier de votre base de prospects.
Q : Sommes-nous responsables si Boxanet (en tant que sous-traitant) subit une faille de sécurité ?R : En tant que responsable de traitement, vous restez responsable vis-à-vis de vos clients. Boxanet, en tant que sous-traitant, est tenu de vous notifier sans délai tout incident affectant vos données. À réception, c'est vous qui devez évaluer le risque, notifier la CNIL si nécessaire, et informer vos clients si requis. Le contrat de sous-traitance (DPA) avec Boxanet définit les responsabilités respectives.