Toutes les catégories
Sécurité & Accès
Intermédiaire Mis à jour le 2026-06-29

RGPD et données clients

Le Règlement Général sur la Protection des Données (RGPD) s'applique à toute organisation qui traite des données personnelles de résidents européens. En tant que gérant d'un site de self-stockage utilisant Boxanet, vous êtes responsable de traitement : c'est vous qui décidez pourquoi et comment les données de vos clients sont utilisées. Ce guide vous explique vos obligations et comment Boxanet vous aide à les respecter.


1. Données personnelles collectées par Boxanet

Boxanet collecte et traite plusieurs catégories de données pour le fonctionnement du service de self-stockage.

Données d'identité et de contact

DonnéeExempleUtilisation principale
Nom et prénomJean DupontIdentification du client, contrat
Adresse postale12 rue de la Paix, 75001 ParisLivraison de documents, domiciliation
Adresse emailjean.dupont@email.comCommunication, espace client
Numéro de téléphone06 12 34 56 78Urgences, rappels
Date de naissance15/03/1980Vérification de majorité
Pièce d'identité (référence)Passeport n°AB123456Vérification KYC

Données contractuelles et financières

DonnéeExempleUtilisation principale
IBANFR76 3000...Prélèvement automatique
Historique des paiementsFactures, encaissementsComptabilité, litiges
Numéro de contratCTR-2024-001Gestion du stockage
Box louéeBox A-12, 10 m²Accès, facturation
Date d'entrée / sortie01/01/2024 — 30/06/2024Durée du contrat

Données d'accès et de sécurité

DonnéeExempleUtilisation principale
Code d'accès / badgeCode 4521Contrôle d'accès
Logs de connexion à l'espace clientDate, heure, IPSécurité, audit
Historique des accès physiquesEntrées/sorties siteSécurité, litiges

2. Base légale du traitement

Chaque traitement de données personnelles doit reposer sur une base légale définie à l'article 6 du RGPD. Voici les bases légales applicables à Boxanet :

Exécution du contrat (art. 6.1.b)

La base principale. Sans ces données, le contrat de location ne peut pas être exécuté.

  • Identité et coordonnées du client
  • IBAN pour le prélèvement automatique
  • Gestion des accès à la box

Obligation légale (art. 6.1.c)

Certaines données doivent être conservées pour respecter la loi, indépendamment de la volonté des parties.

  • Données de facturation (Code de commerce : 10 ans)
  • Journaux d'accès en cas de réquisition judiciaire
  • Documents comptables (FEC)

Intérêt légitime (art. 6.1.f)

Utilisé pour des traitements qui servent vos intérêts commerciaux légitimes sans prévaloir sur les droits des clients.

  • Envoi de communications relatives à la fin de contrat ou aux impayés
  • Prévention de la fraude
  • Amélioration du service

Consentement (art. 6.1.a)

Requis uniquement pour les traitements optionnels, notamment :

  • Envoi de newsletters commerciales
  • Enquêtes de satisfaction
  • Utilisation de cookies non essentiels sur votre site vitrine
⚠️⚠️ Attention : Le consentement doit être libre, éclairé, spécifique et révocable. Il ne peut pas être une condition à la signature du contrat de location.

3. Durées de conservation des données

La conservation des données doit être limitée à ce qui est strictement nécessaire.

Catégorie de donnéesDurée de conservationBase légale
Données du contrat actifDurée du contrat + 5 ansPrescription civile (art. 2224 C. civ.)
Données de facturation / comptabilité10 ans après clôture exerciceCode de commerce art. L123-22
Journaux d'accès physiques1 anIntérêt légitime (sécurité)
Logs de connexion espace client1 anLCEN art. 6-II
Données prospects sans contrat3 ans après dernier contactIntérêt légitime
IBAN (mandat de prélèvement)Durée du contrat + 13 moisRègles SEPA
Pièces d'identité (copie)Non recommandée en principe
💡💡 Conseil : Paramétrez des alertes dans votre processus de gestion pour archiver ou supprimer les données arrivant à échéance. Boxanet conserve les données comptables selon les obligations légales, même si un client demande la suppression de son compte.

4. Droits des clients

Vos clients disposent de droits qu'ils peuvent exercer à tout moment. Vous avez l'obligation de les traiter dans un délai d'un mois, prorogeable d'un mois supplémentaire pour les demandes complexes.

Droit d'accès (art. 15)

Le client peut demander une copie de toutes les données personnelles le concernant détenues par votre établissement.

À fournir : liste des données, finalités, durées de conservation, destinataires.

Droit de rectification (art. 16)

Le client peut demander la correction de données inexactes ou incomplètes.

Exemples : correction d'une adresse, d'un numéro de téléphone, d'une erreur de nom.

Droit à l'effacement (art. 17)

Aussi appelé "droit à l'oubli". Le client peut demander la suppression de ses données.

Limites importantes : Ce droit ne s'applique pas si les données sont nécessaires pour :
  • L'exécution d'un contrat en cours
  • Le respect d'une obligation légale (comptabilité 10 ans)
  • La constatation ou l'exercice de droits en justice

Droit à la portabilité (art. 20)

Le client peut demander à récupérer ses données dans un format structuré et lisible par machine (CSV, JSON).

S'applique à : données fournies par le client et traitées sur la base du contrat ou du consentement.

Droit d'opposition (art. 21)

Le client peut s'opposer au traitement de ses données basé sur l'intérêt légitime, notamment à des fins de prospection commerciale.

Droit à la limitation du traitement (art. 18)

Le client peut demander que ses données ne soient plus utilisées (mais pas effacées) pendant la durée de vérification d'une contestation.


5. Procédure de traitement d'une demande d'exercice de droits

Suivre cette procédure pour chaque demande reçue :

Étape 1 — Réception et accusé de réception

Dès réception d'une demande (email, courrier, formulaire), envoyez un accusé de réception au client dans les 48 heures. Précisez le délai de traitement (1 mois).

Étape 2 — Vérification de l'identité

Avant de communiquer des données, vérifiez que la personne est bien celle qu'elle prétend être. Demandez une pièce d'identité si la demande arrive par email depuis une adresse inconnue.

⚠️⚠️ Attention : Ne demandez pas une pièce d'identité systématiquement si le client se connecte à son espace client — l'authentification vaut vérification.

Étape 3 — Traitement de la demande

  • Accès : Exportez les données depuis Boxanet (profil client, contrats, factures, logs) et envoyez le tout par email sécurisé.
  • Rectification : Corrigez les données directement dans Boxanet. Confirmez la modification au client.
  • Effacement : Vérifiez les contraintes légales avant toute suppression. Supprimez ce qui peut l'être, expliquez par écrit ce qui ne peut pas l'être et pourquoi.
  • Portabilité : Exportez les données en CSV depuis Boxanet et transmettez-les au client.

Étape 4 — Réponse formelle

Répondez par écrit dans le délai d'un mois. Conservez une trace de votre réponse (registre interne).

Étape 5 — En cas de refus partiel

Si vous ne pouvez pas satisfaire intégralement la demande (contraintes légales), expliquez clairement le motif par écrit. Informez le client de son droit de saisir la CNIL.


6. Procédure de suppression d'un client dans Boxanet

La suppression d'un client ne peut se faire que si toutes les conditions suivantes sont réunies :

  • Aucun contrat en cours
  • Aucune dette impayée
  • Délai légal de conservation des données comptables respecté (ou données archivées séparément)

Ce qui peut être supprimé immédiatement

  • Accès à l'espace client (désactivation du compte)
  • Code d'accès / badge
  • Données de contact non nécessaires à la comptabilité

Ce qui doit être conservé

  • Données de facturation (10 ans à compter de la clôture de l'exercice)
  • Données contractuelles (5 ans après la fin du contrat)
  • Journaux d'audit liés à des transactions financières
💡💡 Conseil : En pratique, "supprimer un client" dans Boxanet signifie généralement anonymiser les données non comptables tout en conservant les données financières sous forme archivée. Consignez cette procédure dans votre registre des traitements.

7. Sous-traitants et transferts de données

En tant que responsable de traitement, vous devez conclure un contrat de sous-traitance (DPA) avec chaque prestataire qui traite des données personnelles pour votre compte.

Sous-traitantRôleLocalisation des donnéesDPA disponible
Boxanet (OVH)Hébergement applicatifFrance (OVH Roubaix/Strasbourg)Oui — via CGU
StripePaiement par carteEurope (Dublin)Oui — stripe.com/fr/legal/dpa
Prestataire email (ex. Mailgun, Brevo)Envoi d'emails transactionnelsÀ vérifier selon prestataireOui — à signer
OVHInfrastructure serveursFranceOui — ovhcloud.com
⚠️⚠️ Attention : Aucun transfert de données hors Union Européenne ne doit avoir lieu sans garanties adéquates (clauses contractuelles types, décision d'adéquation). Vérifiez la localisation des serveurs de chaque sous-traitant.
Les données Boxanet sont hébergées exclusivement sur les serveurs OVH en France, ce qui simplifie la conformité RGPD.

8. Le DPO (Délégué à la Protection des Données)

Êtes-vous obligé de nommer un DPO ?

La désignation d'un DPO est obligatoire si votre organisation :

  • Traite des données sensibles à grande échelle, ou
  • Effectue une surveillance systématique et à grande échelle de personnes, ou
  • Est une autorité publique
Pour la plupart des sites de self-stockage de taille standard, la désignation d'un DPO est recommandée mais non obligatoire.

Rôle du DPO

  • Informer et conseiller sur les obligations RGPD
  • Contrôler la conformité
  • Conseiller sur les analyses d'impact (AIPD)
  • Coopérer avec la CNIL
  • Être le point de contact pour les demandes d'exercice de droits

Comment le désigner

  1. Choisissez une personne en interne (responsable administratif) ou un prestataire externe (juriste, cabinet RGPD)
  2. Déclarez le DPO sur le portail de la CNIL : notifications.cnil.fr
  3. Publiez ses coordonnées sur votre politique de confidentialité (obligatoire)

9. Registre des traitements (article 30 du RGPD)

Le registre des traitements est un document obligatoire qui recense tous les traitements de données personnelles réalisés dans votre organisation.

Contenu minimum du registre

Pour chaque traitement, le registre doit mentionner :

  • Nom et coordonnées du responsable de traitement
  • Finalité du traitement (pourquoi vous traitez ces données)
  • Catégories de données concernées
  • Catégories de personnes concernées (clients, prospects, salariés)
  • Destinataires des données (sous-traitants inclus)
  • Durée de conservation
  • Mesures de sécurité techniques et organisationnelles
💡💡 Conseil : La CNIL met à disposition un modèle de registre au format tableur sur son site. Complétez-le pour chaque traitement identifié : gestion clients, facturation, contrôle d'accès, vidéosurveillance (si applicable), etc.

10. Sécurité des données dans Boxanet

Boxanet intègre plusieurs mesures de sécurité techniques pour protéger les données personnelles de vos clients.

Chiffrement des données sensibles

  • IBAN : chiffré en AES-256 en base de données. La clé de chiffrement est stockée séparément des données.
  • Mots de passe : hashés en bcrypt (algorithme à sens unique, irréversible). Aucun mot de passe n'est stocké en clair.

Contrôle des accès

  • Système de rôles (admin, manager, concierge, employee, customer) : chaque utilisateur n'accède qu'aux données nécessaires à sa fonction (principe du moindre privilège).
  • Double authentification (2FA) disponible pour les comptes admin.
  • Sessions sécurisées avec expiration automatique.

Traçabilité

  • Audit trail de toutes les actions sensibles (modification de données, exports, changements de rôle).
  • Logs de connexion conservés 1 an.
  • Aucun log ne peut être modifié ou supprimé par les utilisateurs.

Infrastructure

  • Hébergement OVH France, certifié ISO 27001.
  • Sauvegardes quotidiennes automatiques.
  • Connexions chiffrées HTTPS/TLS sur toutes les interfaces.

FAQ

Q : Un client peut-il demander la suppression de toutes ses données alors qu'il nous doit encore de l'argent ?

R : Non. Vous pouvez refuser la suppression des données nécessaires au recouvrement d'une créance. Ce traitement repose sur votre intérêt légitime et sur l'obligation légale de conservation des pièces comptables. Informez le client par écrit du motif du refus et de ses voies de recours (saisir la CNIL).

Q : Devons-nous notifier la CNIL en cas de violation de données ?

R : Oui, si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, vous devez notifier la CNIL dans les 72 heures suivant la découverte de l'incident. Si le risque est élevé, vous devez également en informer les personnes concernées directement. Contactez immédiatement le support Boxanet en cas de suspicion de violation.

Q : Peut-on conserver les données d'un client prospect qui n'a jamais signé de contrat ?

R : Oui, pendant 3 ans à compter du dernier contact, sur la base de l'intérêt légitime à développer votre activité commerciale. Au-delà, vous devez supprimer ou obtenir un nouveau consentement. Prévoyez un processus de nettoyage régulier de votre base de prospects.

Q : Sommes-nous responsables si Boxanet (en tant que sous-traitant) subit une faille de sécurité ?

R : En tant que responsable de traitement, vous restez responsable vis-à-vis de vos clients. Boxanet, en tant que sous-traitant, est tenu de vous notifier sans délai tout incident affectant vos données. À réception, c'est vous qui devez évaluer le risque, notifier la CNIL si nécessaire, et informer vos clients si requis. Le contrat de sous-traitance (DPA) avec Boxanet définit les responsabilités respectives.


Cet article vous a-t-il été utile ?

Tous les articles Contacter le support