Maintenance WordPress & WooCommerce managée Formulaires publics sans mot de passe ni accès sensible
WPASSIST Care · Partners · Interventions
Demander un audit
Confidentialité

Comment WPASSIST traite les données.

Cette page explique quelles données peuvent être collectées, pourquoi, pendant combien de temps, avec quels sous-traitants et quels droits peuvent être exercés.

[Texte à faire valider juridiquement avant publication ou signature.]
01 · Responsable

Responsable du traitement

Le responsable du traitement des données collectées via le site WPASSIST est :

  • MarqueWPASSIST
  • Société[À compléter par Youssef]
  • Adresse[À compléter par Youssef]
  • Email RGPD[À compléter par Youssef]
  • Représentant[À compléter par Youssef]
02 · Données

Données pouvant être collectées

Selon les formulaires et les échanges, WPASSIST peut collecter les données suivantes :

Contact

Nom, prénom, email, société, message, sujet de la demande.

Site WordPress

URL du site, contexte technique, type de demande, captures ou informations transmises volontairement.

Facturation

Informations nécessaires au paiement, à la facturation et au suivi client via Stripe ou outil équivalent validé.

Technique

Informations nécessaires à l’exécution d’une prestation lorsque le client les fournit par un canal encadré.

Les formulaires publics WPASSIST ne doivent jamais recevoir de mot de passe, clé API, token, accès SMTP, FTP, hébergement, base de données ou registrar.
03 · Finalités

Finalités du traitement

Les données collectées sont traitées exclusivement pour les finalités suivantes, chacune associée à une base légale précise (cf. section 04).

  • ContactRépondre aux demandes envoyées via le formulaire, qualifier le besoin et orienter vers la prestation adaptée.
  • Audit gratuitRéaliser une première lecture externe du site WordPress transmis et fournir une orientation par email sous 48h ouvrées.
  • CareGérer la relation client, exécuter la maintenance mensuelle, produire le rapport mensuel et assurer le suivi opérationnel des interventions incluses.
  • PartnersQualifier le portefeuille agence, organiser l’onboarding progressif, exécuter la maintenance déléguée et transmettre les rapports au Partner uniquement.
  • InterventionsQualifier la demande ponctuelle, exécuter la prestation commandée et restituer la synthèse d’intervention.
  • FacturationÉmettre les factures, gérer les paiements via Stripe, relancer les impayés et conserver les pièces comptables conformément aux obligations légales.
  • Sécurité opérationnellePrévenir les abus des formulaires (honeypot, rate limit), détecter les tentatives de transmission de secrets et journaliser les accès techniques sensibles.
  • Amélioration du serviceAnalyser les sollicitations de manière agrégée et anonymisée pour faire évoluer les offres et la qualité de prise en charge.
04 · Bases légales

Bases légales par finalité

Chaque finalité repose sur une base légale RGPD identifiée. En cas de cumul de finalités sur une même donnée, la base la plus protectrice s’applique.

  • Contrat (art. 6.1.b)Exécution des prestations Care, Partners et Interventions souscrites par le client, y compris facturation, reporting et maintenance.
  • Mesures précontractuelles (art. 6.1.b)Traitement des demandes contact, audit gratuit et qualification commerciale préalables à la signature.
  • Obligation légale (art. 6.1.c)Conservation des factures (10 ans, Code de commerce art. L123-22), des contrats et des éléments comptables exigés par l’administration fiscale française.
  • Intérêt légitime (art. 6.1.f)Sécurisation des formulaires (anti-spam, honeypot, rate limit), traçabilité des accès techniques, prévention de la fraude, amélioration du service. Un droit d’opposition peut être exercé (cf. section 08).
  • Consentement (art. 6.1.a)Cochage explicite de la case RGPD dans les formulaires publics. Le consentement peut être retiré à tout moment sans affecter la licéité du traitement antérieur.
Le règlement applicable est le Règlement (UE) 2016/679 (RGPD) et la loi française « Informatique et Libertés » modifiée.
05 · Sous-traitants

Sous-traitants et outils

WPASSIST peut s’appuyer sur les prestataires et outils suivants pour fournir ses services.

Network Assist Maroc

Base opérationnelle du projet WPASSIST : exécution encadrée, préparation, suivi technique et vérifications selon le périmètre validé.

Network Assist France

Coordination commerciale, relation client, cadrage des demandes et suivi qualité selon l’organisation retenue.

WP Umbrella

Suivi technique, maintenance, reporting et informations liées aux sites pris en charge.

Patchstack / Site Protect

Finalité : surveillance des vulnérabilités WordPress et réduction des risques de sécurité. Données traitées : URL du site, métadonnées techniques. Activée selon la formule retenue.

Stripe

Paiement, facturation, Customer Portal et Smart Retries selon les offres activées.

Google / Infomaniak / OVH

Documents, suivi manuel, email, DNS ou services techniques selon configuration validée.

05 bis · Transfert hors UE

Transfert hors Union européenne

WPASSIST s’appuie sur Network Assist Maroc comme base opérationnelle. À ce titre, certaines données strictement nécessaires à l’exécution des prestations (URL du site, identifiants techniques temporaires fournis par le client, journaux d’intervention) peuvent être traitées au Maroc.

  • Pays destinataireMaroc
  • Base légaleExécution du contrat de prestation et intérêt légitime à l’organisation opérationnelle.
  • Garanties[À compléter par Youssef — Clauses contractuelles types (CCT) UE/Maroc + accord interne de sous-traitance à formaliser]
  • Données concernéesURL du site, métadonnées techniques, accès temporaires révoqués après intervention.
Les accès sensibles sont systématiquement temporaires, à moindre privilège et révoqués après intervention. Aucune donnée sensible n’est transmise via les formulaires publics.
07 · Durées

Durées de conservation

Les données sont conservées pendant une durée strictement proportionnée à leur finalité, conformément aux recommandations CNIL. Les durées ci-dessous sont indicatives et peuvent être ajustées selon les obligations légales applicables.

Demandes contact / audit gratuitActive : durée du traitementArchivage intermédiaire : 3 ans après dernier contact
Dossiers clients Care / PartnersActive : durée de la relation contractuelleArchivage intermédiaire : 5 ans après fin du contrat
Pièces comptables et facturesActive : exercice en coursArchivage légal : 10 ans (Code de commerce art. L123-22)
Accès techniques temporairesActive : durée de l’interventionSuppression immédiate après révocation des accès
Journaux d’interventionActive : 12 moisArchivage : 3 ans pour traçabilité
Cookies nécessairesSession ou 13 mois maximumConformément à la délibération CNIL n°2020-091
Données prospects sans suite3 ans après dernier contact entrantRecommandation CNIL pour la prospection B2B
À l’issue de la durée active, les données sont soit archivées en accès restreint, soit supprimées de manière irréversible selon l’obligation légale applicable.
08 · Droits

Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, toute personne concernée peut exercer les droits suivants, sous réserve des exceptions et conditions prévues par le règlement.

  • Accès (art. 15)Obtenir confirmation que des données vous concernant sont traitées et recevoir une copie de ces données ainsi que les informations associées (finalités, destinataires, durées).
  • Rectification (art. 16)Faire corriger sans délai les données inexactes et compléter les données incomplètes.
  • Effacement (art. 17)Demander la suppression de vos données lorsque la finalité n’est plus justifiée, en cas de retrait du consentement ou d’opposition légitime.
  • Opposition (art. 21)Vous opposer à tout moment au traitement fondé sur l’intérêt légitime ou la prospection commerciale.
  • Limitation (art. 18)Demander le gel temporaire du traitement, notamment en cas de contestation de l’exactitude ou de la licéité.
  • Portabilité (art. 20)Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, ou demander leur transmission directe à un autre responsable.
  • Directives post-mortemDéfinir des directives sur le sort de vos données après votre décès, conformément à la loi française.
  • Retrait du consentementRetirer à tout moment le consentement donné, sans affecter la licéité des traitements antérieurs.

Procédure de demande

Les demandes peuvent être adressées par email à [Email RGPD à compléter par Youssef] ou par courrier postal à l’adresse de l’éditeur (cf. mentions légales). La demande doit préciser l’identité du demandeur ; une pièce justificative d’identité peut être demandée en cas de doute raisonnable.

WPASSIST s’engage à répondre dans un délai d’un mois à compter de la réception de la demande, prorogeable de deux mois en cas de complexité, conformément à l’article 12 du RGPD.

En cas de désaccord ou d’absence de réponse satisfaisante, vous disposez du droit de saisir la CNIL (Commission nationale de l’informatique et des libertés — www.cnil.fr/plaintes) ou l’autorité de contrôle de votre lieu de résidence.
09 · Sécurité

Sécurité des données et des accès

WPASSIST applique une approche de prudence opérationnelle conforme aux recommandations CNIL et à l’art. 32 RGPD (sécurité du traitement).

  • TransmissionHTTPS forcé (HSTS) sur l’ensemble du site et du formulaire. Aucune donnée sensible transmise en clair.
  • StockageAucune base de données publique. Les formulaires sont traités par email manuel sans stockage applicatif persistant côté web.
  • Accès techniquesComptes temporaires à moindre privilège, double authentification (2FA) lorsque disponible, révocation systématique après intervention.
  • Protection des formulairesHoneypot anti-bot, rate limit par IP, vérification d’origine (anti-CSRF), détection automatique de mots de passe ou tokens dans les champs libres.
  • Sous-traitantsChaque sous-traitant est sélectionné sur ses engagements de sécurité et de conformité RGPD. Une annexe RGPD est signée avec les Partners avant tout setup opérationnel.
  • Notification de violationEn cas de violation de données susceptible d’engendrer un risque pour les droits et libertés des personnes, WPASSIST notifie la CNIL dans les 72 heures (art. 33 RGPD) et informe les personnes concernées si le risque est élevé (art. 34 RGPD).
Les accès techniques nécessaires à une intervention sont demandés uniquement après qualification, par une méthode encadrée (gestionnaire de mots de passe, lien à durée limitée), jamais via les formulaires publics.
10 · Cookies

Cookies et traceurs

Conformément à la délibération CNIL n°2020-091 et à l’article 82 de la loi Informatique et Libertés, WPASSIST n’utilise que des cookies strictement nécessaires au fonctionnement du site, dispensés de consentement préalable.

  • Cookies strictement nécessairesCookies techniques liés à la sécurité, à l’équilibrage de charge ou à la persistance de session. Aucun consentement requis. Durée maximale : session ou 13 mois.
  • Cookies de mesure d’audienceAucun outil de mesure tiers (Google Analytics, Matomo, etc.) n’est activé à ce jour. Si activation future, un bandeau de consentement conforme CNIL sera mis en place.
  • Cookies marketing / publicitairesAucun cookie publicitaire ou de retargeting (Meta, Google Ads, LinkedIn Insight Tag) n’est déposé.
  • Cookies tiersLes pages publiques ne chargent aucune iframe (YouTube, Vimeo, Maps) susceptible de déposer des cookies tiers.
En l’état actuel du site, aucun bandeau de consentement n’est requis. Toute évolution (ajout d’un outil de mesure, intégration tierce) entraînera la mise en place d’un mécanisme de recueil du consentement conforme aux exigences CNIL.
11 · Contact RGPD

Contact relatif aux données

Pour toute question ou demande relative aux données personnelles :

  • Email[À compléter par Youssef]
  • Adresse[À compléter par Youssef]
  • AutoritéLa personne concernée peut également introduire une réclamation auprès de l’autorité de contrôle compétente.
[Texte à faire valider juridiquement avant publication ou signature.]
Confidentialité

Une question sur vos données ?

Utilisez le contact dédié une fois l’adresse validée. Aucun accès sensible ne doit être transmis dans un formulaire public.

ContactMentions légales