01 — ResponsableResponsable de traitement
Thucy SARL (nom commercial Voltesecurity)
Siège social : 232 rue de la Tour, 84200 Carpentras, France
SIRET : 889 709 960 00047 — RCS Avignon 889 709 960
Représentée par son gérant, Sylvain Borreda
Thucy SARL est responsable du traitement des données personnelles collectées sur thucy.fr et dans le cadre de la relation commerciale avec ses clients, prospects et partenaires.
02 — Point de contactPoint de contact RGPD
Thucy SARL n'a pas désigné de Délégué à la Protection des Données (DPO), cette désignation n'étant pas obligatoire au regard de l'article 37 du RGPD pour notre activité et notre volume de traitements.
Pour toute question relative à la protection de vos données ou pour exercer vos droits, vous pouvez nous contacter à :
- Email : contact@thucy.fr (objet : « RGPD »)
- Courrier : Thucy SARL — RGPD, 232 rue de la Tour, 84200 Carpentras
Nous répondons à toute demande dans le délai d'un mois, extensible à deux mois en cas de complexité avérée (article 12 §3 RGPD).
03 — PrincipesNos principes
- Minimisation. Nous ne collectons que ce qui est strictement nécessaire.
- Transparence. Cette politique décrit ce que nous faisons, sans jargon.
- Hébergement européen. Nos serveurs et services reposent sur des infrastructures situées dans l'Union européenne.
- Pas de revente, pas de publicité tierce. Vos données ne sont ni louées, ni vendues, ni exploitées à des fins publicitaires.
- Pas de profilage. Aucune décision automatisée produisant des effets juridiques n'est appliquée.
04 — Données collectéesDonnées collectées & finalités
Nous collectons les données suivantes, pour les finalités et bases légales indiquées :
| Contexte | Données | Finalité | Base légale |
|---|---|---|---|
| Contact par email | Nom, prénom, email, téléphone, contenu du message, fonction et société si communiqués | Répondre à votre demande, qualifier un besoin, établir une proposition commerciale | Mesures précontractuelles prises à votre demande (art. 6-1-b RGPD) |
| Relation client | Coordonnées professionnelles, échanges, documents contractuels, facturation | Exécution des prestations, facturation, support, gestion de la relation | Exécution du contrat (art. 6-1-b) / obligation légale comptable (art. 6-1-c) |
| Prospection B2B | Coordonnées professionnelles, intérêts exprimés | Informer d'offres pertinentes au regard de votre fonction | Intérêt légitime (art. 6-1-f) — droit d'opposition à tout moment |
| Navigation sur le site | Adresse IP tronquée, user-agent, pages vues, référent, horodatage | Mesure d'audience anonyme et amélioration du site | Exemption CNIL (Matomo configuré en mode anonyme) |
| Sécurité du site | Logs techniques du serveur (IP, requêtes) | Détection d'abus, protection contre les attaques, traçabilité | Intérêt légitime (art. 6-1-f) / obligation légale (LCEN art. 6-II) |
Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions, religion, orientation sexuelle, etc.) n'est collectée par ce site.
05 — ConservationDurées de conservation
- Prospects & contacts entrants : 3 ans à compter du dernier contact émis à votre initiative (standard CNIL B2B).
- Clients (relation contractuelle) : durée de la relation, puis 5 ans à compter de la fin du contrat (prescription commerciale).
- Données comptables & factures : 10 ans (article L.123-22 du Code de commerce).
- Logs de sécurité du site : 12 mois maximum (recommandation CNIL).
- Mesure d'audience anonymisée (Matomo) : 13 mois.
- Données collectées dans le cadre d'une mission cybersécurité : voir section dédiée.
06 — DestinatairesDestinataires & sous-traitants
Vos données sont traitées par les collaborateurs habilités de Thucy SARL. Elles ne sont jamais vendues ni communiquées à des tiers à des fins commerciales.
Nous faisons appel aux sous-traitants suivants, chacun encadré par un contrat conforme à l'article 28 du RGPD :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Hetzner Online GmbH | Hébergement du site et des services internes | Allemagne (UE) |
| Microsoft 365 | Messagerie, bureautique, stockage SharePoint (échanges commerciaux et livrables) | Stockage configuré en zone Europe |
| Matomo (auto-hébergé) | Mesure d'audience du site en mode anonymisé | Allemagne (UE) — Hetzner |
07 — TransfertsTransferts hors UE
Nous privilégions systématiquement des prestataires hébergeant les données dans l'Union européenne.
Concernant Microsoft 365 (Microsoft Corp., États-Unis), les données clients sont stockées en zone Europe mais la société-mère étant soumise au droit américain, un transfert reste juridiquement possible. Il est alors encadré par le Data Privacy Framework UE-États-Unis (décision d'adéquation de la Commission européenne du 10 juillet 2023) et par des clauses contractuelles types (CCT).
Aucun autre transfert de données hors UE n'est effectué.
08 — SécuritéSécurité des données
La sécurité des données est notre métier. Nous appliquons les mesures suivantes :
- Chiffrement en transit (TLS 1.2+) sur l'ensemble du site et des services.
- Authentification à double facteur sur tous les comptes internes.
- Contrôle d'accès par rôle, principe du moindre privilège, journalisation.
- Sauvegardes chiffrées quotidiennes, avec tests de restauration périodiques.
- Postes de travail chiffrés, EDR, gestion centralisée des correctifs.
- Audits internes réguliers et revue annuelle des traitements.
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures et, si nécessaire, à informer les personnes concernées, conformément aux articles 33 et 34 du RGPD.
09 — Vos droitsVos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique & Libertés, vous disposez des droits suivants :
- Droit d'accès à vos données (article 15).
- Droit de rectification des données inexactes (article 16).
- Droit à l'effacement (« droit à l'oubli », article 17), sous réserve de nos obligations légales de conservation.
- Droit à la limitation du traitement (article 18).
- Droit à la portabilité des données que vous nous avez fournies (article 20).
- Droit d'opposition, notamment au traitement fondé sur l'intérêt légitime et à la prospection commerciale (article 21).
- Droit de retirer votre consentement à tout moment, lorsqu'un traitement y est soumis.
- Droit de définir des directives relatives au sort de vos données après votre décès (article 85 loi I&L).
Comment exercer vos droits ?
Écrivez à contact@thucy.fr avec l'objet « RGPD » en précisant le droit exercé. Nous pourrons être amenés à vous demander un justificatif d'identité en cas de doute raisonnable. Réponse sous 1 mois (extensible à 2 en cas de complexité).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL :
Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22 — cnil.fr/fr/plaintes
10 — CookiesCookies & traceurs
Le site thucy.fr n'utilise ni cookies publicitaires, ni cookies de réseaux sociaux, ni cookies de profilage. Aucun consentement ne vous est demandé car nous n'utilisons que des traceurs exemptés au titre des lignes directrices CNIL du 17 septembre 2020.
| Cookie / traceur | Finalité | Durée | Exempté ? |
|---|---|---|---|
| _pk_id (Matomo) | Mesure d'audience anonymisée (IP tronquée, pas de partage tiers) | 13 mois | Oui (cf. recommandation CNIL) |
| _pk_ses (Matomo) | Identification d'une session de navigation | 30 minutes | Oui |
| thucy-theme | Mémorisation de votre préférence de thème (clair / sombre) | 12 mois | Oui (confort utilisateur) |
Notre instance Matomo est auto-hébergée sur nos serveurs Hetzner (Allemagne) et configurée pour : anonymiser l'adresse IP (2 derniers octets masqués), respecter le signal « Do Not Track », désactiver tout partage de données avec des tiers, désactiver le suivi inter-sites.
Vous pouvez malgré tout refuser la mesure d'audience :
- via le paramètre Do Not Track de votre navigateur ;
- en bloquant les cookies dans les préférences de votre navigateur.
11 — MissionsDonnées traitées dans le cadre de nos missions
Dans le cadre de nos prestations (audit, pentest, SOC, gouvernance, Thucy Lab), nous sommes amenés à traiter des données appartenant à nos clients — logs, configurations, résultats d'analyse, parfois données personnelles de leurs utilisateurs ou salariés.
Pour ces traitements :
- Thucy SARL agit en qualité de sous-traitant au sens de l'article 28 du RGPD.
- Chaque mission fait l'objet d'un contrat précisant les finalités, la nature des données, la durée, les mesures de sécurité et les obligations respectives.
- Les résultats d'analyse, rapports d'audit et preuves de concept sont classifiés et conservés en environnement chiffré, avec une durée maximale de 12 mois après fin de mission, sauf demande explicite du client ou obligation légale contraire.
- Les données sont purgées de manière irréversible à l'issue de cette période.
12 — Mise à jourMise à jour de cette politique
Cette politique peut évoluer pour refléter des changements réglementaires, techniques ou organisationnels. La version en vigueur est toujours celle publiée sur cette page. Toute modification substantielle fera l'objet d'une information sur le site et, le cas échéant, d'une notification aux personnes concernées.