Politique de confidentialité.

01 Responsable du traitement

Le responsable du traitement des données personnelles collectées sur ce site est :

Représentant légal et directeur de la publication : Nicolas Lobrot.

02 Délégué à la protection des données (DPO)

Gemba Conseil n'a pas désigné de DPO formel — la nomination d'un DPO n'étant pas obligatoire au regard de notre activité et de notre taille.

Pour toute question relative au traitement de vos données personnelles ou à l'exercice de vos droits RGPD, contactez-nous à : contact@gemba-conseil.com.

03 Données collectées et finalités

Nous collectons uniquement les données que vous nous transmettez volontairement via les points de contact du site. Voici le détail par point d'entrée :

Prise de rendez-vous (HubSpot Meetings)

• Données collectées : prénom, nom, email professionnel, entreprise, rôle, téléphone (optionnel), contexte de votre demande.
• Finalité : organiser et confirmer un rendez-vous de cadrage, préparer l'échange et vous recontacter le cas échéant.

Auto-diagnostics (questionnaires en ligne)

• Données collectées : prénom, nom, email professionnel, entreprise, réponses au questionnaire.
• Finalité : vous envoyer votre profil de maturité personnalisé, alimenter notre base de prospects pour des communications ciblées (sur opt-in explicite).

Téléchargement du livre blanc

• Données collectées : prénom, nom, email professionnel, entreprise.
• Finalité : vous envoyer le document demandé et vous communiquer ponctuellement sur des contenus susceptibles de vous intéresser (sur opt-in).

Widget de chat (HubSpot Conversations)

• Données collectées : message envoyé, email (si renseigné), informations techniques de navigation (adresse IP, navigateur, langue).
• Finalité : répondre à votre demande en temps réel ou en différé.

Navigation sur le site (mesure d'audience)

• Données collectées : pages visitées, durée de visite, source de trafic, terminal et navigateur, adresse IP (anonymisée lorsque possible).
• Finalité : analyse statistique du trafic et optimisation du parcours utilisateur.

04 Base juridique des traitements

Les traitements de données que nous effectuons reposent sur les bases juridiques suivantes (article 6 du RGPD) :

• Votre consentement (art. 6.1.a) : envoi de communications marketing, dépôt de cookies non strictement nécessaires.
• Exécution de mesures précontractuelles (art. 6.1.b) : prise de RDV, auto-diagnostic, téléchargement de ressources, réponse à une demande de devis.
• Intérêt légitime (art. 6.1.f) : amélioration continue de notre service, sécurité du site, prévention de la fraude, prospection commerciale B2B encadrée.
• Obligation légale (art. 6.1.c) : conservation de certaines données à des fins comptables, fiscales ou légales.

05 Destinataires et sous-traitants

Vos données ne sont jamais vendues, louées, ni cédées à des tiers à des fins commerciales. Elles sont accessibles uniquement aux personnes habilitées de Gemba Conseil et à nos sous-traitants techniques, contractuellement engagés à respecter le RGPD :

• HubSpot, Inc. — éditeur de notre CRM et plateforme marketing (formulaires, widget de chat, prise de RDV, base contacts). Les données du site gemba-conseil.com sont stockées dans le datacenter européen de HubSpot (eu1, Allemagne). HubSpot adhère au cadre EU-US Data Privacy Framework.
• Scaleway SAS — hébergeur du site, basé en France.
• Humanlinker SAS — outil français d'enrichissement et de prospection B2B. Utilisé pour qualifier des contacts professionnels dans une démarche commerciale légitime.
• Google Workspace — outil de messagerie professionnelle synchronisé à HubSpot (boîtes nicolas@ et francois@). Adhère au cadre EU-US Data Privacy Framework.

Chaque sous-traitant est lié à Gemba Conseil par un accord de traitement de données (DPA) conforme au RGPD.

06 Transferts hors UE

Vos données sont stockées principalement au sein de l'Union européenne. Lorsque certains de nos sous-traitants opèrent depuis ou via les États-Unis (HubSpot, Google), les transferts sont encadrés par des garanties appropriées :

• Adhésion au cadre EU-US Data Privacy Framework validé par la Commission européenne (décision d'adéquation du 10 juillet 2023).
• Clauses Contractuelles Types (CCT) de la Commission européenne en complément, lorsque pertinent.

07 Durées de conservation

Sauf obligation légale spécifique, nous appliquons les durées de conservation suivantes :

• Données prospects (RDV, auto-diagnostic, ressources téléchargées) : 3 ans à compter du dernier contact effectif (norme CNIL).
• Cookies analytiques : 13 mois maximum.
• Logs serveur et techniques : 1 an.
• Données contractuelles et comptables (clients) : 10 ans après la fin de la relation (obligation légale).

À l'issue de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

08 Vos droits

Conformément au RGPD, vous disposez à tout moment des droits suivants sur vos données personnelles :

• Droit d'accès : obtenir confirmation que vos données sont traitées et en demander une copie.
• Droit de rectification : corriger des données inexactes ou incomplètes.
• Droit à l'effacement ("droit à l'oubli") : demander la suppression de vos données dans les cas prévus par la loi.
• Droit à la limitation : restreindre temporairement le traitement.
• Droit d'opposition : vous opposer au traitement pour motif légitime, ou à des fins de prospection commerciale.
• Droit à la portabilité : récupérer vos données dans un format structuré, courant et lisible par machine.
• Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur cette base juridique.
• Droit de définir des directives post-mortem sur le sort de vos données après votre décès.

09 Cookies

Notre site dépose des cookies sur votre terminal pour assurer son fonctionnement et, sous réserve de votre consentement, mesurer l'audience et activer des fonctionnalités tierces. Détail des cookies utilisés :

Cookies strictement nécessaires (sans consentement requis)

• Cookies de session pour la navigation, la sécurité, la persistance des préférences techniques (langue, etc.).

Cookies de mesure d'audience (après consentement)

• HubSpot Analytics — cookies __hstc, hubspotutk, __hssc, __hssrc. Durée maximale : 13 mois. Finalité : analyse du parcours visiteur et attribution de source.

Cookies de fonctionnalité tierce (après consentement)

• HubSpot Conversations (widget de chat) — cookies de session pour permettre l'interaction. Durée : 6 mois.
• HubSpot Meetings (prise de RDV) — cookies techniques pour l'embed du calendrier de réservation.
• Google reCAPTCHA — protection anti-spam des formulaires HubSpot, déposé par Google.

10 Sécurité

Gemba Conseil met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre la perte, l'accès non autorisé, l'altération ou la divulgation. Cela inclut notamment :

• Chiffrement HTTPS du site (TLS 1.3).
• Sélection rigoureuse de sous-traitants conformes RGPD.
• Accès aux données strictement limité aux personnes habilitées de Gemba Conseil.
• Authentification forte sur l'ensemble des outils internes (HubSpot, Google Workspace).

11 Modifications de la politique

La présente politique peut être amenée à évoluer pour refléter des changements légaux, techniques ou organisationnels. La date de dernière mise à jour est indiquée en haut de cette page. Nous vous invitons à la consulter régulièrement.

En cas de modification substantielle affectant vos droits, nous vous en informerons directement par email (si vous êtes inscrit sur notre base) ou via un bandeau visible sur le site.

12 Contact & réclamations

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez la possibilité d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :