Version 3.0 — entrée en vigueur : 15 juillet 2026
1. Responsable de traitement
Le responsable des traitements décrits dans la présente politique est :
CREANGA Radu-Cristian, entrepreneur individuel (EI), exerçant sous le nom commercial C.R.C. Pro
4 rue de la Source, 17200 Royan, France
Courriel : contact@crcpro.fr
Téléphone : 06 50 98 78 98
C.R.C. Pro n'a pas désigné de délégué à la protection des données à la date de cette version. La nécessité d'une désignation fait l'objet d'une revue périodique. Le contact relatif à la protection des données est : contact@crcpro.fr.
2. Périmètre
La présente politique s'applique aux sites et activités de l'écosystème C.R.C. Pro, notamment : marque ombrelle, Formation, Digital, Consulting, RH, Learning et, lorsqu'ils seront activés, Pilote, Acquisition, Nova et PHARE.
Selon le traitement, C.R.C. Pro agit :
- comme responsable de traitement pour ses prospects, clients, candidats, stagiaires, utilisateurs de compte, facturation, sécurité et communication ;
- comme sous-traitant lorsqu'un client lui confie des données dans le cadre d'un hébergement, d'une maintenance, d'un outil métier ou d'un service SaaS. Dans ce cas, un accord de sous-traitance distinct organise les responsabilités.
3. Principes
C.R.C. Pro applique les principes de finalité déterminée, minimisation, exactitude, limitation de conservation, confidentialité, sécurité et responsabilité démontrable.
Les champs obligatoires sont limités aux informations nécessaires au traitement de la demande ou à l'exécution du service. Les données ne sont ni vendues ni louées.
4. Traitements principaux
4.1 Demandes de contact, devis et rendez-vous
Données : identité, coordonnées, entreprise, fonction, contenu de la demande, préférences de rendez-vous et éléments librement transmis.
Finalités : répondre, qualifier le besoin, préparer un devis ou une relation contractuelle.
Base légale : mesures précontractuelles prises à la demande de la personne et, pour l'organisation du suivi, intérêt légitime.
Durée active : au maximum douze mois après le dernier contact utile lorsqu'aucun contrat n'est conclu. Les éléments nécessaires à la défense de droits peuvent être placés en archive intermédiaire selon les délais légaux applicables.
Aucune case de consentement n'est exigée pour la seule réponse à une demande. Un consentement distinct peut être demandé pour une newsletter ou une communication facultative.
4.2 Gestion des clients, devis, contrats et support
Données : identité, coordonnées professionnelles ou personnelles, entreprise, SIRET, devis, contrat, échanges, livrables, tickets et informations de suivi.
Finalités : exécution du contrat, support, preuve, facturation, gestion des réclamations.
Base légale : contrat, mesures précontractuelles, obligations légales et intérêt légitime à défendre les droits de C.R.C. Pro.
Durée opérationnelle : pendant la relation, puis au maximum douze mois après sa fin pour les données opérationnelles qui ne sont plus nécessaires.
Archives légales : les contrats et pièces utiles à la preuve peuvent être conservés pendant les délais de prescription applicables ; les factures et pièces comptables sont conservées dix ans.
4.3 Prospection professionnelle
Données : nom, prénom, fonction, entreprise, coordonnées professionnelles, historique de contact, source de la donnée et préférences d'opposition.
Finalités : proposer des services en rapport avec l'activité professionnelle, gérer les demandes et oppositions.
Base légale : intérêt légitime pour la prospection B2B en rapport avec la profession, sous réserve du droit d'opposition.
Durée active : objectif interne maximal de douze mois après le dernier contact actif.
Opposition : les informations minimales nécessaires pour respecter une opposition peuvent être conservées séparément pendant une durée adaptée, sans réutilisation commerciale.
Lorsque les données ne sont pas collectées directement, l'information prévue par l'article 14 du RGPD est fournie au plus tard lors du premier contact utile.
4.4 Paiement et facturation via Stripe
C.R.C. Pro utilise Stripe pour certains paiements et abonnements. C.R.C. Pro ne reçoit ni ne stocke directement le numéro complet de carte bancaire ou le cryptogramme.
Données : identité, adresse de facturation, entreprise, SIRET, identifiants client et transaction, montants, statut de paiement, factures et métadonnées strictement nécessaires.
Finalités : paiement, facturation, lutte contre la fraude, rapprochement et gestion des abonnements.
Base légale : contrat et obligations légales comptables.
Durée : les pièces comptables sont conservées dix ans. Les objets et données conservés par Stripe peuvent relever de ses propres obligations légales et politiques ; C.R.C. Pro ne promet pas une suppression que le prestataire ne permet pas ou n'exécute pas.
Aucune purge « toutes les trois semaines » n'est présentée comme active tant qu'un mécanisme réel, testé et journalisé n'est pas déployé.
4.5 Formation professionnelle
Données : identité, coordonnées, situation professionnelle, financeur, besoins d'accessibilité, inscriptions, émargements, progression, évaluations, attestations, échanges et réclamations.
Finalités : gestion pédagogique et administrative, exécution de la formation, suivi, preuve de réalisation, financement, qualité et obligations réglementaires.
Base légale : contrat, obligations légales, intérêt légitime à assurer la qualité et, pour certaines données facultatives, consentement explicite.
Durée : les données de fonctionnement sont conservées pendant la formation puis au maximum douze mois, sauf besoin de suivi ou obligation différente. Les conventions, factures, preuves de réalisation, émargements et pièces exigées par les financeurs ou l'administration sont archivés selon la matrice interne de conservation et les obligations applicables.
Les données relatives au handicap ou à la santé ne sont collectées que lorsque cela est nécessaire à l'adaptation de la formation, avec un accès strictement limité.
4.6 Plateforme Learning
Données : compte, identité, entreprise, parcours, progression, évaluations, attestations, sessions, événements de sécurité et, le cas échéant, présence en visioconférence.
Finalités : fournir l'accès, suivre le parcours, sécuriser la plateforme et produire les justificatifs nécessaires.
Base légale : contrat, obligations réglementaires et intérêt légitime de sécurité.
Durée : pendant l'accès ou la relation, puis au maximum douze mois pour les données opérationnelles, sans préjudice des preuves pédagogiques et comptables archivées séparément.
Les mots de passe sont stockés sous forme hachée. Les corps complets d'e-mails et les liens de réinitialisation ne doivent pas être conservés dans les journaux courants.
4.7 Recrutement et accompagnement RH
Données : identité, coordonnées, CV, expérience, compétences, attentes, disponibilité, entretiens, références lorsque licites et consenties, échanges et décisions de suivi.
Finalités : évaluer une candidature, proposer une mission ou un poste, constituer un vivier lorsque la personne en est informée.
Base légale : mesures précontractuelles à l'initiative du candidat, intérêt légitime selon la source et le contexte, ou consentement lorsqu'il est requis.
Durée : au maximum douze mois après le dernier contact, sauf renouvellement clairement accepté ou obligation légale distincte.
Décisions : aucune décision d'embauche ou de rejet produisant un effet significatif n'est prise exclusivement par un traitement automatisé.
4.8 Comptes et produits SaaS
Pilote, Nova, PHARE et Acquisition sont actuellement en vert — prélancement sécurisé : la vitrine est accessible, aucun client actif n'est hébergé et les routes sensibles restent volontairement fermées jusqu'au lancement commercial.
Avant toute activation, une politique produit, des CGV/CGU, un accord de sous-traitance, une liste de fournisseurs, une matrice de conservation et des tests d'isolation sont exigés.
4.9 Journaux, sécurité et prévention des incidents
Données : adresse IP, date, heure, route, identifiant de session, appareil, événement d'authentification, erreur, action d'administration et élément de traçabilité.
Finalités : sécurité, diagnostic, prévention de la fraude, gestion des incidents et preuve.
Base légale : intérêt légitime à sécuriser les services et, selon le cas, obligations légales.
Durée : limitée à la durée nécessaire au risque et à l'enquête, selon une matrice interne. Les preuves placées sous legal hold sont isolées jusqu'à décision de mainlevée.
La surveillance peut déclencher une alerte et préparer un dossier. La qualification d'une éventuelle violation et la notification à la CNIL sont effectuées manuellement par le responsable de traitement lorsqu'elles sont légalement requises.
4.10 Intelligence artificielle interne
C.R.C. Pro utilise OpenAI et des outils ou algorithmes internes pour la correction de textes, l'adaptation de tonalité et l'assistance au développement logiciel.
Il n'existe pas, à la date de cette version, d'intégration de modèle de langage directement accessible aux utilisateurs des sites. Les règles internes interdisent l'envoi non autorisé de données clients, de secrets, de mots de passe ou de données sensibles dans un outil d'IA. Les résultats sont systématiquement contrôlés par une personne.
5. Sources des données
Les données proviennent principalement :
- de la personne concernée ;
- de son employeur, financeur ou organisme, lorsque cela est nécessaire et licite ;
- de sources professionnelles publiquement accessibles pour la prospection B2B ;
- de journaux techniques générés lors de l'utilisation des services ;
- de prestataires de paiement ou de communication lorsque le service l'exige.
6. Destinataires et fournisseurs techniques
Les données sont accessibles aux personnes habilitées selon leur besoin. Les fournisseurs suivants peuvent intervenir selon le service activé :
| Fournisseur ou service | Finalité | Statut |
|---|---|---|
| OVHcloud | Infrastructure, hébergement, e-mail et SMS | Actif |
| Stripe | Paiement, abonnement et facturation | Actif sur les parcours concernés |
| Service Jitsi exploité pour Learning | Visioconférence | Actif selon les sessions |
| CDN ou ressources média tierces | Diffusion de certains médias | À inventorier et réduire si possible |
| OpenAI | Assistance interne, sans intégration utilisateur active | Usage interne encadré |
| Services externes de cartographie, météo ou plateformes | Fonctionnalités ponctuelles | Uniquement s'ils sont effectivement activés |
La liste détaillée, les rôles, localisations, garanties et durées sont maintenus dans le registre des fournisseurs et, pour les clients SaaS, dans la liste contractuelle des sous-traitants.
7. Transferts hors de l'Espace économique européen
Certains fournisseurs peuvent traiter des données en dehors de l'Espace économique européen ou permettre des accès depuis des pays tiers. Lorsqu'un transfert est nécessaire, C.R.C. Pro vérifie le mécanisme applicable : décision d'adéquation, cadre reconnu, clauses contractuelles types ou autre garantie prévue par le RGPD.
C.R.C. Pro ne déclare pas que toutes les données restent exclusivement en France lorsque l'utilisation d'un prestataire tiers implique un autre périmètre.
8. Cookies et ressources tierces
La politique dédiée décrit les cookies et ressources externes effectivement constatés. Lors du dernier audit technique, aucun identifiant Google Analytics, GTM, Meta Pixel, Matomo, Plausible, Clarity ou Hotjar n'a été identifié sur les pages publiques contrôlées.
Si un traceur non essentiel est ajouté, il doit rester bloqué avant le consentement lorsque celui-ci est requis. L'utilisateur doit pouvoir accepter, refuser et modifier son choix avec une facilité comparable.
9. Sécurité
C.R.C. Pro met en œuvre des mesures proportionnées, notamment : chiffrement des flux, secrets hors du code, contrôle des accès, hachage des mots de passe, journalisation limitée, sauvegardes chiffrées, correctifs, tests d'autorisation et procédure d'incident.
Les détails sensibles ne sont pas publiés. Le Centre de confiance distingue les preuves publiques des éléments réservés à la Data Room privée.
10. Droits
Toute personne peut demander l'accès, la rectification, l'effacement, la limitation, la portabilité lorsque les conditions sont réunies, et s'opposer aux traitements fondés sur l'intérêt légitime, notamment à la prospection.
La demande peut être adressée à contact@crcpro.fr ou par courrier au siège. C.R.C. Pro peut demander les informations nécessaires pour vérifier l'identité sans collecter un justificatif excessif.
Une réponse est apportée dans le délai prévu par le RGPD, sous réserve des prolongations autorisées. Une réclamation peut être adressée à la Commission nationale de l'informatique et des libertés (CNIL).
11. Mineurs
Les sites ne sont pas conçus pour collecter directement des données d'enfants de moins de quinze ans sans autorisation appropriée. Lorsqu'une action de formation concerne un mineur, un cadre contractuel et une information adaptés sont appliqués.
12. Modifications
Les versions sont archivées. Une modification substantielle concernant un service actif peut faire l'objet d'une information directe lorsque cela est nécessaire.
Version : 3.0
Date d'entrée en vigueur : 15 juillet 2026
Contact : contact@crcpro.fr