Mentions légales et politique de confidentialité
Dernière mise à jour : 25 mai 2026 · Version 1.0
Mentions légales (LCEN art. 6 III)
Éditeur du site
Nom : Damien BIHEL
Nom commercial : Dark Data Labs
Forme juridique : Entrepreneur individuel (EI)
SIRET : 517 863 726 00041
Adresse : 10 rue des Chênes, 87800 Saint-Priest-Ligoure, France
Email : damien.bihel@darkdatalabs.fr
Directeur de la publication : Damien BIHEL
Hébergeur du site
Société : Vercel Inc.
Adresse : 440 N Barranca Avenue #4133, Covina, CA 91723, États-Unis
Site web : https://vercel.com
Préambule
La présente politique de confidentialité décrit la manière dont Damien BIHEL, exerçant en tant qu'entrepreneur individuel sous le nom commercial Dark Data Labs (ci-après « le Prestataire »), collecte, utilise, conserve et protège les données à caractère personnel des personnes avec lesquelles il interagit dans le cadre de son activité professionnelle.
Elle est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
1. Identité du responsable de traitement
Responsable de traitement :
Nom : Damien BIHEL
Nom commercial : Dark Data Labs
Forme juridique : Entrepreneur individuel (EI)
SIRET : 517 863 726 00041
Adresse du siège : 10 rue des Chênes, 87800 Saint-Priest-Ligoure, France
Email de contact : damien.bihel@darkdatalabs.fr
Site web : https://darkdatalabs.fr
Pour toute question relative au traitement de vos données personnelles, vous pouvez nous contacter à l'adresse dédiée : rgpd@darkdatalabs.fr
2. Catégories de données collectées
Selon le contexte de l'interaction, les catégories de données suivantes peuvent être collectées :
2.1 Visiteurs du site web
- Données de navigation anonymisées via Umami Cloud (pages consultées, durée, source de trafic, navigateur)
- Aucun cookie de tracking, aucune adresse IP stockée en clair, aucune identification individuelle
2.2 Prospects et contacts commerciaux
- Identité : nom, prénom, fonction
- Coordonnées : email professionnel, numéro de téléphone, entreprise
- Historique des échanges commerciaux et propositions
- Statut dans le pipeline commercial (prospect, qualifié, client)
2.3 Clients
- Toutes les données mentionnées en 2.2
- Données contractuelles : devis, contrats signés, avenants
- Données de facturation : montants, échéances, références bancaires (RIB transmis par le client uniquement pour virement)
- Données d'échanges projet : briefs, comptes-rendus de réunion, livrables
- Données de visioconférence : enregistrements (avec consentement préalable), transcriptions, résumés
2.4 Données fournies par les clients dans le cadre de prestations (sous-traitance)
- Données traitées pour le compte du client responsable de traitement
- Catégories définies au cas par cas dans le contrat de sous-traitance (article 28 RGPD)
- Le Prestataire intervient alors en qualité de sous-traitant
Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, religion, orientation sexuelle, etc.) n'est collectée directement par le Prestataire dans le cadre de son activité commerciale propre. Si une mission ponctuelle nécessite le traitement de telles données, elle fait l'objet d'un contrat spécifique et d'une Analyse d'Impact (AIPD).
3. Finalités du traitement
Les données sont collectées et traitées pour les finalités suivantes :
| Finalité | Données concernées |
|---|---|
| Mesure d'audience anonyme du site | Données de navigation Umami |
| Prospection commerciale B2B | Identité, coordonnées professionnelles |
| Gestion de la relation client | Identité, coordonnées, historique d'échanges |
| Exécution des prestations contractuelles | Données projet, briefs, livrables |
| Facturation et comptabilité | Données contractuelles et de facturation |
| Respect des obligations légales et fiscales | Factures, contrats, justificatifs |
| Sécurité et fonctionnement du site web | Logs techniques |
| Transcription et résumé de réunions (avec consentement) | Enregistrements audio/vidéo, transcriptions |
4. Bases légales du traitement
Conformément à l'article 6 du RGPD, le traitement de vos données repose sur les bases légales suivantes :
| Traitement | Base légale |
|---|---|
| Mesure d'audience anonyme | Intérêt légitime (art. 6.1.f) — données non personnelles |
| Prospection commerciale B2B | Intérêt légitime du Prestataire (art. 6.1.f) |
| Exécution du contrat de prestation | Exécution du contrat (art. 6.1.b) |
| Facturation et comptabilité | Obligation légale (art. 6.1.c) — Code de commerce art. L123-22 |
| Enregistrement de visioconférences | Consentement (art. 6.1.a) |
| Sous-traitance pour le compte d'un client | Contrat de sous-traitance (art. 28 RGPD) |
Concernant l'intérêt légitime pour la prospection B2B, un test de mise en balance entre nos intérêts et vos droits a été documenté et est disponible sur demande à rgpd@darkdatalabs.fr.
5. Durées de conservation
Les données sont conservées pour une durée strictement nécessaire à la finalité poursuivie :
| Catégorie de données | Durée de conservation |
|---|---|
| Statistiques d'audience Umami | Données anonymes agrégées, conservation sans limite |
| Prospects (CRM) | 3 ans à compter du dernier contact actif |
| Clients (relation contractuelle) | Durée du contrat + prescription légale applicable |
| Factures et documents comptables | 10 ans (Code de commerce, art. L123-22) |
| Contrats clients | Durée du contrat + 5 ans (prescription de droit commun) |
| Données de sous-traitance (clients RT) | Selon instructions du client responsable de traitement |
| Enregistrements vidéo bruts de réunions | 30 jours maximum après transcription validée |
| Transcriptions et résumés de réunions | Durée du contrat + 3 ans |
| Logs techniques Vercel | Selon politique Vercel (30 jours en standard) |
Au terme de ces durées, les données sont soit supprimées de manière sécurisée, soit anonymisées si elles présentent un intérêt statistique.
6. Destinataires et sous-traitants
Les données ne sont jamais vendues à des tiers. Elles peuvent être traitées par les sous-traitants suivants, sélectionnés pour leurs garanties en matière de sécurité et de conformité RGPD :
6.1 Hébergement du site web et mesure d'audience
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Vercel Inc. | Hébergement du site darkdatalabs.fr | États-Unis (infrastructure AWS/Azure/GCP) | DPA signé, ISO 27001:2013, certifié EU-US Data Privacy Framework, SCCs |
| Umami Software Inc. (Umami Cloud) | Mesure d'audience anonyme | États-Unis | Architecture cookie-less, aucune PII collectée, DPA disponible |
6.2 Infrastructure professionnelle (auto-hébergée)
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVHcloud SAS | Hébergement VPS (Nextcloud, Mercuria, Gitea) et Object Storage | Gravelines, France | DPA signé, ISO 27001, RGPD natif |
6.3 Outils logiciels auto-hébergés (sur infrastructure OVH France)
- Nextcloud : stockage et partage de fichiers
- Mercuria : CRM (gestion prospects et clients)
- Gitea : versioning de code et notes
- Jitsi : visioconférences
Ces logiciels sont hébergés sur l'infrastructure du Prestataire. Aucune donnée n'est transmise à des tiers via ces outils.
6.4 Outils d'intelligence artificielle
L'utilisation d'IA est strictement encadrée selon la sensibilité des données traitées :
| Outil IA | Éditeur | Usage | Garanties |
|---|---|---|---|
| Claude API | Anthropic, PBC (États-Unis) | Assistance rédactionnelle, synthèse, code (données non sensibles uniquement) | DPA signé, opt-out training activé, SCCs |
| Mistral AI (Voxtral) | Mistral AI SAS (France) | Transcription, synthèse | DPA disponible, hébergement France/UE |
| Ollama (modèles locaux) | Local sur poste du Prestataire | Traitement de données sensibles | 100 % local, aucune transmission externe |
Pour les données qualifiées de sensibles ou confidentielles, seul Ollama (traitement local) est utilisé. Aucun outil d'IA cloud ne traite ce type de données.
7. Transferts de données hors Union européenne
Certains sous-traitants peuvent traiter des données hors de l'Union européenne. Les transferts sont encadrés par les garanties prévues au chapitre V du RGPD :
Vercel Inc. — États-Unis (hébergement du site)
- Données concernées : logs techniques de navigation, requêtes HTTP
- Garanties : DPA, certification EU-US Data Privacy Framework, Clauses Contractuelles Types de la décision (UE) 2021/914, ISO 27001:2013
- Précision : aucune donnée n'est stockée de manière permanente dans les régions UE ; un cache éphémère peut exister sur les points de présence européens
Umami Software Inc. — États-Unis (mesure d'audience)
- Données concernées : événements de navigation anonymisés, sans PII ni cookies
- Garanties : DPA, architecture cookie-less par conception, aucune donnée personnelle collectée selon les standards techniques d'Umami
Anthropic, PBC — États-Unis (Claude API)
- Données concernées : contenu soumis à l'API Claude (textes, code, données non sensibles)
- Garanties :
- Data Processing Addendum (DPA) conforme à l'article 28 RGPD
- Clauses Contractuelles Types (SCCs) de la décision (UE) 2021/914
- Activation de l'option « opt-out training » excluant l'utilisation des données pour l'entraînement des modèles
- Politique de conservation limitée des prompts par Anthropic
Aucune donnée qualifiée de sensible n'est transmise à Anthropic. Les données concernées sont strictement non confidentielles.
Tous les autres sous-traitants (OVHcloud, Mistral) sont localisés en France ou dans l'Union européenne.
8. Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
| Droit | Description |
|---|---|
| Droit d'accès (art. 15) | Obtenir confirmation que vos données sont traitées et accéder à leur copie |
| Droit de rectification (art. 16) | Corriger des données inexactes ou incomplètes |
| Droit à l'effacement (art. 17) | Demander la suppression de vos données (sous réserve des obligations légales de conservation) |
| Droit à la limitation (art. 18) | Demander la suspension temporaire du traitement |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine |
| Droit d'opposition (art. 21) | Vous opposer au traitement, notamment à des fins de prospection commerciale |
| Droit de retirer votre consentement (art. 7) | Lorsque le traitement est fondé sur le consentement, le retirer à tout moment |
| Droit de définir des directives post-mortem (art. 85 LIL) | Définir le sort de vos données après votre décès |
Vous avez également le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (art. 22). Aucun traitement automatisé produisant des effets juridiques n'est mis en œuvre dans le cadre de l'activité du Prestataire.
9. Modalités d'exercice de vos droits
Pour exercer vos droits, vous pouvez nous contacter :
- Par email : rgpd@darkdatalabs.fr
- Par courrier postal : Dark Data Labs, 10 rue des Chênes, 87800 Saint-Priest-Ligoure, France
Afin de traiter votre demande, nous pouvons être amenés à vérifier votre identité. Un justificatif pourra vous être demandé en cas de doute raisonnable.
Délai de réponse : une réponse vous sera apportée dans un délai maximum d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires en cas de demande complexe (vous en serez informé).
Gratuité : l'exercice de vos droits est gratuit, sauf demande manifestement infondée ou excessive.
10. Droit de réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- Site web : https://www.cnil.fr
- Adresse postale : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : 01 53 73 22 22
- Formulaire de plainte en ligne : https://www.cnil.fr/fr/plaintes
11. Délégué à la Protection des Données (DPO)
En tant qu'entrepreneur individuel exerçant une activité de petite envergure, le Prestataire n'est pas tenu de désigner un Délégué à la Protection des Données (DPO) au sens de l'article 37 du RGPD.
Cette absence de DPO obligatoire est conforme aux critères suivants :
- Le Prestataire n'est pas une autorité publique ou un organisme public
- Les activités de base du Prestataire ne consistent pas en un suivi régulier et systématique à grande échelle de personnes
- Le Prestataire ne traite pas à grande échelle des données sensibles ou relatives à des condamnations pénales
Pour toute question relative à la protection des données, le Prestataire reste l'interlocuteur direct via l'email rgpd@darkdatalabs.fr.
12. Cookies et traceurs
12.1 Mesure d'audience exemptée de consentement
Le site darkdatalabs.fr utilise Umami Cloud comme outil de mesure d'audience.
Umami est conçu selon une architecture privacy-by-design qui se distingue par les caractéristiques suivantes :
- Aucun cookie déposé sur le navigateur du visiteur
- Aucune collecte de données personnelles identifiantes (PII)
- Aucune adresse IP stockée en clair
- Aucun croisement avec d'autres bases de données
- Aucun partage avec des tiers à des fins publicitaires
- Données agrégées et anonymisées
Compte tenu de cette configuration, et conformément aux recommandations de la CNIL relatives aux outils de mesure d'audience exemptés de consentement, aucun bandeau de consentement préalable n'est requis pour utiliser ce site.
Référence CNIL : « Cookies et autres traceurs : les solutions pour les outils de mesure d'audience exemptés de consentement » (lien CNIL).
12.2 Droit d'opposition
Vous pouvez vous opposer à cette mesure d'audience à tout moment :
- En activant le Do Not Track dans les paramètres de votre navigateur (respecté par Umami)
- En utilisant les fonctionnalités de blocage de votre navigateur ou d'une extension anti-traceurs
- En nous contactant à rgpd@darkdatalabs.fr
12.3 Cookies techniques
Aucun autre cookie n'est déposé sur ce site. Seules les données strictement nécessaires au fonctionnement technique (mémorisation de session si applicable) peuvent être conservées localement par votre navigateur. Ces données sont exemptées de consentement préalable conformément à l'article 82 de la Loi Informatique et Libertés.
13. Sécurité des données
Le Prestataire met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité de vos données :
Mesures techniques
- Chiffrement des supports de stockage (volumes APFS chiffrés)
- Authentification multi-facteurs (MFA) sur tous les comptes critiques
- Gestionnaire de mots de passe dédié (passphrases uniques par service)
- Sauvegardes chiffrées (Restic) avec stratégie 3-2-1 (3 copies, 2 supports, 1 hors-site)
- Pare-feu applicatif pendant les traitements sensibles
- Mises à jour de sécurité régulières des systèmes et logiciels
Mesures organisationnelles
- Classification des données en trois niveaux (N1 public, N2 professionnel, N3 sensible)
- Cloisonnement physique des supports selon le niveau de sensibilité
- Restriction d'accès aux données N3 par démontage automatique des volumes chiffrés
- Registre des activités de traitement maintenu à jour (article 30 RGPD)
- Procédure documentée de gestion des violations de données
Notification des violations de données
En cas de violation de données présentant un risque pour les droits et libertés des personnes concernées, le Prestataire s'engage à notifier la CNIL dans les 72 heures et, le cas échéant, à informer les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
14. Modifications de la présente politique
La présente politique est susceptible d'être modifiée pour refléter les évolutions législatives, jurisprudentielles ou techniques. La version en vigueur est celle publiée sur le site à l'adresse https://darkdatalabs.fr/mentions-legales.
En cas de modification substantielle, vous serez informé par tout moyen approprié (email, bandeau sur le site).
L'historique des versions est disponible sur demande à rgpd@darkdatalabs.fr.
15. Droit applicable et juridiction compétente
La présente politique de confidentialité est régie par le droit français.
En cas de litige, et après échec d'une tentative de résolution amiable, les tribunaux français seront seuls compétents.
Document publié sur https://darkdatalabs.fr/mentions-legales · Contact RGPD : rgpd@darkdatalabs.fr