Politique de confidentialité

1. Responsable du traitement

Le site yatoria.com est édité par KYT DIGITAL SOLUTIONS, SAS au capital de 500 €, immatriculée au RCS de Paris sous le numéro 947 889 002, dont le siège social est situé 14 rue Bausset, 75015 Paris.

Pour toute question relative à tes données personnelles ou pour exercer tes droits, écris à privacy@yatoria.com.

Délégué à la protection des données (DPO) : KYT DIGITAL SOLUTIONS n'a pas l'obligation de désigner un DPO (art. 37 RGPD — pas de traitement à grande échelle de données sensibles, pas de suivi systématique à grande échelle). Le point de contact unique pour toute demande RGPD reste l'adresse ci-dessus.

Ce service est destiné à un public adulte professionnel. Aucune donnée n'est sciemment collectée auprès de mineurs de moins de 15 ans (art. 8 RGPD).

2. Données collectées et finalités

2.1 Questionnaire d'intérêt

Lorsque tu remplis le questionnaire (formation CLI agents IA), nous collectons :

• Prénom et adresse email (obligatoires — sans ces informations, ta soumission ne peut pas être traitée)
• Tes réponses aux questions (usage actuel, blocages, attentes, budget)
• Variante A/B du questionnaire et UTM si tu viens d'une campagne
• Métadonnées techniques : adresse IP, user-agent navigateur, URL de la page

Source des données : le prénom, l'email et tes réponses sont collectés directement auprès de toi. L'adresse IP, le user-agent et l'URL de la page sont collectés automatiquement par ton navigateur lors de la soumission. Les paramètres UTM proviennent de la campagne ou du lien par lequel tu nous as rejoints (art. 14 RGPD).

Finalités : traiter ta soumission, qualifier ton intérêt pour la formation, te transmettre la synthèse anonymisée des réponses et te recontacter au sujet de la formation que tu as sollicitée en remplissant le formulaire.

Base légale : exécution de mesures précontractuelles prises à ta demande (art. 6.1.b RGPD) — en remplissant le formulaire, tu nous demandes de te recontacter au sujet de la formation. Ce n'est donc pas un consentement marketing au sens de l'art. L. 34-5 CPCE : nous ne t'enverrons pas de communications commerciales sur d'autres produits sans recueillir au préalable ton consentement séparé.

Tu peux à tout moment demander l'arrêt du traitement et la suppression de ta soumission en écrivant à privacy@yatoria.com.

2.2 Mesure d'audience (Matomo)

Nous utilisons Matomo en mode cookieless par défaut : aucun cookie n'est déposé, l'adresse IP est tronquée (3 derniers octets supprimés), pas de fingerprinting, pas de recoupement inter-sites. Cette configuration est exemptée de consentement selon les lignes directrices CNIL « Solutions de mesure d'audience ». Si tu acceptes les cookies via la bannière, Matomo passe en mode enrichi (mesure multi-sessions, cookies _pk_id, _pk_ses, _pk_ref).

Base légale : intérêt légitime à mesurer notre audience (art. 6.1.f RGPD) pour le mode cookieless ; consentement (art. 6.1.a) pour le mode enrichi avec cookies.

2.3 Attribution publicitaire Meta (Pixel + Conversions API)

Nous utilisons le Pixel Meta et la Meta Conversions API pour mesurer l'efficacité de nos campagnes publicitaires sur Facebook et Instagram.

Pixel navigateur (cookies) : le script Meta fbevents.js n'est pas chargé tant que tu n'as pas accepté les cookies via la bannière. Aucune information n'est donc transmise à Meta depuis ton navigateur sans ton consentement explicite. Si tu acceptes, le Pixel est chargé puis transmet les événements PageView, ViewContent et Lead.
Base légale : consentement (art. 82 LIL + art. 6.1.a RGPD).

Conversions API server-side : indépendamment de ton choix de cookies, certains événements sont transmis depuis nos serveurs vers Meta Platforms Ireland Limited. Ce traitement n'utilise aucun cookie et n'écrit rien sur ton terminal. Trois événements sont transmis :

• PageView à chaque chargement de page.
• ViewContent à l'ouverture du questionnaire (avec l'identifiant de la variante A/B).
• Lead à la soumission du formulaire (avec l'identifiant du questionnaire).

Pour chaque événement, les données transmises à Meta sont : l'URL de la page, l'adresse IP et le user-agent du navigateur, ainsi que les identifiants techniques de campagne publicitaire (fbc reconstruit depuis le paramètre fbclid de l'URL d'arrivée, et fbp si présent sous forme de cookie côté navigateur). Aucun identifiant direct (prénom, email, téléphone) n'est transmis à Meta, et aucune réponse libre du questionnaire ne l'est non plus.

Base légale : intérêt légitime (art. 6.1.f RGPD) à mesurer l'efficacité des campagnes publicitaires qui financent la production de la formation. Analyse en trois étapes :

• Finalité légitime : mesurer côté serveur l'attribution des conversions à la campagne Meta qui t'a amené ici, pour piloter le budget et la pertinence des annonces.
• Nécessité : le Pixel navigateur seul souffre de pertes massives (bloqueurs, refus de consentement, restrictions iOS). Le canal server-side rétablit une mesure fiable, en minimisation : aucun identifiant direct, juste l'identifiant technique (fbc/fbp) qui rattache la conversion à la campagne, plus l'URL, l'IP et le user-agent.
• Balance des droits : tu arrives sur ce site essentiellement depuis une publicité Meta. Mesurer la conversion de cette pub correspond à l'attente raisonnable d'un visiteur venu d'une plateforme publicitaire. Tu peux t'y opposer à tout moment.

Droit d'opposition (art. 21 RGPD) : écris à privacy@yatoria.com. Sous 72 h ouvrées après réception, nous cessons toute nouvelle transmission d'événements CAPI te concernant. Tu peux aussi désactiver directement la transmission en bloquant les cookies _fbc et _fbp dans la bannière « Gérer mes cookies » ou en accédant à ce site sans paramètre fbclid dans l'URL.

2.4 Protection anti-spam (Cloudflare Turnstile)

Pour protéger le formulaire des soumissions automatisées (bots), nous utilisons le service Cloudflare Turnstile. Il fonctionne sans cookie et collecte temporairement des signaux techniques (adresse IP, en-têtes navigateur).
Base légale : intérêt légitime à sécuriser le service contre les abus (art. 6.1.f RGPD).

2.5 Décisions automatisées

Aucune décision automatisée produisant des effets juridiques ou affectant significativement les personnes concernées n'est prise sur la base des données collectées (art. 22 RGPD).

3. Sous-traitants et destinataires

Architecture de stockage et souveraineté. Les soumissions du questionnaire (prénom, email, réponses, métadonnées techniques) sont stockées exclusivement en France, dans l'Union européenne, chez Scaleway SAS (datacenters Paris). Elles ne quittent jamais l'UE en stockage primaire. Netlify (USA) héberge uniquement les pages publiques statiques du site et exécute la fonction d'ingestion qui transmet ta soumission à Scaleway ; Netlify ne conserve pas le contenu des soumissions au-delà du temps strictement nécessaire à leur transmission (logs techniques 30 jours maximum, hors contenu). Ce choix relève d'une démarche de minimisation des transferts hors UE (art. 44 et s. RGPD, recommandations CEPD 01/2020 adoptées après l'arrêt Schrems II).

Tes données sont accessibles, dans la stricte limite de leurs missions, aux sous-traitants suivants :

Aucun autre destinataire ne reçoit tes données. Elles ne sont pas revendues.

Transferts hors UE : les sous-transferts vers les États-Unis (Netlify, Cloudflare, sous-transfert Meta) sont fondés sur la décision d'adéquation EU-US Data Privacy Framework adoptée par la Commission européenne le 10 juillet 2023, complétée par des clauses contractuelles types (SCCs). Une copie des garanties contractuelles peut être obtenue en écrivant à privacy@yatoria.com.

4. Durées de conservation

• Soumissions du questionnaire (email, prénom, réponses) : 3 ans à compter du dernier contact avec toi, conformément aux recommandations CNIL en matière de prospection commerciale. Au-delà, tes données sont supprimées ou anonymisées.
• Événements de tracking Meta CAPI (PageView, ViewContent, Lead) côté Yatoria : 13 mois. Côté Meta : la durée de conservation des événements bruts est définie par la politique Meta (paramètre par défaut : 90 jours pour les hits non attribués).
• Logs techniques (Netlify, Scaleway) : 30 jours maximum.
• Cookie de mémorisation du consentement (yatoria_tac) : 6 mois maximum, conformément aux recommandations CNIL.

5. Tes droits

Conformément aux art. 15 à 22 du RGPD, tu disposes des droits suivants :

• Accès à tes données
• Rectification si elles sont inexactes
• Effacement (« droit à l'oubli »)
• Limitation du traitement
• Portabilité dans un format structuré
• Opposition au traitement, notamment au CAPI Meta fondé sur l'intérêt légitime — exerçable à tout moment, propagation à Meta sous 72 h
• Retrait du consentement à tout moment, sans effet rétroactif

Pour exercer ces droits, écris à privacy@yatoria.com. Nous répondons sous un mois (extensible à deux mois pour les demandes complexes, art. 12.3 RGPD).

Pour modifier ton choix de cookies à tout moment, utilise le lien « Gérer mes cookies » présent en pied de chaque page.

Si tu estimes que tes droits ne sont pas respectés, tu peux introduire une réclamation auprès de la CNIL (cnil.fr/plaintes).

6. Sécurité

Toutes les transmissions de données sont chiffrées en HTTPS. Les identifiants directs (prénom, email) restent stockés exclusivement chez Scaleway, en France, et ne sont jamais transmis à des services publicitaires tiers. Les jetons d'accès aux APIs tierces sont stockés en variables d'environnement isolées, jamais dans le code source. Aucune base de données n'est exposée publiquement.

7. Modifications

Cette politique peut être mise à jour pour refléter l'évolution de nos traitements ou de la réglementation. La date de dernière mise à jour est indiquée en haut de page.