Politique de Confidentialité

Dernière mise à jour : 5 avril 2026

1. Identité du responsable du traitement

Le responsable du traitement des données à caractère personnel, au sens du Règlement (UE) 2016/679 (GDPR), est :

  • Dénomination : NUTRA PHARMA CONSULTING S.R.L.
  • CUI : 41299733
  • Siège social : Calea Călărași 309, Sector 3, București, România
  • E-mail protection des données : contact@whistle-box.eu

2. Principe de minimisation des données

WhistleBox est conçu selon le principe du « privacy by design » et collecte les données à caractère personnel de manière minimale :

  • Les pages de signalement (/r/) ne définissent pas de cookies, ne collectent pas d'adresses IP et n'utilisent pas de mécanismes de fingerprinting ou de suivi.
  • Le contenu des signalements est chiffré de bout en bout (E2E) sur l'appareil du lanceur d'alerte. L'Opérateur n'a pas accès aux données déchiffrées.
  • Le tableau de bord nécessite une authentification et ne collecte que les données strictement nécessaires au fonctionnement (e-mail, session).

3. Quelles données personnelles nous collectons

a) Données du Client (l'organisation)

  • Données de compte — l'adresse e-mail de la personne désignée, le nom de l'organisation.
  • Clé publique de chiffrement — générée et stockée pour le chiffrement E2E des signalements.
  • Communications — le contenu des e-mails envoyés à notre attention, les demandes de support.

b) Données du lanceur d'alerte

Collecte minimale / nulle :

  • Adresse IP — n'est pas collectée et n'est pas enregistrée sur les pages de signalement.
  • Cookies — ne sont pas définis sur les pages de signalement.
  • Empreinte du navigateur — n'est pas collectée.
  • Contenu du signalement — chiffré E2E, inaccessible à l'Opérateur.
  • Identité — facultative, uniquement si le lanceur d'alerte choisit de s'identifier dans le corps du signalement.

c) Données collectées automatiquement (tableau de bord uniquement)

  • Données techniques — adresse IP, type de navigateur (uniquement pour les utilisateurs authentifiés sur le tableau de bord).
  • Cookies de session — conformément à la Politique de Cookies.

4. Finalités du traitement

  • Fourniture des Services — création et gestion du compte, exploitation du canal de signalement, chiffrement et stockage des signalements.
  • Communications de service — notifications concernant les nouveaux signalements, l'expiration des délais légaux, les mises à jour de la Plateforme.
  • Sécurité — protection de l'infrastructure, détection des utilisations abusives, prévention des accès non autorisés.
  • Conformité juridique — respect des obligations légales (Directive (UE) 2019/1937, GDPR, législation fiscale).

Nous ne vendons pas, ne louons pas et ne partageons pas les données personnelles des utilisateurs avec des tiers à des fins de marketing.

5. Base juridique du traitement

Nous traitons les données personnelles sur les bases juridiques suivantes (art. 6 GDPR) :

Base juridiqueApplicabilité
Exécution du contrat (art. 6.1.b)Fourniture du service de canal de signalement à l'organisation Client.
Obligation légale (art. 6.1.c)Conformité avec la Directive (UE) 2019/1937, le GDPR, la législation fiscale et comptable.
Intérêt légitime (art. 6.1.f)Sécurité informatique, prévention des abus, fonctionnement de la Plateforme.

6. Durée de conservation des données

  • Données de compte — pendant la durée d'existence du compte et jusqu'à 30 jours après la demande de suppression.
  • Signalements chiffrés — conformément à la politique de rétention du Client et aux obligations de la Directive (UE) 2019/1937 (minimum 5 ans à compter de la date du signalement).
  • Données techniques (tableau de bord) — 12 mois maximum à compter de la collecte.
  • Communications et demandes de support — 3 ans maximum à compter de la dernière communication.
  • Données de facturation — 10 ans conformément à la législation fiscale roumaine (Loi n° 82/1991).

7. Sous-traitants et transferts internationaux

Les données personnelles peuvent être consultées ou traitées par les sous-traitants suivants :

Sous-traitantFinalitéLocalisationMécanisme de transfert
Hetzner Online GmbHHébergement, infrastructure serveurAllemagne (EEE)Non requis — au sein de l'EEE
ResendE-mail transactionnelÉtats-UnisCCT (Clauses Contractuelles Types)
NETOPIA PaymentsTraitement des paiements par carteRoumanie (EEE)Non requis — au sein de l'EEE
SmartBillFacturation électroniqueRoumanie (EEE)Non requis — au sein de l'EEE

Pour les transferts de données en dehors de l'EEE, nous nous appuyons sur les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

Important : Le contenu des signalements est chiffré E2E et n'est accessible à aucun sous-traitant.

8. Droits des personnes concernées

Conformément au GDPR, vous bénéficiez des droits suivants :

  • Droit d'accès (art. 15) — obtenir une copie des données personnelles traitées.
  • Droit de rectification (art. 16) — corriger les données inexactes ou incomplètes.
  • Droit à l'effacement (art. 17) — obtenir l'effacement des données dans les conditions prévues par la loi.
  • Droit à la limitation du traitement (art. 18) — limiter le traitement dans certaines situations.
  • Droit à la portabilité des données (art. 20) — recevoir les données dans un format structuré (JSON/CSV).
  • Droit d'opposition (art. 21) — s'opposer au traitement fondé sur l'intérêt légitime.
  • Droit de retrait du consentement (art. 7) — retirer le consentement à tout moment.
  • Droit de ne pas faire l'objet d'une décision automatisée (art. 22) — y compris le profilage.

Pour exercer vos droits, envoyez un e-mail à contact@whistle-box.eu avec l'objet « Demande GDPR WhistleBox ».

Note concernant les lanceurs d'alerte : Si vous avez soumis un signalement anonyme et ne vous êtes pas identifié, l'Opérateur ne détient aucune donnée à caractère personnel vous concernant.

9. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles :

  • Chiffrement de bout en bout (E2E) du contenu des signalements.
  • Chiffrement en transit (TLS 1.2+) pour toutes les communications avec le serveur.
  • Les mots de passe sont stockés à l'aide d'algorithmes de hachage sécurisés (bcrypt avec sel).
  • Accès restreint aux bases de données et à l'infrastructure, selon le principe du moindre privilège.
  • Serveurs situés dans l'Union européenne (Hetzner Online GmbH, Allemagne).
  • Sauvegardes régulières et chiffrées.
  • Surveillance continue des accès et des anomalies.
  • Authentification par jetons JWT à durée limitée.
  • Les pages de signalement (/r/) ne définissent pas de cookies et ne collectent pas de données d'identification.

10. Modification de la politique

L'Opérateur peut mettre à jour la présente politique périodiquement. Les Utilisateurs seront notifiés par e-mail et/ou par une annonce sur la Plateforme au moins 15 jours avant l'entrée en vigueur des modifications significatives.

11. Contact et autorité de contrôle

Opérateur :

  • E-mail : contact@whistle-box.eu
  • NUTRA PHARMA CONSULTING S.R.L. — CUI 41299733
  • Siège social : Calea Călărași 309, Sector 3, București

Autorité de contrôle :

  • ANSPDCP — Autorité Nationale de Surveillance du Traitement des Données à Caractère Personnel (Roumanie)
  • Adresse : B-dul G-ral. Gheorghe Magheru 28-30, Sector 1, București
  • Site web : www.dataprotection.ro
  • E-mail : anspdcp@dataprotection.ro