Politique de confidentialité
Dernière mise à jour : 8 mai 2026.
LMbox SAS attache une importance particulière à la protection des données personnelles. La présente politique décrit les traitements opérés via le site lmbox.eu et les services associés, et les droits dont disposent les personnes concernées au titre du Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et de la loi Informatique et Libertés du 6 janvier 1978 modifiée.
En une phrase : LMbox vend une solution conçue pour que les données de ses clients ne sortent pas de leur LAN. Sur ce site marketing, nous appliquons la même logique de minimisation : strictement ce qui est nécessaire, hébergé dans l'Union européenne, jamais revendu, jamais transféré aux États-Unis.
Responsable de traitement
Le responsable de traitement, au sens de l'article 4-7 du RGPD, est :
- LMbox SAS — société par actions simplifiée en cours d'immatriculation au RCS
- Représentée par M. Renaud Delacotte, président désigné, agissant au nom et pour le compte de la société en formation
- Adresse postale : à publier dès immatriculation
- Contact : contact@lmbox.eu — dpo@lmbox.eu
Société en formation. Tant que le K-bis n'est pas émis, M. Renaud Delacotte assume personnellement les obligations du responsable de traitement au sens du RGPD. La reprise des engagements par LMbox SAS intervient automatiquement dès immatriculation, conformément à l'article L.210-6 du Code de commerce.
Délégué à la protection des données
LMbox SAS a désigné un délégué à la protection des données (DPO). Il peut être joint :
- Par email : dpo@lmbox.eu
- Par voie postale : à l'adresse du siège, à l'attention du DPO
Le DPO est votre interlocuteur unique pour toute question relative à vos données personnelles ou à l'exercice de vos droits.
Données traitées, finalités et bases légales
| Catégorie de données | Finalité | Base légale (art. 6 RGPD) | Durée de conservation |
|---|---|---|---|
| Identité (nom, prénom, fonction, société) saisie via le formulaire de contact ou de demande de démo | Répondre à la demande, qualifier le besoin, organiser un échange commercial | Mesures précontractuelles à la demande de la personne concernée — art. 6.1.b | 3 ans à compter du dernier contact |
| Coordonnées professionnelles (email, téléphone) | Communication commerciale, suivi prospect | Intérêt légitime — art. 6.1.f (prospection B2B) | 3 ans à compter du dernier contact |
| Données de navigation agrégées (page vue, source, durée, pays — sans cookie persistant) | Mesure d'audience anonyme via Plausible | Intérêt légitime — art. 6.1.f | 12 mois |
| Données techniques (adresse IP, user-agent, en-tête référent) | Sécurité du site, prévention de la fraude, détection d'attaques (rate limiting, fail2ban) | Intérêt légitime — art. 6.1.f (sécurité du SI) | 30 jours |
| Compte administrateur (email, mot de passe haché, journaux d'accès) | Authentification au back-office, audit de sécurité | Exécution du contrat — art. 6.1.b | Durée de la relation contractuelle + 5 ans (responsabilité contractuelle) |
| Données contractuelles (devis, contrats, factures) | Exécution et facturation des prestations LMbox | Exécution du contrat — art. 6.1.b et obligation légale — art. 6.1.c (Code de commerce) | 10 ans (obligation comptable) |
LMbox ne collecte pas de données dites sensibles au sens de l'article 9 RGPD (origine, opinions, santé, orientation, etc.). Le formulaire de contact ne demande aucune information de cette nature et nous vous invitons à ne pas en communiquer.
Pas de vente, pas de profilage commercial
LMbox SAS ne vend pas vos données. LMbox SAS ne procède pas à du profilage commercial à des fins publicitaires. Aucune publicité comportementale n'est diffusée sur le site.
Aucun cookie publicitaire (Google Ads, Meta, LinkedIn, TikTok, etc.) n'est déposé. Aucun tracking pixel tiers n'est intégré.
Destinataires
Les données sont accessibles uniquement aux personnels habilités de LMbox SAS (équipe commerciale, équipe support, équipe technique, direction).
LMbox fait appel aux sous-traitants suivants, tous situés dans l'Union européenne, et tous liés par un contrat conforme à l'article 28 RGPD (DPA) :
| Sous-traitant | Finalité | Localisation des données |
|---|---|---|
| Scaleway SAS (RCS Paris 433 115 904, 75008 Paris) | Hébergement du site marketing et de sa base de données | Datacenters France métropolitaine |
| Plausible Analytics | Mesure d'audience | Allemagne (UE) |
| [Outil emailing transactionnel — à compléter ; recommandation : Brevo/SendInBlue ou ProtonMail Business] | Envoi des réponses au formulaire de contact | France ou UE |
| Postgres managé / Postgres auto-hébergé | Stockage des données du back-office | France ou UE |
Aucun sous-traitant n'est soumis au CLOUD Act ni à un transfert vers les États-Unis ou tout pays tiers ne disposant pas d'une décision d'adéquation. Si LMbox devait recourir à un sous-traitant nouveau, la liste serait mise à jour avant le transfert effectif.
Transferts hors Union européenne
Aucun transfert de données personnelles n'est effectué hors de l'Union européenne, ni vers une juridiction soumise à des lois extra-territoriales contraires au RGPD (CLOUD Act, FISA 702, etc.).
Sécurité
LMbox met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques :
- chiffrement TLS 1.3 sur l'ensemble des échanges (Let's Encrypt EV),
- chiffrement au repos des sauvegardes de base de données,
- authentification forte (2FA) pour les administrateurs,
- principe du moindre privilège, journalisation des accès,
- politique de mots de passe forts (Argon2id pour les hash),
- mises à jour de sécurité dans un délai inférieur à 30 jours sur les CVE critiques,
- sauvegardes chiffrées avec rotation et test de restauration trimestriel,
- analyse de vulnérabilités automatisée (Brakeman, bundler-audit) à chaque déploiement.
En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, LMbox notifiera la CNIL dans un délai de 72 heures et informera les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.
Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir confirmation du traitement et copie des données.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : faire supprimer vos données dans les cas prévus.
- Droit à la limitation (art. 18) : limiter temporairement le traitement.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit d'opposition (art. 21) : vous opposer au traitement, notamment à la prospection.
- Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés).
Pour exercer vos droits, contactez le DPO à dpo@lmbox.eu en précisant la nature de votre demande. Une copie de votre pièce d'identité pourra être demandée en cas de doute raisonnable sur votre identité (cette pièce sera supprimée après traitement de votre demande).
LMbox s'engage à répondre dans un délai d'un mois à compter de la réception de la demande, prolongeable de deux mois en cas de demande complexe (vous en serez informé dans le mois initial).
Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/plaintes
- Par voie postale : 3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
- Par téléphone : 01 53 73 22 22
Cookies et traceurs
Le site lmbox.eu utilise un nombre minimal de cookies, tous strictement nécessaires :
| Cookie | Finalité | Durée | Émetteur |
|---|---|---|---|
_lmbox_session |
Maintien de la session utilisateur, protection CSRF | Session navigateur | LMbox SAS |
locale |
Mémorisation de la langue choisie (FR/EN) | 1 an | LMbox SAS |
cookie_consent |
Mémorisation du choix de l'utilisateur sur les cookies | 6 mois | LMbox SAS |
Aucun cookie tiers, aucun cookie publicitaire, aucun cookie de tracking comportemental.
L'outil de mesure d'audience Plausible Analytics est utilisé sans dépôt de cookie et ne collecte aucune donnée personnelle identifiante (adresse IP anonymisée, pas d'empreinte navigateur). À ce titre, conformément à la délibération CNIL n° 2020-091, son usage ne nécessite pas de consentement préalable.
Vous pouvez à tout moment configurer votre navigateur pour refuser ou supprimer les cookies. Dans ce cas, certaines fonctionnalités du site (mémorisation de la langue, formulaires) pourront ne plus fonctionner correctement.
Modifications
La présente politique peut être mise à jour pour refléter une évolution réglementaire, technique ou organisationnelle. La date de dernière mise à jour figure en tête de page. En cas de modification substantielle, les utilisateurs disposant d'un compte ou ayant renseigné leur email seront informés par email.
L'historique des versions précédentes est disponible sur demande à dpo@lmbox.eu.