Politique de
confidentialité

Comment nous traitons vos données personnelles (RGPD)

Conforme au Règlement (UE) 2016/679 et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.

À vérifier avant mise en ligne. Les éléments surlignés en jaune (identité du responsable de traitement, DPO, hébergeur, sous-traitants, cookies effectivement déposés, durées de conservation) doivent être vérifiés et alignés sur vos pratiques réelles. Une politique fictive expose à des sanctions CNIL pouvant atteindre 20 M€ ou 4 % du CA mondial.

Dernière mise à jour : 21 avril 2026

1. Responsable de traitement

Le responsable du traitement des données personnelles collectées sur le site X-ALERT et via la solution X-ALERT (pour ses propres traitements) est :

Raison sociale
[À COMPLÉTER : dénomination][forme juridique]
Siège social
[À COMPLÉTER : adresse du siège social]
SIREN
[À COMPLÉTER]
Représentant légal
Pascal LEGAL
Courriel
contact@tmsx.fr

Lorsque la solution X-ALERT est utilisée par un client professionnel pour surveiller ses propres transporteurs et traiter les données personnelles de ses Utilisateurs, le client est responsable de traitement et l'éditeur agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Les conditions de cette sous-traitance sont définies dans un accord dédié (DPA) annexé au contrat de service.

2. Délégué à la protection des données

[À COMPLÉTER selon votre situation :]

  • Option A — Si vous avez désigné un DPO : « L'éditeur a désigné un Délégué à la Protection des Données (DPO) joignable à l'adresse suivante : dpo@tmsx.fr. »
  • Option B — Si vous n'en avez pas désigné (non obligatoire sauf cas visés par l'art. 37 RGPD) : « L'éditeur n'a pas l'obligation légale de désigner un Délégué à la Protection des Données. Pour toute question relative à la protection de vos données, contactez : contact@tmsx.fr. »

3. Données personnelles collectées

3.1 Via le formulaire de contact

  • Nom et prénom
  • Société
  • Adresse de courrier électronique
  • Numéro de téléphone
  • Contenu du message

3.2 Données de navigation

  • Adresse IP
  • Type et version du navigateur
  • Système d'exploitation
  • Pages consultées, date et heure de connexion, durée de visite
  • Site référent (le cas échéant)

3.3 Dans le cadre de l'usage de la solution X-ALERT

  • SIRET et raison sociale des transporteurs surveillés (données publiques, issues du BODACC, de l'URSSAF, du Registre National des Transporteurs et de la base INSEE / Sirene) ;
  • Email, nom et prénom des Utilisateurs du service ;
  • Logs de consultation horodatés (date, heure, utilisateur, action) destinés à documenter la vigilance du Client ;
  • Préférences de notification par utilisateur (familles d'annonces, transporteurs suivis).

3.4 Dans le cadre d'une relation commerciale

  • Identité et coordonnées des interlocuteurs au sein de l'entreprise cliente
  • Informations de facturation (SIRET, RIB, adresse de facturation)
  • Historique des échanges et des contrats

Aucune donnée dite « sensible » au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, données de santé, orientation sexuelle, etc.) n'est collectée.

4. Finalités et bases légales des traitements

Répondre aux demandes via le formulaire de contact
Base légale : mesures précontractuelles prises à la demande de la personne concernée (art. 6.1.b RGPD).
Fourniture du service X-ALERT (surveillance de transporteurs, alertes, preuve horodatée)
Base légale : exécution d'un contrat (art. 6.1.b RGPD).
Traçabilité des consultations de documents réglementaires
Base légale : intérêt légitime de l'éditeur et du Client à prévenir la fuite, la falsification ou la rediffusion non autorisée de pièces officielles déposées sur la plateforme (art. 6.1.f RGPD). Chaque téléchargement est journalisé (date, utilisateur, société consultante, adresse IP, user-agent) et la copie servie porte un filigrane nominatif (raison sociale, SIREN, horodatage) permettant d'identifier l'origine d'une rediffusion hors canal.
Gestion de la relation commerciale et exécution des contrats
Base légale : exécution d'un contrat (art. 6.1.b RGPD).
Facturation et comptabilité
Base légale : obligation légale (art. 6.1.c RGPD, articles L. 123-22 du Code de commerce).
Prospection commerciale B2B
Base légale : intérêt légitime de l'éditeur à promouvoir ses services auprès de professionnels exerçant une activité en lien avec les solutions proposées (art. 6.1.f RGPD). Droit d'opposition garanti dans chaque communication.
Mesure d'audience anonymisée
Base légale : intérêt légitime (art. 6.1.f RGPD) si les statistiques sont strictement limitées à la mesure d'audience et exemptées de consentement par la CNIL.
Cookies non essentiels
Base légale : consentement (art. 6.1.a RGPD et art. 82 de la loi Informatique et Libertés).

5. Destinataires des données

Les données personnelles collectées sont destinées :

  • au personnel habilité de l'éditeur (équipes commerciale, support, comptabilité) ;
  • aux sous-traitants techniques de l'éditeur, dans la limite strictement nécessaire à leur mission (voir § 6) ;
  • aux autorités administratives ou judiciaires, lorsque la loi l'exige.

Aucune donnée ne transite vers des sous-traitants hors Union européenne. L'ensemble des serveurs utilisés pour héberger la solution X-ALERT et traiter les données sont situés en France. Aucune donnée personnelle n'est cédée, louée ou vendue à des tiers à des fins commerciales.

6. Sous-traitants

L'éditeur fait appel aux sous-traitants suivants, lesquels présentent des garanties suffisantes au regard des exigences du RGPD :

Hébergement de l'infrastructure web et applicative
[À COMPLÉTER : ex. OVH SAS, 2 rue Kellermann, 59100 Roubaix — hébergement en France]
Envoi des courriels transactionnels (alertes quotidiennes) et de prospection
[À COMPLÉTER : ex. « Mailjet », « Brevo (ex-Sendinblue) », « serveur SMTP interne », etc.]
Mesure d'audience (si utilisée)
[À COMPLÉTER : ex. « Matomo auto-hébergé », « Plausible Analytics », « aucune », etc.]

7. Transferts de données hors Union européenne

L'éditeur n'effectue aucun transfert de données hors de l'Union européenne. Les serveurs utilisés pour héberger X-ALERT et traiter les données sont situés en France. L'ensemble des sous-traitants techniques retenus s'engagent contractuellement à héberger et traiter les données exclusivement sur le territoire de l'Union européenne.

8. Durée de conservation des données

Demandes via le formulaire de contact (sans suite)
3 ans à compter du dernier contact émanant du prospect.
Clients actifs
Toute la durée de la relation contractuelle, puis 5 ans à l'issue de celle-ci en base active, avant archivage intermédiaire pour le respect des obligations légales.
Pièces comptables (factures, justificatifs)
10 ans à compter de la clôture de l'exercice comptable (art. L. 123-22 du Code de commerce).
Logs de consultation X-ALERT (preuve de vigilance)
Toute la durée de la relation contractuelle, prolongeable à la demande du Client pour les besoins de sa propre obligation de conservation.
Logs de connexion et logs de sécurité
1 an (conformément à la LCEN et aux recommandations CNIL).
Journal de consultation des documents réglementaires (filigrane)
12 mois à compter de l'action de téléchargement, conformément aux recommandations de la CNIL pour les logs de sécurité hors signalement d'incident en cours. Purge automatique mensuelle.
Cookies
13 mois maximum à compter de leur dépôt, conformément aux lignes directrices CNIL.

9. Sécurité des données

L'éditeur met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD :

  • chiffrement TLS des communications (HTTPS) ;
  • chiffrement au repos des bases de données sensibles ;
  • gestion fine des habilitations et journalisation des accès ;
  • marquage cryptographique (« filigrane ») des documents réglementaires exportés au format PDF : filigrane permanent au dépôt et filigrane nominatif à chaque téléchargement (raison sociale, SIREN, horodatage du consultant) pour tracer toute rediffusion hors plateforme ;
  • sauvegardes régulières et testées ;
  • séparation des environnements (développement, recette, production) ;
  • politique de mots de passe robuste et, le cas échéant, authentification à plusieurs facteurs ;
  • sensibilisation du personnel à la protection des données.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'éditeur notifie la violation à la CNIL dans les 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD.

10. Vos droits sur vos données

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont ou ne sont pas traitées, et en obtenir la communication.
  • Droit de rectification : faire rectifier des données inexactes ou compléter des données incomplètes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les cas prévus par le RGPD.
  • Droit à la limitation du traitement : demander le gel temporaire de l'utilisation de vos données.
  • Droit d'opposition : vous opposer, pour des raisons tenant à votre situation particulière, à un traitement fondé sur l'intérêt légitime ; ce droit s'exerce sans condition en matière de prospection.
  • Droit à la portabilité : recevoir les données que vous avez fournies dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
  • Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur le consentement.
  • Droit de définir des directives relatives au sort de vos données après votre décès (art. 85 de la loi Informatique et Libertés).

Ces droits s'exercent en adressant une demande, accompagnée d'un justificatif d'identité lorsque cela est nécessaire, à :

contact@tmsx.fr
X-ALERT — Protection des données · [À COMPLÉTER : adresse postale]

L'éditeur s'engage à répondre dans un délai maximum d'un mois à compter de la réception de la demande, conformément à l'article 12 du RGPD. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes.

11. Réclamation auprès de la CNIL

Si, après nous avoir contactés, vous estimez que vos droits ne sont pas respectés, vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL
3 Place de Fontenoy — TSA 80715
75334 PARIS CEDEX 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr

12. Cookies et traceurs

12.1 Qu'est-ce qu'un cookie ?

Un cookie est un petit fichier texte déposé sur votre terminal (ordinateur, tablette, téléphone) lors de la consultation d'un site web. Il permet au site de reconnaître votre navigateur et de mémoriser certaines informations (préférences, identifiant de session, mesure d'audience).

12.2 Cookies utilisés sur X-ALERT

[À COMPLÉTER avec la liste réelle des cookies effectivement déposés. Exemple :]

Cookies strictement nécessaires (exemptés de consentement)
ex. « session_id » — gestion de la session utilisateur. Durée : session. Émetteur : tmsx.fr.
Cookies de mesure d'audience
ex. « _pk_id, _pk_ses » (Matomo) — statistiques de fréquentation anonymisées. Durée : 13 mois. Émetteur : …
Cookies tiers
ex. polices Google Fonts, CDN Bootstrap : ne déposent pas de cookies dans le cadre de notre usage.

12.3 Gestion du consentement

[À ADAPTER selon votre mise en place effective de bandeau cookies.] Les cookies non strictement nécessaires ne sont déposés qu'après recueil de votre consentement, conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices CNIL du 17 septembre 2020.

Vous pouvez à tout moment retirer votre consentement :

  • via le module de gestion des cookies accessible depuis le bandeau en bas de page ;
  • via les paramètres de votre navigateur (Chrome, Firefox, Edge, Safari) qui permettent d'accepter, de refuser ou de supprimer les cookies.

13. Diffusion de votre identité aux donneurs d'ordre

La solution X-ALERT propose aux utilisateurs inscrits un dispositif optionnel et révocable à tout moment, par lequel leur identité peut être affichée aux donneurs d'ordre qui surveillent la société à laquelle ils sont rattachés. Ce dispositif vise à renforcer la transparence sur la gouvernance des sociétés surveillées et à donner, côté donneur d'ordre, une vision à jour des personnes physiques engageant juridiquement le sous-traitant.

13.1 Données concernées

La diffusion porte exclusivement sur les trois informations suivantes, déclarées par l'utilisateur lui-même :

  • Nom ;
  • Prénom ;
  • Qualité (gérant, président, directeur général, administrateur, associé unique, etc. — liste fermée).

Ni l'adresse de courrier électronique, ni le numéro de téléphone, ni aucune autre donnée personnelle de l'utilisateur ne sont diffusés aux donneurs d'ordre.

13.2 Base légale

La base légale de cette diffusion est le consentement explicite de la personne concernée, au sens de l'article 6.1.a du RGPD, recueilli dans les conditions prévues à l'article 7 du même règlement. Le consentement est libre, spécifique (il porte uniquement sur ces trois données), éclairé (la présente politique le précise) et univoque (case à cocher non pré-cochée, action positive requise).

13.3 Modèle hybride dirigeants inscrits / registre public

Pour compléter l'information remontée côté donneur d'ordre lorsque la société surveillée n'a aucun dirigeant inscrit sur X-ALERT, la solution peut également afficher les dirigeants publiquement déclarés au Registre National du Commerce et des Sociétés (RNCS), via l'Institut National de la Propriété Industrielle (INPI). Ces données proviennent d'un registre public ; leur réutilisation relève de l'article 9.2.e du RGPD (données manifestement rendues publiques par la personne concernée du fait de leur inscription au registre légal). Chaque dirigeant affiché porte une mention claire de sa source : x-alert (consentement explicite) ou INPI (registre public).

Pour les sociétés de transport, X-ALERT peut en outre afficher les représentants légaux déclarés au Registre National des Transporteurs (RNT) géré par le Ministère de la Transition écologique (gestionnaires de transport et attestataires commissionnaires). Ces informations sont publiques et constituent une obligation réglementaire au titre du règlement (CE) 1071/2009 ; leur affichage ne nécessite pas de consentement individuel.

13.4 Droit de retrait

Vous pouvez à tout moment retirer votre consentement, sans avoir à justifier votre décision et sans conséquence sur l'utilisation du service X-ALERT. Le retrait s'effectue depuis votre profil utilisateur, dans la rubrique « Diffusion de votre identité aux donneurs d'ordre ». La diffusion cesse immédiatement dès l'enregistrement du retrait. Conformément à l'article 7.3 du RGPD, le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait.

13.5 Évolution de la politique — re-consentement

La présente politique de diffusion est identifiée par un numéro de version enregistré avec votre consentement. En cas de modification substantielle (élargissement des données diffusées, extension du périmètre de consultation, nouvelles finalités, etc.), votre consentement est automatiquement suspendu jusqu'à confirmation expresse de votre part sur la nouvelle version. Tant que vous n'avez pas re-confirmé votre choix, la diffusion est interrompue.

13.6 Durée de conservation

Les informations diffusées (nom, prénom, qualité) sont affichées pour la durée de votre consentement actif. Les éléments probatoires du consentement (date, adresse IP au moment du recueil, version de la politique acceptée) sont conservés pendant 5 ans à compter du retrait ou de la suspension du consentement, conformément aux recommandations CNIL en matière de preuve du consentement (article 7.1 du RGPD).

14. Droit d'accès et de suivi par un donneur d'ordre

La solution X-ALERT met en relation deux catégories d'acteurs qui interagissent autour d'un même SIREN : le donneur d'ordre (DO), qui souhaite surveiller ses fournisseurs, et le sous-traitant (ST), dont l'entreprise fait l'objet d'une surveillance. Lorsque vous êtes inscrit comme sous-traitant sur X-ALERT, vous disposez de droits spécifiques sur les modalités de cette mise en relation, en complément des droits généraux énoncés au § 10.

14.1 Droit d'être informé de la surveillance

Lorsqu'un donneur d'ordre ajoute votre société à son portefeuille, vous êtes systématiquement notifié par courriel et par notification interne. L'écran « Mes donneurs d'ordre » (accessible depuis votre espace X-ALERT) affiche à tout moment la liste exhaustive des donneurs d'ordre qui ont ajouté votre SIREN à leur portefeuille, avec la date d'ajout et le statut de votre relation (en attente, acceptée, refusée).

14.2 Droit d'accepter ou de refuser le partage de documents privés

Votre acceptation ou votre refus porte exclusivement sur le partage de documents privés (attestation de vigilance URSSAF, Kbis, attestation de régularité fiscale, attestation RC Pro, etc.) que vous avez téléversés dans votre espace X-ALERT. Quelle que soit votre décision, les données publiques (BODACC, INSEE / Sirene, Registre National des Transporteurs) restent accessibles au donneur d'ordre : ces informations étant publiques par nature, leur réutilisation n'est pas soumise à votre consentement.

  • En attente : état par défaut à la création du lien. Vos documents privés restent masqués tant que vous n'avez pas statué.
  • Acceptée : le donneur d'ordre voit vos documents privés en lecture seule et reçoit automatiquement les alertes d'expiration s'y rapportant. La consultation est horodatée dans vos journaux d'accès.
  • Refusée : le donneur d'ordre conserve la surveillance publique mais n'a aucun accès à vos documents privés. Il est informé du refus, sans autre conséquence sur son utilisation du service.

Vous pouvez revenir sur votre choix à tout moment, dans les deux sens (accepter puis refuser, ou inversement), depuis la même rubrique. Le changement est effectif immédiatement.

14.3 Invitations reçues d'un donneur d'ordre

Un donneur d'ordre peut, avant même que vous ne disposiez d'un compte X-ALERT, vous adresser une invitation à rejoindre le service (par courriel, SMS ou lien partageable). Cette invitation est personnelle, limitée dans le temps (30 jours) et unique par destinataire.

  • Vous êtes libre d'accepter ou d'ignorer l'invitation, sans avoir à justifier votre décision.
  • L'absence de réponse dans le délai entraîne son expiration automatique, sans conséquence.
  • Une invitation ignorée ou expirée n'empêche pas le donneur d'ordre de continuer à consulter les données publiques relatives à votre société (BODACC, INSEE, RNT), ces sources étant publiques par nature.
  • L'acceptation d'une invitation emporte création de votre compte X-ALERT et établit automatiquement le lien vers le donneur d'ordre en statut « acceptée » ; vous pouvez ensuite revenir sur ce choix (cf. § 14.2).

14.4 Traçabilité et droit d'accès aux invitations

Conformément au droit d'accès prévu à l'article 15 du RGPD, vous pouvez obtenir, sur simple demande :

  • la liste des donneurs d'ordre ayant ajouté votre société à leur portefeuille, avec dates d'ajout et statuts du lien ;
  • la liste des invitations émises à votre nom (expéditeur, canal, date d'envoi, statut), y compris celles ignorées, expirées ou révoquées.

Ces éléments sont consultables depuis votre espace X-ALERT, rubrique Mes donneurs d'ordre, ou peuvent être obtenus par simple demande à contact@tmsx.fr.

14.5 Base légale et durée de conservation

La mise en relation entre un donneur d'ordre et un sous-traitant, ainsi que la surveillance fondée sur des sources publiques, reposent sur l'intérêt légitime du donneur d'ordre à vérifier la régularité de ses sous-traitants (art. 6.1.f du RGPD), dans le cadre de ses obligations de vigilance (articles L. 8222-1 et suivants du Code du travail, et, pour le transport routier, articles L. 3261-2 et suivants du Code des transports). Le partage de vos documents privés repose en revanche sur votre consentement explicite (art. 6.1.a du RGPD), retirable à tout moment conformément à l'article 7.3 du même règlement.

Les invitations consommées, expirées ou révoquées sont conservées pendant la durée de la relation contractuelle à des fins d'audit et de preuve, puis pendant 3 ans à l'issue de celle-ci.

14.6 Digest adaptatif de conformité documentaire

Lorsque votre société est inscrite sur X-ALERT et référencée comme fournisseur par au moins un donneur d'ordre, vous recevez automatiquement un digest email synthétisant l'état de votre conformité documentaire (URSSAF, Kbis, attestations sectorielles, etc.). La cadence d'envoi s'adapte au pire niveau de gravité constaté : mensuel si tous les documents sont à jour, hebdomadaire à orange, bi-hebdomadaire (mardi et vendredi) à rouge, quotidien à noir.

  • Destinataires : l'ensemble des utilisateurs actifs déclarés par la société dans son espace X-ALERT (un email distinct par utilisateur).
  • Base légale : exécution du contrat de service souscrit par la société (art. 6.1.b du RGPD). Aucun envoi n'est adressé à des tiers non utilisateurs.
  • Contenu : liste des documents réglementaires de la société, statut individuel et délai de péremption. Aucune donnée personnelle d'autres sociétés ni des donneurs d'ordre n'est incluse.
  • Désactivation : l'envoi du digest peut être désactivé à tout moment par l'administrateur de la société depuis son espace X-ALERT. Une demande à contact@tmsx.fr permet également d'obtenir la désactivation manuelle.
  • Conservation : l'historique des envois (date, niveau, statut technique) est conservé pendant 24 mois à des fins de traçabilité et de support, puis purgé.

15. Modifications de la présente politique

L'éditeur se réserve le droit de modifier la présente politique de confidentialité à tout moment afin de tenir compte de l'évolution de la réglementation, de ses pratiques ou de la Solution. La date de dernière mise à jour figure en tête de document. En cas de modification substantielle, les utilisateurs en seront informés par un bandeau visible sur le site et, pour les utilisateurs disposant d'un compte, par courriel.