Conditions Générales d'Utilisation & Protection des Données

Les présentes Conditions Générales d'Utilisation (ci-après « CGU ») régissent l'utilisation du service de demande de devis en ligne (ci-après le « Service ») proposé par AQUATYCIA SAS (ci-après « AQUATYCIA » ou le « Responsable du traitement »).

Le Service permet aux professionnels et aux particuliers de solliciter une estimation tarifaire gratuite et sans engagement pour des prestations d'analyses d'eau, de prélèvements et de services associés.

La soumission du formulaire ne constitue ni une commande, ni un engagement contractuel de la part de l'utilisateur ou d'AQUATYCIA. Le devis établi par AQUATYCIA sera transmis par courrier électronique et nécessitera une acceptation expresse et distincte de votre part, accompagnée de l'acceptation des Conditions Générales de Vente, pour donner lieu à une prestation.

L'utilisation du Service implique l'acceptation pleine et entière des présentes CGU. Si vous n'acceptez pas ces conditions, veuillez ne pas utiliser le Service.

AQUATYCIA est un laboratoire d'analyses d'eau opérant dans un environnement réglementaire exigeant. Nos activités sont soumises aux référentiels suivants :

• Norme NF EN ISO/IEC 17025:2017 — Exigences générales concernant la compétence des laboratoires d'essais et d'étalonnages. Système de management de la qualité appliqué à l'ensemble de nos activités d'analyses et de prélèvements.
• Référentiels COFRAC — LAB REF 02 (révision 15), LAB REF 08 (portée d'accréditation), GEN REF 11 (règles d'utilisation de la marque).
• Code de la Santé Publique (articles L.1321-1 à L.1321-10, R.1321-1 à R.1321-66) — Conformité aux exigences sanitaires pour les eaux destinées à la consommation humaine, les eaux chaudes sanitaires, les piscines et les tours aéroréfrigérantes.
• Arrêté du 1^er février 2010 relatif à la surveillance des légionelles dans les installations à risque.
• Règlement (UE) 2020/741 relatif aux exigences minimales applicables à la réutilisation de l'eau.
• Arrêté du 11 janvier 2007 relatif aux limites et références de qualité des eaux brutes et des eaux destinées à la consommation humaine.

Conformément à l'article 13 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après « RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (ci-après « Loi Informatique et Libertés »), nous vous informons que :

Dans le cadre du Service, les catégories de données suivantes sont collectées :

Catégorie	Données	Source
Identification	Nom, prénom	Formulaire
Contact	Adresse email, numéro de téléphone	Formulaire
Professionnelle	Nom de l'établissement, numéro SIRET, numéro de TVA intracommunautaire	Formulaire
Localisation	Adresse du site d'intervention (rue, code postal, ville)	Formulaire + API Adresse (gouv.fr)
Prestation	Type d'établissement, analyses souhaitées, nombre de points, options, commentaires	Formulaire
Technique	Adresse IP, date et heure de la demande, identifiant de session, navigateur (User-Agent)	Collecte automatique
Vérification	Jeton de vérification email, horodatage de validation	Système

Aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, origine raciale ou ethnique, opinions politiques, convictions religieuses, etc.) n'est collectée via le Service de demande de devis.

Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale spécifique :

Finalité	Base légale	Référence RGPD
Établissement et envoi du devis personnalisé	Consentement	Art. 6.1.a
Vérification de l'adresse email (double opt-in)	Consentement	Art. 6.1.a
Recontact téléphonique pour précisions techniques liées au devis	Intérêt légitime	Art. 6.1.f
Création du dossier client en cas d'acceptation du devis	Mesures précontractuelles / Exécution du contrat	Art. 6.1.b
Sécurité, lutte contre la fraude et le spam (rate limiting, vérification IP)	Intérêt légitime	Art. 6.1.f
Production de statistiques anonymisées et agrégées sur l'utilisation du Service	Intérêt légitime	Art. 6.1.f
Respect des obligations comptables et fiscales (en cas de commande)	Obligation légale	Art. 6.1.c

Intérêt légitime — Balance des intérêts

Lorsque le traitement est fondé sur l'intérêt légitime d'AQUATYCIA (art. 6.1.f), une analyse de la balance des intérêts a été réalisée et consignée dans notre registre des traitements (art. 30 RGPD). L'intérêt légitime poursuivi (sécurité du service, amélioration de la qualité, précision du devis) ne porte pas une atteinte disproportionnée à vos droits et libertés fondamentaux. Vous disposez à tout moment d'un droit d'opposition à ces traitements (cf. Article 11).

Les champs marqués d'un astérisque (*) dans le formulaire sont obligatoires. Leur non-fourniture entraîne l'impossibilité d'établir un devis.

Les données facultatives (SIRET, TVA, commentaires) permettent d'affiner le devis mais ne conditionnent pas l'accès au Service.

Les données techniques (adresse IP, horodatage) sont collectées automatiquement et sont nécessaires à la sécurité du Service.

8.1 Destinataires internes

Vos données sont accessibles aux seuls collaborateurs d'AQUATYCIA dûment habilités, dans la stricte limite de leurs attributions :

• Service commercial (traitement de la demande, établissement du devis)
• Service client (suivi, relance)
• Direction technique / Laboratoire (en cas d'acceptation du devis)
• Service comptabilité (en cas de commande)

8.2 Sous-traitants (art. 28 RGPD)

AQUATYCIA fait appel aux sous-traitants suivants, liés par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD :

Sous-traitant	Fonction	Localisation	Garanties
Microsoft Azure	Hébergement infrastructure	France (France Centre)	ISO 27001, SOC 2, CCT
Brevo (ex-Sendinblue)	Envoi d'emails transactionnels	France	ISO 27001, DPA signé
OVH	Services Cloud complémentaires, SMS	France	ISO 27001, SOC 2, HDS
Cloudflare	CDN, protection DDoS, DNS	États-Unis (*)	ISO 27001, CCT
Sogecommerce	Traitement des paiements	France	PCI-DSS

(*) Transfert hors UE — voir Article 9.

8.3 Autres destinataires

Vos données peuvent également être communiquées, sur réquisition légale, aux autorités administratives ou judiciaires compétentes (CNIL, autorités fiscales, juridictions).

Aucune donnée n'est vendue, louée, cédée ou mise à disposition de tiers à des fins commerciales ou publicitaires.

Certaines données peuvent être transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE), notamment vers les États-Unis (Cloudflare). Ces transferts sont encadrés par l'un des mécanismes suivants, conformément au Chapitre V du RGPD :

• Décision d'adéquation de la Commission européenne (art. 45 RGPD), lorsqu'applicable ;
• Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (Décision d'exécution 2021/914 du 4 juin 2021), accompagnées d'une évaluation d'impact du transfert (Transfer Impact Assessment) conformément aux recommandations 01/2020 du CEPD ;
• Data Privacy Framework UE-États-Unis (Décision d'adéquation du 10 juillet 2023), pour les destinataires certifiés.

Vous pouvez obtenir une copie des garanties appropriées en contactant notre DPO.

Les données sont conservées pour une durée strictement nécessaire aux finalités pour lesquelles elles ont été collectées, puis archivées ou supprimées conformément aux durées suivantes :

Données	Conservation active	Archivage intermédiaire	Fondement
Demande de devis non convertie	12 mois	—	Consentement (retrait possible)
Données client (devis accepté)	Durée de la relation	10 ans	Art. L.123-22 Code de Commerce
Résultats d'analyses	Durée de la relation	15 ans	ISO 17025 + réglementation sanitaire
Pièces comptables (factures)	Exercice en cours	10 ans	Art. L.123-22 Code de Commerce
Données de prospection	3 ans après dernier contact	—	Recommandation CNIL
Logs techniques (IP, horodatage)	12 mois	—	LCEN (Décret 2011-219)
Cookies de session	Durée de la session	—	Nécessité technique

À l'expiration de ces durées, les données sont supprimées de manière irréversible ou anonymisées de façon à rendre impossible toute réidentification.

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la Loi Informatique et Libertés, vous bénéficiez des droits suivants :

Modalités d'exercice

Vous pouvez exercer vos droits par l'un des moyens suivants :

• Email : [email protected] (objet : « Exercice de droits RGPD »)
• Courrier : DPO — AQUATYCIA SAS, 9T Rue Parmentier, 94140 Alfortville

Votre demande doit être accompagnée d'un justificatif d'identité en cas de doute raisonnable sur votre identité (art. 12.6 RGPD). Nous répondrons dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires compte tenu de la complexité et du nombre de demandes, auquel cas vous en serez informé(e) dans le mois initial (art. 12.3 RGPD).

Retrait du consentement

Vous pouvez retirer votre consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement donné avant ce retrait (art. 7.3 RGPD). En cas de retrait, votre demande de devis en cours sera supprimée.

Directives relatives au sort des données après le décès

Conformément à l'article 85 de la Loi Informatique et Libertés, vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Réclamation auprès de l'autorité de contrôle

Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL (art. 77 RGPD) :

Conformément à l'article 17.3 du RGPD, le droit à l'effacement ne s'applique pas lorsque le traitement est nécessaire :

• Au respect d'une obligation légale (art. 17.3.b) : conservation des pièces comptables pendant 10 ans (art. L.123-22 Code de Commerce), conservation des résultats d'analyses pendant 15 ans (exigences ISO 17025 et réglementation sanitaire) ;
• Pour des motifs d'intérêt public dans le domaine de la santé publique (art. 17.3.c) : en particulier les résultats d'analyses liés à la surveillance des légionelles et à la qualité des eaux de consommation, dont la conservation est imposée par le Code de la Santé Publique ;
• À des fins archivistiques, de recherche scientifique ou statistique (art. 17.3.d) : données anonymisées intégrées dans nos études statistiques sur la qualité des eaux ;
• À la constatation, l'exercice ou la défense de droits en justice (art. 17.3.e).

Dans ces cas, vos données seront conservées avec un accès restreint (archivage intermédiaire), limité aux seules personnes habilitées.

Conformément à l'article 22 du RGPD, AQUATYCIA vous informe que :

• Le calcul de l'estimation tarifaire (devis) est réalisé de manière automatisée sur la base des paramètres que vous renseignez (type d'établissement, analyses, localisation). Ce traitement ne produit pas d'effets juridiques vous concernant et ne vous affecte pas de manière significative : il s'agit d'une simple aide à la tarification, soumise à validation humaine avant envoi du devis définitif.
• Aucune décision produisant des effets juridiques ou vous affectant de manière significative n'est prise sur le seul fondement d'un traitement automatisé.
• Aucun profilage au sens de l'article 4.4 du RGPD n'est réalisé dans le cadre du Service de demande de devis.

Conformément au Règlement (UE) 2024/1689 du 13 juin 2024 (« AI Act ») et dans un souci de transparence, AQUATYCIA vous informe qu'elle utilise des outils d'intelligence artificielle dans le cadre de ses activités générales (assistance client, optimisation des plannings, analyse qualité). Dans ce cadre :

• Les données traitées par les systèmes d'IA sont pseudonymisées préalablement à tout traitement ;
• Aucune donnée personnelle n'est utilisée pour entraîner, affiner ou améliorer les modèles d'IA ;
• Aucune décision automatisée ayant un impact significatif n'est prise sans contrôle humain systématique ;
• Les systèmes d'IA utilisés ne relèvent pas des catégories à haut risque définies à l'annexe III du Règlement IA.

Les données issues du formulaire de demande de devis ne font l'objet d'aucun traitement par IA. Seuls les services internes d'AQUATYCIA utilisent ces outils dans le cadre du suivi opérationnel après acceptation du devis.

Conformément à l'article 32 du RGPD, AQUATYCIA met en œuvre les mesures techniques et organisationnelles suivantes, adaptées au niveau de risque :

Mesures techniques

• Chiffrement des communications en transit (TLS 1.2/1.3, HTTPS obligatoire)
• Hébergement sur Microsoft Azure, région France Centre, certifié ISO 27001, SOC 2 Type II et HDS
• Protection applicative : pare-feu, limitation du débit (rate limiting), protection anti-DDoS (Cloudflare)
• Vérification d'email par jeton unique à usage limité (expiration 24h)
• Limitation du nombre de demandes : 3 par adresse email par heure, 10 par adresse IP par heure
• Journalisation sécurisée des accès avec intégrité cryptographique (SHA-256)

Mesures organisationnelles

• Accès restreint selon le principe du moindre privilège
• Sensibilisation des collaborateurs à la protection des données
• Procédure de gestion des violations de données (cf. Article 20)
• Registre des traitements tenu conformément à l'article 30 du RGPD
• Audits de conformité réguliers

Le Service utilise exclusivement des cookies strictement nécessaires au fonctionnement technique du formulaire (cookie de session). Ces cookies sont exemptés de consentement conformément à l'article 82 de la Loi Informatique et Libertés et aux lignes directrices de la CNIL du 17 septembre 2020.

Aucun cookie publicitaire, de mesure d'audience tiers ou de traçage inter-sites n'est déposé dans le cadre du Service.

Cookie	Finalité	Durée	Type
PHPSESSID	Maintien de la session utilisateur	Session (1h max)	Strictement nécessaire

L'ensemble des éléments du Service (interface, design, textes, images, logos, logiciels) est protégé par le droit de la propriété intellectuelle. La marque AQUATYCIA et le logo associé sont des marques déposées. Toute reproduction, représentation ou exploitation non autorisée est interdite.

En cas d'acceptation du devis, la prestation sera régie par les Conditions Générales de Vente et de Prestations de Services d'AQUATYCIA dans leur version en vigueur au jour de l'acceptation. Ces CGV :

• Seront communiquées avec le devis sur support durable (PDF) ;
• Devront être acceptées expressément avant toute commande ;
• Couvrent notamment : passation de commande, description des prestations, méthodes d'analyse conformément aux normes ISO, délais de transmission des résultats, conditions de facturation et de paiement, clauses de responsabilité, de confidentialité et de protection des données.

Les présentes CGU du Service de devis sont distinctes et indépendantes des CGV. L'acceptation des présentes CGU ne vaut pas acceptation des CGV.

En cochant la case « J'accepte les conditions générales d'utilisation et consens au traitement de mes données personnelles pour recevoir mon devis », vous confirmez de manière libre, spécifique, éclairée et univoque (art. 4.11 et 7 RGPD) :

1. Avoir lu et accepté les présentes Conditions Générales d'Utilisation dans leur intégralité ;
2. Consentir au traitement de vos données personnelles aux finalités décrites à l'Article 6 ;
3. Avoir été informé(e) de l'identité du responsable du traitement et de ses coordonnées ;
4. Avoir été informé(e) de vos droits et des modalités de leur exercice ;
5. Comprendre que la demande de devis est gratuite et sans engagement ;
6. Pouvoir retirer votre consentement à tout moment en écrivant à [email protected], sans que cela affecte la licéité du traitement antérieur.

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés, AQUATYCIA s'engage à :

• Notifier la violation à la CNIL dans un délai de 72 heures (art. 33 RGPD) ;
• Vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés (art. 34 RGPD), sauf si des mesures de protection techniques rendant les données inintelligibles ont été appliquées.

Le Service est destiné aux personnes majeures (18 ans révolus) ou aux mineurs de 15 ans et plus agissant avec l'autorisation de leur représentant légal. Conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés (seuil fixé à 15 ans en France par le Décret n°2019-536), le consentement d'un mineur de moins de 15 ans doit être donné conjointement avec le titulaire de l'autorité parentale.

AQUATYCIA se réserve le droit de modifier les présentes CGU à tout moment. La version applicable est celle en vigueur au moment de l'utilisation du Service, identifiée par son numéro de version et sa date d'effet figurant en tête du présent document.

En cas de modification substantielle, un nouveau consentement sera sollicité auprès des utilisateurs dont les demandes sont en cours de traitement.

Les présentes CGU sont régies par le droit français.

Pour les professionnels : Tout litige relatif à l'interprétation ou à l'exécution des présentes sera soumis à la compétence exclusive du Tribunal de Commerce de Créteil.

Pour les consommateurs : Conformément aux articles L.611-1 et suivants du Code de la consommation, en cas de litige non résolu à l'amiable, vous pouvez recourir gratuitement au service de médiation de la consommation. Conformément à l'article 14 du Règlement (UE) 524/2013, la Commission européenne met à disposition une plateforme de règlement en ligne des litiges : https://ec.europa.eu/consumers/odr.