Protection des données
Politique de confidentialité
Comment Allarys collecte, utilise, conserve et protège vos données personnelles, en tant que visiteur du site, client d’une mission d’enquête ou personne faisant l’objet d’une investigation. Conforme au RGPD et à la loi Informatique et Libertés.
La présente politique décrit les conditions dans lesquelles le GIE Allarys et ses entreprises membres collectent, utilisent, conservent et protègent les données personnelles. Trois situations sont couvertes : votre navigation sur le site groupe-allarys.com ; votre relation contractuelle si vous êtes client d’une mission d’enquête ; la collecte indirecte de données personnelles vous concernant si vous faites l’objet d’une investigation. Les traitements respectent le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978 modifiée. Voir aussi nos mentions légales.
Responsable de traitement
Le responsable de traitement est le Groupement d’Intérêt Économique ALLARYS, dont le siège social est situé 6 rue d’Armaillé, 75017 Paris (RCS Paris 949 916 837, autorisation CNAPS AUT-075-2122-06-15-20230862611). Lorsqu’une mission d’enquête est exécutée par une entreprise membre du GIE, la qualité de responsable de traitement peut être assumée par cette entreprise, identifiée en tête du contrat de prestation de service signé avec le client. La liste des entreprises membres est publiée sur la page mentions légales.
Toute demande relative à vos données personnelles peut être adressée via le formulaire de contact, ou par voie postale au siège du GIE.
Données collectées sur le site
Formulaires de contact
En soumettant un formulaire de contact, vous transmettez les données nécessaires au traitement de votre demande : nom, prénom, adresse électronique, numéro de téléphone, contenu du message. Ces données sont utilisées pour répondre à votre demande et, le cas échéant, pour engager une relation commerciale. La base légale est l’exécution de mesures précontractuelles à votre demande (article 6(1)(b) du RGPD) et notre intérêt légitime à répondre aux sollicitations (article 6(1)(f) du RGPD).
Les données transmises par formulaire sont conservées trois ans à compter du dernier contact avec vous, sauf prolongation à votre demande ou en cas de conclusion d’un contrat (dans ce cas, voir données du client).
Commentaires et contenu utilisateur
Lorsque vous laissez un commentaire sur le site, les données du formulaire, votre adresse IP et l’identifiant de votre navigateur sont collectés pour aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse électronique peut être envoyée au service Gravatar (politique Gravatar) pour afficher votre photo de profil. Les commentaires et leurs métadonnées sont conservés pour permettre la reconnaissance et l’approbation automatique de vos commentaires ultérieurs.
Médias téléversés
Si vous téléversez des images sur le site, il est recommandé d’éviter les images contenant des données EXIF de coordonnées GPS, car les visiteurs du site pourraient télécharger et extraire ces données de localisation.
Contenus embarqués depuis d’autres sites
Certaines pages peuvent inclure des contenus embarqués (vidéos, images, publications) depuis des sites tiers. Ces contenus se comportent comme si vous visitiez directement ces sites. Les sites concernés peuvent collecter des données sur vous, utiliser leurs propres cookies, embarquer des outils de suivi et tracer vos interactions si vous êtes connecté à un compte chez eux.
Cookies et mesure d’audience
Le site groupe-allarys.com utilise des cookies pour assurer son bon fonctionnement et mesurer son audience. Vous pouvez configurer le dépôt des cookies via le bandeau présenté lors de votre première visite ou via les paramètres de votre navigateur.
Cookies techniques et de confort
Si vous laissez un commentaire, des cookies enregistrent vos nom, adresse électronique et site, uniquement pour vous éviter de les ressaisir lors d’un commentaire ultérieur. Ces cookies expirent au bout d’un an. Les cookies de session liés à la connexion expirent à la fermeture du navigateur ou après deux jours (deux semaines avec « Se souvenir de moi »). Aucun de ces cookies ne contient de données sensibles.
Mesure d’audience
La visite du site peut occasionner le dépôt de cookies à des fins d’analyse d’audience (Google Analytics ou équivalent). Ces cookies permettent de comprendre la fréquentation du site et d’améliorer son contenu. Vous pouvez désactiver ces cookies dans votre navigateur ou via le bandeau de gestion du consentement.
Données du client d’une mission d’enquête
Si vous concluez un contrat de prestation de service avec Allarys ou l’une de ses entreprises membres, les données personnelles collectées dans le cadre du contrat sont nécessaires au traitement de votre dossier et destinées à un usage strictement interne.
Catégories de données collectées
- Données d’identification : nom, prénoms, date et lieu de naissance ;
- Coordonnées : adresse postale, adresse électronique, numéro de téléphone ;
- Situation juridique : nature du lien juridique invoqué, pièces justificatives transmises, éléments factuels en lien avec la mission ;
- Données de facturation : montant des honoraires, modalités de règlement, coordonnées bancaires lorsque nécessaires au règlement ;
- Données de correspondance : échanges écrits (courriels, courriers) entre vous et le prestataire.
Finalités et bases légales
Les données sont traitées exclusivement aux fins suivantes, sur les bases prévues à l’article 6(1) du RGPD :
- Exécution du contrat (article 6(1)(b)) : traitement du dossier, réalisation de la mission, respect des obligations contractuelles ;
- Respect d’une obligation légale (article 6(1)(c)) : conservation des documents pendant trois ans aux fins de contrôle par le CNAPS, en application de l’article L. 634-7 du Code de la sécurité intérieure ;
- Intérêt légitime (article 6(1)(f)) : conservation des éléments collectés au titre du droit à la preuve, pendant les délais de prescription légale applicables.
Le recours à l’intérêt légitime a fait l’objet d’une mise en balance conformément aux exigences du RGPD. L’intérêt poursuivi — la conservation d’éléments de preuve dans le cadre du droit à la preuve reconnu par la jurisprudence — ne porte pas une atteinte disproportionnée à vos droits et libertés, compte tenu de la nature limitée des données conservées, des durées strictement encadrées et des mesures de sécurité mises en œuvre.
Absence de traitements facultatifs
Aucun traitement à des fins de prospection commerciale, d’enquête de satisfaction ou de statistiques externes n’est effectué sur les données collectées dans le cadre d’une mission. Les données sont strictement cantonnées aux finalités énumérées ci-dessus.
Collecte indirecte concernant les personnes enquêtées
Dans le cadre de l’exécution d’une mission confiée par un client, le prestataire peut être amené à collecter de manière indirecte des données personnelles relatives aux personnes faisant l’objet de l’enquête. Cette collecte poursuit la finalité d’établir des faits juridiques dans le respect des règles relatives à l’administration de la preuve.
Base légale et proportionnalité
La base légale est l’intérêt légitime du prestataire à exécuter sa mission (article 6(1)(f) du RGPD). Ce recours a fait l’objet d’une analyse de proportionnalité au regard des droits et libertés des personnes concernées : la finalité poursuivie répond à un intérêt légitime et concret ; la collecte est nécessaire à la réalisation de cet intérêt et aucun moyen moins intrusif ne permettrait d’atteindre le même résultat ; les données collectées sont strictement proportionnées, dans le respect des garanties apportées (minimisation, sécurisation, durée de conservation limitée, secret professionnel, accès restreint).
Modalités de la collecte indirecte
La collecte peut intervenir par la transmission d’informations par le client ou par les investigations menées par le prestataire, comprenant notamment :
- Les surveillances et filatures ;
- Les vérifications de pièces ou documents ;
- Le recueil d’informations administratives ou numériques à partir de sources ouvertes et licites (OSINT), telles que les registres publics, bases de données officielles ou contenus accessibles en ligne.
Catégories de données susceptibles d’être collectées
- Identification : nom, prénoms, date de naissance, photographies ;
- Localisation et déplacement : adresses, lieux fréquentés, itinéraires observés, plaques d’immatriculation ;
- Mode de vie et habitudes : horaires, fréquentations, activités observées ;
- Données professionnelles et administratives : informations issues de registres publics (Kbis, BODACC, cadastre), données issues de sources ouvertes et licites ;
- Données numériques : informations accessibles publiquement sur internet (réseaux sociaux, annuaires, publications en ligne) ;
- Images et enregistrements sonores : captations réalisées dans le respect du cadre légal applicable.
Cette liste est limitée aux données strictement nécessaires à l’exécution de la mission, conformément au principe de minimisation (article 5(1)(c) du RGPD).
Dérogation à l’obligation d’information
Conformément à l’article 14(5)(b) du RGPD, le prestataire est dispensé d’informer la personne concernée lorsque cette information se révèle impossible, exigerait des efforts disproportionnés, ou risque de compromettre gravement la réalisation des objectifs du traitement. L’article 14(5)(d) du RGPD prévoit également une dispense lorsque les données doivent rester confidentielles en vertu d’une obligation légale de secret professionnel.
Le prestataire est tenu au secret professionnel par l’article R. 631-9 du Code de la sécurité intérieure et l’article 226-13 du Code pénal. La dérogation s’applique notamment aux missions de surveillance ou de filature qui requièrent une discrétion absolue, aux recherches OSINT ou administratives lorsqu’une information préalable risquerait d’entraîner la suppression ou la modification de données pertinentes, et aux enquêtes menées dans un contexte contentieux ou judiciaire, lorsque l’efficacité de la stratégie probatoire impose de différer l’information jusqu’à la phase contradictoire.
Lorsque la collecte de données s’effectue directement auprès de la personne concernée (audition ou recueil de témoignage), l’information est délivrée au moment de la collecte, conformément à l’article 13 du RGPD.
Mention dans le rapport d’enquête
La mention du responsable de traitement figure dans chaque rapport d’enquête remis au client, conformément aux obligations de l’article R. 631-30 du Code de la sécurité intérieure.
Exclusion des données particulièrement sensibles
Allarys ne collecte, ne traite ni ne conserve de données personnelles dites « particulièrement sensibles » au sens de l’article 9 du RGPD, sauf si une exception est strictement nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice (article 9(2)(f) du RGPD).
Sont notamment exclues : les données révélant les origines raciales ou ethniques, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale ; les données génétiques et biométriques aux fins d’identification ; les données concernant la santé, la vie ou l’orientation sexuelle de la personne.
Durées de conservation
Les durées de conservation appliquées dépendent de la nature des données et des obligations légales applicables.
- Mission d’enquête 3 ans à compter de la fin de la mission, conformément à l’article L. 634-7 du Code de la sécurité intérieure, sauf prolongation en cas de contentieux
- Contrats 5 ans à compter de leur signature, conformément à l’article L. 110-4 du Code de commerce
- Factures 10 ans à compter de la clôture de l’exercice comptable (articles L. 102 B et L. 123-22 du Code de commerce, article L. 169 du Livre des procédures fiscales)
- Données enquêtées Données non soumises à conservation légale : supprimées ou anonymisées dans un délai de 30 jours à compter du règlement intégral de la facture, et au plus tard à l’expiration des durées ci-dessus
- Formulaires 3 ans à compter du dernier contact, sauf conclusion d’un contrat
- Cookies Selon le type : session, 24 h, 2 jours, 2 semaines, 1 an au maximum
En cas de procédure judiciaire, les données peuvent être conservées jusqu’à l’épuisement des voies de recours. Au terme des durées applicables, les éléments peuvent être détruits sans notification préalable.
Destinataires et sous-traitance
Pour les besoins de l’exécution du contrat, le prestataire peut recourir aux catégories d’intervenants suivantes, toutes soumises à une obligation stricte de confidentialité :
- Les membres du GIE Allarys (entreprises listées sur la page mentions légales) ;
- Des collaborateurs libéraux ou sous-traitants ARP missionnés pour l’exécution partielle de la mission, conformément à l’article R. 631-9 du Code de la sécurité intérieure ;
- Des sous-traitants techniques : cabinet comptable pour la gestion administrative et fiscale, prestataires informatiques pour l’hébergement, la sécurité ou la maintenance des systèmes.
Chaque intervenant applique des mesures de sécurité conformes aux articles 28 et 32 du RGPD. Un registre des sous-traitants est tenu à disposition du client sur demande écrite. Les données ne sont ni vendues, ni louées, ni transmises à des tiers sans consentement préalable, sauf obligation légale ou motif légitime.
Destinataires des données dans le cadre d’une mission
- Les juridictions et auxiliaires de justice, dans le cadre de la production du rapport d’enquête privée en vue de l’administration de la preuve ;
- Le CNAPS et, le cas échéant, les autorités administratives ou judiciaires dans le cadre de leur mission de contrôle (article L. 634-7 du Code de la sécurité intérieure) ;
- Les sous-traitants, collaborateurs libéraux et prestataires techniques mentionnés ci-dessus ;
- Le cabinet comptable du prestataire, pour les seules données de facturation.
Sécurité, traçabilité et confidentialité
L’accès aux données personnelles est strictement limité au responsable de traitement et aux personnes autorisées dans la limite de leurs attributions. Chaque accès fait l’objet d’une traçabilité complète garantissant la transparence dans la gestion des données. En cas de contrôle, cette traçabilité permet de justifier l’historique des accès et des modifications.
Les données sont enregistrées dans un système informatisé sécurisé. Le prestataire met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité, la confidentialité et l’intégrité des données personnelles, conformément à l’article 32 du RGPD.
Vos droits sur vos données
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Accès Obtenir la confirmation que des données vous concernant sont traitées et en recevoir copie (article 15 RGPD)
- Rectification Faire corriger des données inexactes ou compléter des données incomplètes (article 16 RGPD)
- Effacement Obtenir l’effacement de vos données (article 17 RGPD), dans les limites légales détaillées ci-après
- Portabilité Recevoir vos données dans un format structuré et les transmettre à un autre responsable (article 20 RGPD)
- Limitation Suspendre temporairement le traitement de vos données (article 18 RGPD)
- Opposition Vous opposer au traitement pour des motifs légitimes (article 21 RGPD)
Limites au droit à l’effacement
Le droit à l’effacement peut faire l’objet de limitations légales, notamment lorsque la conservation est imposée par l’article L. 634-7 du Code de la sécurité intérieure (3 ans à compter de la fin de la mission aux fins de contrôle CNAPS), lorsque les données sont nécessaires à la constatation, l’exercice ou la défense de droits en justice (article 17(3)(e) du RGPD), ou lorsque la conservation répond à une obligation comptable ou fiscale (articles L. 102 B et L. 123-22 du Code de commerce, article L. 169 du Livre des procédures fiscales).
Limites pour les personnes faisant l’objet d’une enquête
Les personnes ayant fait l’objet d’une collecte indirecte peuvent exercer leurs droits d’accès, de rectification et d’opposition auprès du responsable de traitement. Le prestataire se réserve le droit de différer ou de limiter la réponse lorsque l’exercice de ces droits est susceptible de compromettre les objectifs de la mission en cours, conformément à l’article 23 du RGPD et aux dérogations applicables.
Modalités d’exercice et délai
Pour exercer vos droits, adressez votre demande via le formulaire de contact ou par voie postale au siège du GIE. Le prestataire répond dans un délai d’un mois à compter de la réception (article 12(3) du RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, le client en étant informé dans le délai initial.
Réclamation auprès de la CNIL
Conformément à l’article 77 du RGPD, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés, autorité de contrôle compétente, dont le siège est situé 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Notification des violations de données
En cas de violation de données personnelles au sens de l’article 4(12) du RGPD, le prestataire s’engage à :
- Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33 du RGPD), sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ;
- Informer le client dans les meilleurs délais, et au plus tard dans les 72 heures suivant la découverte, lorsque la violation est susceptible d’affecter les données personnelles collectées dans le cadre de son dossier ;
- Informer la personne concernée dans les cas prévus à l’article 34 du RGPD, lorsque la violation est susceptible d’engendrer un risque élevé pour ses droits et libertés ;
- Documenter la violation dans un registre interne (article 33(5) du RGPD), incluant les faits, les effets et les mesures correctives prises.
L’information aux personnes concernées comprend la nature de la violation, les catégories de données concernées, les conséquences probables et les mesures prises ou envisagées pour y remédier.
Analyse d’impact relative à la protection des données
Conformément à l’article 35 du RGPD, le prestataire a réalisé une analyse d’impact relative à la protection des données (AIPD) portant sur les traitements mis en œuvre dans le cadre de son activité de recherches privées, en particulier :
- Les opérations de surveillance ou de filature de personnes physiques ;
- La collecte indirecte de données personnelles à l’insu des personnes concernées ;
- Le traitement de données susceptibles de révéler des informations relatives à la vie privée, aux habitudes, aux déplacements ou au mode de vie des personnes enquêtées.
Cette analyse identifie les mesures techniques et organisationnelles nécessaires pour atténuer les risques pour les droits et libertés des personnes concernées. Elle est tenue à la disposition de la CNIL en cas de contrôle. Le prestataire s’engage à mettre à jour cette analyse en cas de modification substantielle des conditions de traitement.
Exercer vos droits
Une demande sur vos données ?
Accès, rectification, effacement, portabilité, limitation, opposition : adressez votre demande au responsable de traitement. Réponse sous un mois, conformément à l’article 12(3) du RGPD.