Conformité RGPD

Politique de confidentialité

Cette page décrit comment INVENY traite les données personnelles collectées via son site internet et dans le cadre de ses missions d'enquête privée. Notre activité, encadrée par le Code de la sécurité intérieure et soumise au secret professionnel, impose un niveau d'exigence supérieur en matière de protection des données.

Dernière mise à jour : 8 mai 2026.

Identité du responsable

Responsable du traitement

Le responsable du traitement des données personnelles collectées via le site inveny.fr et dans le cadre des missions d'enquête est :

ALLARYS AuRA — SARL au capital de 3 000 €
Nom commercial : INVENY
Siège social : 2 place Gailleton — 69002 Lyon
RCS Lyon 939 760 120
SIRET 939 760 120 00013
TVA intracommunautaire FR10 939 760 120
Code APE 80.30Z
Autorisation d'exercice CNAPS : AUT-069-2124-07-23-20250971570
Représentée par Paul Cercy, gérant

Vos contacts

Contact pour les questions de protection des données

INVENY n'a pas désigné de Délégué à la Protection des Données (DPO), n'étant pas tenue à cette obligation au titre de l'article 37 du RGPD.

Pour toute question relative au traitement de vos données personnelles, à l'exercice de vos droits ou à la présente politique, vous pouvez contacter le responsable du traitement par :

  • Courrier postal (recommandé) : INVENY — Mention « Données personnelles » — 2 place Gailleton, 69002 Lyon
  • Téléphone : +33 (0)4 81 91 07 97
  • Courriel : disponible via la page contact

Une réponse vous sera adressée dans un délai maximum d'un mois à compter de la réception de votre demande, conformément à l'article 12.3 du RGPD.

Ce que nous collectons

Données personnelles collectées

Via le formulaire de contact du site

Lorsque vous utilisez le formulaire de contact disponible sur le site, nous collectons les informations que vous nous transmettez volontairement :

  • Nom et prénom
  • Adresse électronique
  • Numéro de téléphone
  • Objet de la demande (champ libre court)
  • Mode de contact souhaité (téléphone ou courriel)
  • Description de votre demande (champ libre)

Ces données sont indispensables au traitement de votre demande. Aucun autre champ n'est obligatoire.

Consentement explicite

L'envoi du formulaire est conditionné par la coche d'une case matérialisant votre consentement à l'utilisation de vos informations pour le traitement de votre demande, avec renvoi à la présente politique. La preuve du consentement est conservée dans nos journaux techniques le temps strictement nécessaire à la démonstration de notre conformité, conformément à l'article 7 du RGPD.

Données techniques associées à la soumission

Lors de l'envoi d'un message, nous collectons également des données techniques nécessaires à la sécurité et au bon fonctionnement du formulaire :

  • URL d'origine de la soumission (page depuis laquelle vous avez envoyé le formulaire)
  • Horodatage de la soumission
  • Adresse IP et signaux comportementaux traités par le service anti-robot Google reCAPTCHA v3 (voir section sous-traitants et cookies)
  • Champ leurre anti-spam (honeypot) destiné à filtrer les soumissions automatisées, sans incidence pour les utilisateurs humains

Via la navigation sur le site

Lors de votre navigation, des données techniques sont collectées automatiquement :

  • Adresse IP (anonymisée pour les statistiques)
  • Type de navigateur et système d'exploitation
  • Pages visitées, durée de visite, source de provenance
  • Date et heure de connexion

Via les cookies de mesure d'audience

Voir la section dédiée aux cookies et traceurs ci-dessous.

Données non collectées

INVENY ne collecte pas, via son site internet, de données sensibles au sens de l'article 9 du RGPD (origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données de santé, vie sexuelle ou orientation sexuelle, données génétiques ou biométriques). De telles informations, si elles s'avèrent pertinentes au cours d'une mission, ne sont collectées et traitées que dans le cadre contractuel d'une lettre de mission, sous la protection du secret professionnel.

Article 6 du RGPD

Bases légales des traitements

Chaque traitement repose sur une base légale identifiée :

Traitement Base légale RGPD
Réponse à une demande envoyée via le formulaire Mesures précontractuelles à votre demande (art. 6.1.b)
Conservation des informations transmises via le formulaire au-delà du strict traitement de la demande Consentement explicite via case à cocher (art. 6.1.a)
Filtrage anti-robot (reCAPTCHA, honeypot) Intérêt légitime à la sécurité du site (art. 6.1.f)
Exécution d'une mission d'enquête Exécution du contrat (art. 6.1.b)
Conservation des dossiers à des fins probatoires Obligation légale et intérêt légitime (art. 6.1.c et 6.1.f)
Tenue des registres CNAPS et obligations comptables Obligation légale (art. 6.1.c)
Statistiques de fréquentation du site Intérêt légitime, avec respect de l'opposition (art. 6.1.f)
Cookies non strictement nécessaires Consentement (art. 6.1.a)

Combien de temps

Durée de conservation des données

Les données sont conservées pour la durée strictement nécessaire à la finalité poursuivie, conformément au principe de limitation prévu à l'article 5.1.e du RGPD.

  • Formulaire de contact sans suite : 12 mois maximum après le dernier échange
  • Preuve du consentement (case à cocher du formulaire) : durée alignée sur celle de la donnée principale concernée, dans la limite de 5 ans
  • Dossiers d'enquête : 5 ans à compter de la clôture du dossier (alignement avec la prescription civile de droit commun)
  • Pièces comptables et factures : 10 ans (article L. 123-22 du Code de commerce)
  • Registre des missions imposé par le CNAPS : durée fixée par la réglementation applicable à la profession
  • Données de mesure d'audience anonymisées : 13 mois maximum
  • Cookies non strictement nécessaires : 13 mois maximum à compter du consentement
  • Journaux techniques anti-spam (reCAPTCHA, honeypot, URL d'origine, horodatage) : 6 mois maximum

À l'issue de ces durées, les données sont soit supprimées de manière sécurisée, soit anonymisées de façon irréversible.

À qui sont transmises vos données

Destinataires et sous-traitants

Vos données ne sont jamais vendues, louées ou transmises à des fins commerciales. Elles peuvent être communiquées :

En interne

  • Au gérant de l'agence et aux enquêteurs habilités, dans la stricte limite de leurs missions
  • À l'expert-comptable de l'agence pour les obligations comptables et fiscales

Aux autorités publiques

  • Au CNAPS en cas de contrôle réglementaire
  • À l'administration fiscale, à l'URSSAF, aux services de police ou de justice sur réquisition légale

À nos sous-traitants

Pour le fonctionnement du site et de l'agence, nous faisons appel à des sous-traitants techniques avec lesquels nous avons signé des accords conformes à l'article 28 du RGPD :

Sous-traitant Finalité Localisation
OVH SAS Hébergement du site et de la base de données France (Roubaix)
Google LLC (Site Kit, Analytics, Tag Manager) Mesure d'audience et statistiques États-Unis
Google LLC (reCAPTCHA v3) Filtrage anti-robot du formulaire de contact États-Unis
Dropbox International Sauvegarde chiffrée du site (UpdraftPlus) Irlande / États-Unis
Weglot SAS Traduction multilingue du site France
WP Media (Imagify) Optimisation des images du site France
Trustindex Affichage des avis Google Hongrie / États-Unis

Données et États-Unis

Transferts de données hors Union européenne

Certains de nos sous-traitants techniques (Google, Dropbox, Trustindex) peuvent transférer une partie des données vers les États-Unis. Ces transferts sont encadrés par les mécanismes prévus par le RGPD :

  • L'EU-U.S. Data Privacy Framework, décision d'adéquation adoptée par la Commission européenne le 10 juillet 2023, pour les organisations américaines certifiées
  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne pour les transferts non couverts par une décision d'adéquation

Vous pouvez à tout moment vous opposer aux transferts liés à la mesure d'audience en désactivant les cookies correspondants via le bandeau de gestion des consentements. Le filtrage anti-robot reCAPTCHA, indispensable à la sécurité du formulaire, reste en place tant que vous utilisez celui-ci.

Cookies

Cookies et traceurs

Cookies strictement nécessaires

Ces cookies sont indispensables au fonctionnement du site (sécurité, gestion de la session, mémorisation du choix de consentement). Ils ne nécessitent pas de consentement préalable.

Cookies de mesure d'audience

Le site utilise Google Site Kit qui intègre Google Analytics et Google Tag Manager. Ces outils déposent des cookies tiers permettant de mesurer la fréquentation du site (pages vues, temps de visite, sources de trafic). Les adresses IP sont anonymisées avant traitement.

Service anti-robot reCAPTCHA

Le formulaire de contact est protégé par Google reCAPTCHA v3, qui analyse les signaux comportementaux du navigateur pour distinguer les utilisateurs humains des robots. Ce service peut déposer des cookies tiers gérés par Google et nécessite l'exécution d'un script chargé depuis les serveurs de Google. Sans ce filtrage, le formulaire serait inutilisable en pratique en raison du volume de soumissions automatisées. Les règles de confidentialité et les conditions d'utilisation de Google s'appliquent.

Cookies de traduction

L'extension Weglot dépose un cookie de préférence linguistique pour mémoriser votre choix de langue (français ou anglais).

Cookies d'avis externes

Le widget Trustindex qui affiche les avis Google peut déposer des cookies tiers gérés directement par Google.

Gestion de votre consentement

Vous pouvez à tout moment accepter, refuser ou personnaliser les cookies non strictement nécessaires via le bandeau de consentement présent au bas de votre écran lors de votre première visite. Vous pouvez également configurer votre navigateur pour bloquer ou supprimer les cookies. Le refus des cookies de mesure d'audience n'a aucun impact sur la consultation du site.

Liens utiles

Spécificité métier

Données collectées dans le cadre des missions d'enquête

Les données traitées dans le cadre d'une mission d'enquête privée font l'objet d'un régime spécifique, distinct de celui applicable aux données collectées via le site internet.

Cadre légal renforcé

L'activité de recherches privées est encadrée par le Code de la sécurité intérieure (article L. 621-1 et suivants) et par le code de déontologie applicable à la profession (articles R. 631-28 à R. 631-31). Tout enquêteur est astreint au secret professionnel sous peine des sanctions de l'article 226-13 du Code pénal (un an d'emprisonnement et 15 000 euros d'amende).

Cadre contractuel

Les données collectées dans le cadre d'une mission sont régies par la lettre de mission signée entre le client et l'agence. Cette lettre définit l'objet précis de l'enquête, son périmètre, les finalités, les durées de conservation et les conditions de restitution des éléments.

Personnes objet d'une enquête

Conformément à l'article L. 621-1 du Code de la sécurité intérieure, les enquêtes peuvent être conduites « sans faire état de la qualité [de l'enquêteur] ni révéler l'objet de la mission ». Cette particularité, indispensable à l'efficacité de la profession, est encadrée par les principes de légitimité, proportionnalité et loyauté. Les personnes objet d'une enquête disposent des droits prévus par le RGPD, étant entendu que leur exercice peut être restreint, conformément à l'article 23 du RGPD et à l'article 56 de la loi Informatique et Libertés, lorsqu'il porterait atteinte à la finalité légitime de l'enquête, à un droit des tiers, ou à une procédure judiciaire en cours.

Recevabilité judiciaire

Les éléments collectés dans le cadre d'une mission sont conservés pour servir, le cas échéant, de preuve devant les juridictions civiles, prud'homales, commerciales ou pénales, dans les conditions précisées par la jurisprudence.

Vos droits

Vos droits sur vos données personnelles

Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés du 6 janvier 1978 modifiée, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie
  • Droit de rectification : faire corriger les données inexactes ou incomplètes
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données dans les cas prévus par la loi
  • Droit à la limitation : demander la suspension temporaire du traitement
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition : vous opposer au traitement pour motifs légitimes liés à votre situation particulière
  • Droit de retirer votre consentement à tout moment, lorsque le traitement repose sur celui-ci
  • Droit de définir des directives post-mortem sur le sort de vos données après votre décès

Exercice de vos droits

Pour exercer ces droits, adressez votre demande au responsable du traitement par courrier postal ou par les coordonnées indiquées dans la section dédiée. Une pièce d'identité pourra vous être demandée en cas de doute sur votre identité, conformément à l'article 12.6 du RGPD.

Limitations spécifiques

Certains droits peuvent être limités lorsque les données sont conservées au titre d'une obligation légale, d'une procédure judiciaire en cours, ou du secret professionnel auquel l'enquêteur est tenu. Ces limitations sont strictement encadrées par la loi.

Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés :

CNIL — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Site : www.cnil.fr/fr/plaintes

Comment nous protégeons

Sécurité des données

INVENY met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD.

Mesures techniques

  • Connexion HTTPS chiffrée sur l'ensemble du site
  • Pare-feu applicatif et protection contre les intrusions
  • Sauvegardes régulières chiffrées via UpdraftPlus
  • Mises à jour de sécurité appliquées sur le site, le serveur et les extensions
  • Authentification renforcée pour les accès administrateur
  • Cloisonnement strict des accès aux dossiers d'enquête
  • Filtrage anti-robot du formulaire de contact (reCAPTCHA v3 et honeypot)

Mesures organisationnelles

  • Formation continue du personnel à la protection des données
  • Engagement de confidentialité signé par chaque collaborateur
  • Politique de mots de passe robustes
  • Destruction sécurisée des documents papier obsolètes
  • Restriction stricte de l'accès aux locaux

En cas d'incident

Procédure en cas de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, INVENY s'engage à :

  • Notifier la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance
  • Informer sans délai les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (notamment lorsqu'il s'agit de données sensibles)
  • Documenter l'incident dans un registre interne des violations
  • Mettre en œuvre les mesures correctives nécessaires pour limiter les conséquences de l'incident et prévenir sa réitération

Évolutions

Modifications de la politique

La présente politique peut être amenée à évoluer pour tenir compte des évolutions législatives, réglementaires, jurisprudentielles ou techniques. La date de dernière mise à jour figure en haut de page.

En cas de modification substantielle, une information sera diffusée sur le site et, si vous nous avez transmis vos coordonnées dans un cadre actif, par courriel.

Pour toute question complémentaire, vous pouvez consulter le site de la CNIL ou nous contacter directement.