Sourcing Performance — Document confidentiel — Mis à jour le 25 février 2026
🛡️ Conclusion : Sourcing Performance est conforme au cadre légal français et européen. L'application repose exclusivement sur des données professionnelles publiques (B2B), des APIs officielles, et des données Open Data gouvernementales. Toutes les pages légales obligatoires sont en place.
| Texte | Référence | Objet | Conformité |
|---|---|---|---|
| RGPD | Règlement (UE) 2016/679 | Protection des données personnelles | ✅ Conforme |
| Loi Informatique et Libertés | Loi n°78-17 du 06/01/1978 modifiée | Droit national des données | ✅ Conforme |
| LCEN | Loi n°2004-575 du 21/06/2004 | Confiance dans l'Économie Numérique | ✅ Conforme |
| Directive ePrivacy | Directive 2002/58/CE | Cookies et communications électroniques | ✅ Conforme |
| Code des postes et communications | Art. L.34-5 CPCE | Prospection commerciale par email | ✅ Conforme |
| Loi République Numérique | Loi n°2016-1321 du 07/10/2016 | Open Data / données publiques | ✅ Conforme |
| Code de la commande publique | Art. L2196-2 | Publication des avis d'attribution | ✅ Conforme |
| Décret SIRENE | Décret n°2022-1014 | Diffusion gratuite données SIRENE | ✅ Conforme |
| Google Maps Platform ToS | Conditions d'utilisation Google | Usage API Google Places | ✅ Conforme |
| EU-US Data Privacy Framework | Décision d'adéquation 10/07/2023 | Transferts vers Google LLC (USA) | ✅ Conforme |
| Source | Type | Données collectées | Nature juridique | Statut |
|---|---|---|---|---|
| API Google Places (Text Search) | API commerciale payante | Nom, adresse, téléphone, site web, catégorie, avis, horaires | Données de personnes morales, publiquement indexées par Google | ✅ Légal |
| API Google Place Details | API commerciale payante | Téléphone, site web, photos, attributs | Données publiques B2B complémentaires | ✅ Légal |
| Scraping sites web entreprises | Visite HTTP des sites publics | Emails génériques (contact@, info@), formulaires de contact, réseaux sociaux | Données publiées volontairement par l'entreprise | ✅ Légal |
| API SIRENE (gouv.fr) | API gouvernementale Open Data | SIREN, dirigeant, qualité, adresse siège | Données publiques du RCS — Open Data | ✅ Légal |
| API BOAMP (Marchés Publics) | API gouvernementale Open Data | Avis d'attribution, titulaires, montants, acheteurs | Données publiques de la commande publique | ✅ Légal |
| Firebase Auth (Google Sign-In) | Authentification utilisateur | Nom, email, photo, UID | Donnée personnelle — consentement explicite (Art. 6.1.a) | ✅ Légal |
| IMAP (boîte mail utilisateur) | Accès propre boîte mail | Emails reçus (réponses prospects) | Données de l'utilisateur lui-même | ✅ Légal |
| Prédiction DNS/MX | Requête DNS publique | Vérification existence domaine email | Requête technique publique, aucune connexion SMTP | ✅ Légal |
📌 Point clé RGPD : Les emails génériques d'entreprise (contact@, info@, accueil@) ne constituent pas des données à caractère personnel au sens de l'Art. 4 du RGPD car ils ne permettent pas d'identifier directement ou indirectement une personne physique. Le Service privilégie systématiquement ces emails génériques. Les emails nominatifs (prénom.nom@) sont un fallback secondaire, traités sur la base de l'intérêt légitime (Art. 6.1.f).
| Article | Exigence | Mesures en place | Statut |
|---|---|---|---|
| Art. 5 | Principes (licéité, minimisation, limitation) | Données minimales collectées, pas de stockage permanent des prospects, limite de requêtes | ✅ |
| Art. 6.1.a | Consentement (utilisateurs) | Connexion volontaire via Google Sign-In | ✅ |
| Art. 6.1.b | Exécution du contrat | Gestion du compte, fourniture du Service, configuration SMTP | ✅ |
| Art. 6.1.f | Intérêt légitime (prospects B2B) | Prospection B2B conforme aux recommandations CNIL — données professionnelles publiques | ✅ |
| Art. 12-14 | Information des personnes | Politique de confidentialité détaillée (14 sections), pied de page emails avec source des données | ✅ |
| Art. 15-22 | Droits des personnes (accès, rectification, effacement, opposition, portabilité) | 8 droits documentés, contact email dédié, délai 30 jours, recours CNIL mentionné | ✅ |
| Art. 25 | Privacy by design / by default | Emails génériques privilégiés, données non persistées, CSV téléchargé puis supprimé | ✅ |
| Art. 28 | Sous-traitants | Google Cloud (DPA signé), Firebase (CCT), sous-traitants documentés | ✅ |
| Art. 30 | Registre des traitements | Politique de confidentialité en tient lieu — registre formel recommandé | ⚠️ À compléter |
| Art. 32 | Sécurité des traitements | HTTPS/TLS, OAuth 2.0, Firestore Rules, chiffrement Fernet, headers de sécurité | ✅ |
| Art. 33-34 | Notification de violations | Procédure non formalisée — à améliorer | ⚠️ À formaliser |
| Art. 35 | Analyse d'impact (AIPD) | Non requise : pas de traitement à grande échelle de données sensibles | ℹ️ Non requis |
| Art. 37 | DPO | Non requis : < 250 salariés, pas de traitement à grande échelle | ℹ️ Non requis |
| Art. 44-49 | Transferts hors UE | Google LLC couvert par EU-US DPF + CCT + mesures complémentaires | ✅ |
La CNIL (délibération n°2020-118) et l'Art. L.34-5 du CPCE autorisent la prospection B2B par email sans consentement préalable (opt-in) sous 4 conditions cumulatives :
| Condition CNIL | Mesure en place | Statut |
|---|---|---|
| 1. Objet en rapport avec l'activité professionnelle du destinataire | Le Service cible exclusivement des entreprises dans leur domaine d'activité (recherche par secteur) | ✅ |
| 2. Coordonnées professionnelles utilisées | Emails collectés depuis des fiches d'entreprise et sites web professionnels (contact@, info@) | ✅ |
| 3. Information préalable de la personne | Pied de page automatique dans chaque email : source des données, identité expéditeur, droits | ✅ |
| 4. Mécanisme de désinscription | Lien de désinscription obligatoire dans chaque email — CGV Article 6.4 et 7.3 | ✅ |
✅ Les CGV/CGU (Article 7.1) interdisent explicitement l'usage du Service pour la prospection B2C. Le Service est réservé aux professionnels (Article 5.2). L'utilisateur engage sa responsabilité en cas de non-respect (Article 14.4).
| Mesure | Description | Référence CGV |
|---|---|---|
| Respect robots.txt | Vérification systématique avant visite — exclusion si interdit | Article 8.1 |
| User-Agent transparent | Identification comme « LeadGenBot/1.0 » | Article 8.1 |
| Limitation de charge | Max 6 pages/site, délai entre requêtes | Article 8.1 |
| Données publiques uniquement | Pas de connexion, pas de contournement de mesures de sécurité | Article 8.1 |
| Priorité emails génériques | contact@, info@ privilégiés — emails nominatifs en fallback | Article 8.1 |
| Opt-out possible | Exclusion via robots.txt pour « LeadGenBot » ou contact direct | Article 8.2 |
La fonctionnalité « Marchés Publics » utilise l'API BOAMP (Bulletin Officiel des Annonces des Marchés Publics). Ces données sont des données ouvertes (Open Data) publiées par l'État français :
| Fondement | Texte | Portée |
|---|---|---|
| Open Data par défaut | Loi n°2016-1321 « République Numérique » Art. 1 | Les données publiques sont ouvertes et réutilisables par défaut |
| Publication des attributions | Code de la commande publique Art. L2196-2 | Les acheteurs publics sont tenus de publier les avis d'attribution |
| Licence ouverte | Licence Ouverte Etalab v2.0 | Réutilisation libre, y compris commerciale, des données publiques |
| API BOAMP / DILA | data.gouv.fr — OpenDataSoft | API gratuite et ouverte de diffusion des avis officiels |
L'API SIRENE (recherche-entreprises.api.gouv.fr) est également couverte par le Décret n°2022-1014 qui rend les données SIRENE gratuites et accessibles à tous.
| Catégorie | Mesure | Détail technique |
|---|---|---|
| Chiffrement en transit | HTTPS/TLS obligatoire | Firebase Hosting + Cloud Run — certificats SSL automatiques, HSTS activé |
| Authentification | OAuth 2.0 via Firebase Auth | Google Sign-In — pas de stockage de mots de passe côté serveur |
| Isolation des données | Firestore Security Rules | request.auth.uid == userId — chaque utilisateur isolé, verrouillage total par défaut
(allow read, write: if false) |
| Protection anti-triche | Champs protégés en écriture | Les champs credits, totalUsed, plan, role ne
peuvent pas être modifiés par l'utilisateur |
| Chiffrement des secrets | Fernet (AES-128-CBC) | Mots de passe SMTP chiffrés en base — déchiffrement côté serveur uniquement |
| Headers HTTP de sécurité | CSP, X-Frame-Options, HSTS | X-Content-Type-Options: nosniff, X-Frame-Options: SAMEORIGIN,
X-XSS-Protection: 1, Strict-Transport-Security |
| Clés API serveur | Non exposées au client | Google Places API Key stockée dans les variables d'environnement Cloud Run |
| Rate limiting | Protection contre les abus | Système de crédits par utilisateur, timeout global 10 min par pipeline |
🏗️ Hébergement : Google Cloud Run (europe-west1) + Firebase Hosting — Infrastructure certifiée ISO 27001, SOC 2, SOC 3. Chiffrement au repos (AES-256) et en transit (TLS 1.3). Google Cloud est conforme au Cloud Code of Conduct (CISPE) et au RGPD.
| Page | URL | Obligation | Contenu | Statut |
|---|---|---|---|---|
| Politique de Confidentialité | /politique-de-confidentialite | Art. 12-14 RGPD | 14 sections : responsable, données collectées, bases légales, finalités, sous-traitants, transferts UE, durées, droits, cookies, sécurité, mineurs, contact | ✅ Complète |
| CGV/CGU | /cgv | Art. L111-1 Code conso. | 31 articles : objet, définitions, obligations, prospection B2B, scraping éthique, API Google, tarifs, propriété intellectuelle, responsabilité, RGPD, droit applicable | ✅ Complète |
| Mentions Légales | /mentions-legales | Art. 6 LCEN | Éditeur, hébergeur, activité, propriété intellectuelle, RGPD, charte éthique, cookies, crédits | ⚠️ À compléter (SIRET, RCS, capital) |
| Sous-traitant | Rôle | Localisation | Garanties RGPD | DPA |
|---|---|---|---|---|
| Google Cloud / Firebase | Hébergement, auth, Firestore | UE (europe-west1) / USA | CCT + EU-US DPF + chiffrement | ✅ Signé |
| Google Maps Platform | API Places & Geocoding | USA | CCT + EU-US DPF | ✅ Inclus |
| SMTP utilisateur | Envoi d'emails | Choix de l'utilisateur | Responsabilité de l'utilisateur | ℹ️ Variable |
Depuis le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation pour le EU-US Data Privacy Framework. Google LLC est certifié DPF, ce qui valide les transferts vers les USA conformément à l'Art. 45 du RGPD.
| Action | Priorité | Détail | Effort |
|---|---|---|---|
| Compléter les Mentions Légales | 🟡 Important | Renseigner : forme juridique, SIRET, RCS, capital social, TVA intra, directeur publication, téléphone | 15 min |
| Registre des traitements (Art. 30) | 🟡 Important | Créer un document formel listant tous les traitements, finalités, bases légales, durées, destinataires | 2h |
| Procédure de notification de violations (Art. 33) | 🟡 Moyen | Formaliser une procédure interne : détection, évaluation, notification CNIL sous 72h, communication aux personnes | 1h |
| Bannière cookie informative | 🟢 Optionnel | Pas obligatoire (cookies techniques exemptés), mais une mention informative renforce la confiance | 30 min |
| DPO | 🟢 Optionnel | Non obligatoire pour une petite structure sans traitement à grande échelle de données sensibles | — |
| AIPD (Art. 35) | 🟢 Optionnel | Non requise dans le contexte actuel — à réévaluer si passage à grande échelle | — |
✅ Sourcing Performance est conforme au RGPD, au droit français et aux directives européennes.
• Toutes les données collectées sont des données
professionnelles B2B publiquement accessibles
• Les APIs utilisées sont officielles (Google Places payante, SIRENE gouv.fr, BOAMP Open Data)
• Le scraping est éthique (robots.txt, User-Agent, limitation de charge, emails génériques
prioritaires)
• La prospection B2B respecte les 4 conditions CNIL (Art. L.34-5 CPCE)
• Les pages légales obligatoires sont en place (Politique RGPD, CGV/CGU, Mentions Légales)
• La sécurité technique est solide (TLS, OAuth 2.0, Firestore Rules, chiffrement, headers)
• Les transferts hors UE sont encadrés (CCT + EU-US DPF + chiffrement)
• 3 recommandations mineures identifiées pour renforcer la conformité
Document généré le 25 février 2026 — Usage interne — Sourcing Performance
Ce rapport ne constitue pas un avis juridique. Pour toute question, consultez un avocat spécialisé en droit
du numérique.