Privacy Policy
Dernière mise à jour : octobre 2025
En tant que centrale d’achat et d’abonnement en ligne, NORMADOC collecte et traite certaines données personnelles (les « Données ») relatives à ses prospects, clients, utilisateurs et partenaires (les « Personnes »).
La présente politique de confidentialité et de protection des données (la « Politique de Confidentialité et RGPD») a pour objet d’informer les Personnes concernées sur :
- les traitements mis en œuvre par NORMADOC,
- leurs finalités,
- ainsi que les droits dont disposent les Personnes concernées en application de la réglementation applicable en matière de protection des données personnelles, et notamment du RGPD.
La présente Politique de Confidentialité s’applique à l’ensemble des traitements réalisés par NORMADOC via ses deux sites :
- le site de vente en ligne https://www.normadoc.com/ et
- le site d’abonnement https://subscriptions.normadoc.com/
ainsi qu’à tout autre service proposé en ligne ou hors ligne par la société.
L’accès aux services de NORMADOC est réservé aux personnes majeures.
Cette Politique pourra évoluer afin de rester conforme aux obligations légales et réglementaires. En cas de mise à jour significative, la nouvelle version sera communiquée aux utilisateurs par le biais des services NORMADOC ou par tout autre moyen approprié. La date de révision figure en en-tête du document.
1. Interlocuteurs
Responsable(s) de traitement : NORMADOC, Société par Actions Simplifiée (SAS) au capital de 7 622,45 € immatriculée au registre du commerce et des sociétés de Paris sous le numéro 380700708 (Paris B), et sise 44 Rue Liancourt, 75014, Paris, France.
NORMADOC est responsable du traitement des données personnelles collectées via ses sites, applications et services.
Lorsque NORMADOC agit en qualité de sous-traitant, les conditions particulières, conditions générales de vente ou conditions générales d’utilisation du site, produit, solution ou service concerné s’appliquent.
Pour les opérations de paiement en ligne, le prestataire Stripe agit en qualité de responsable de traitement distinct, conformément à sa propre politique de confidentialité.
Contact Données Personnelles. La personne en charge de la protection des Données chez NORMADOC est joignable à l’adresse : gdpr@normadoc.com
Il est précisé qu’aucun Délégué à la Protection des Données (DPO) n’a été désigné à ce jour ; le contact indiqué constitue le point de contact interne pour toute question relative à la protection des données personnelles.
2. Principes et mesures appliqués
Dans le cadre de la collecte et du traitement des Données, NORMADOC veille au respect des principes suivants :
• Licéité : Les Données sont collectées pour des finalités déterminées, explicites et légitimes, et sur le fondement d’une base légale appropriée.
• Transparence : La Personne est informée de chaque traitement mis en œuvre au moyen de notices d’information mises à disposition. Aucun traitement n’est réalisé à son insu.
• Minimisation : NORMADOC ne collecte et ne traite que les Données strictement nécessaires à l’objectif poursuivi.
• Protection des Données dès la conception et par défaut : NORMADOC prend en compte la protection des Données dès la conception de ses services, et s’assure que ses partenaires respectent également ces exigences.
• Sécurité : NORMADOC met en œuvre des mesures techniques et organisationnelles conformes aux standards applicables aux différents traitements concernés. Les informations de paiement sont traitées via des prestataires conformes aux standards PCI DSS (Payment Card Industry Data Security System).
• Engagements des sous-traitants : NORMADOC sélectionne avec soin ses prestataires et partenaires, leur impose un niveau de sécurité équivalent et limite l’usage des Données à la stricte exécution des services confiés.
3. Données utilisées
NORMADOC collecte et utilise notamment :
• Données d’état civil et d’identification (tels que le nom, prénom(s), civilité, adresse personnelle ou professionnelle, adresse e-mail personnelle ou professionnelle, numéro de téléphone personnel ou professionnel) ;
• Données relatives à la vie professionnelle (tels que la fonction ou intitulé de poste, le service, la société ou l’organisme, la qualité de professionnel, de particulier ou d’étudiant) ;
• Données de paiement ;
• Données de connexion (identifiants, dates, adresses IP, logs, etc.) ;
• Données relatives à la navigation, aux commandes, préférences et historiques clients ;
• Données d’interaction avec les services (newsletter, support, formations, webinaires, etc.) ;
• Échanges avec le service client ou les éventuels formateurs.
Aucun traitement de données dites « sensibles » n’est effectué (origine ethnique, opinions politiques, santé, etc.).
4. Moyens de collecte
Les Données sont collectées :
- lors de la création ou modification d’un compte, d’une commande ou d’un abonnement,
- lors de l’inscription à une newsletter ou participation à un événement,
- lors de la navigation sur les sites NORMADOC,
- ou via des sources tierces (réseaux sociaux, partenaires, OPCO, organismes de certification, etc.).
5. Caractère obligatoire ou facultatif
Les champs obligatoires sont signalés par un astérisque (*). L’absence de communication de ces Données peut empêcher la fourniture du service attendu.
Absence de cookies. À ce jour, aucun cookie ou traceur n’est déposé via les sites NORMADOC.
Les seules données collectées automatiquement concernent l’ouverture et les clics dans les e-mails adressés par NORMADOC, via des pixels de suivi et liens trackés, sans recours aux cookies.
En cas d’introduction ultérieure de cookies, NORMADOC s’engage à mettre à jour la présente politique et à recueillir le consentement préalable des utilisateurs conformément à la réglementation (bandeau et paramétrage des cookies).
6. Fondement juridique du traitement des Données
Les traitements reposent sur les bases légales prévues à l’article 6 du RGPD :
- exécution d’un contrat (commande, abonnement, support client) ;
- intérêt légitime de NORMADOC (prospection B2B, amélioration du service, sécurité des comptes) ;
- consentement de la Personne (prospection électronique non professionnelle) ;
- obligations légales (facturation, comptabilité, obligations liées à la formation professionnelle).
Le tableau ci-dessous présente les différentes finalités des traitements réalisés par NORMADOC et les fondements juridiques sur lesquels ils reposent.
Finalités du traitement | Fondement juridique (article 6 RGPD) |
Gestion et suivi de la relation contractuelle(devis, contrats, commandes, abonnements, paiements récurrents, livraisons, gestion du compte client ou utilisateur, rétractations, réclamations, service client). | Exécution du contrat ou de mesures précontractuelles (article 6 §1 b RGPD). |
Données bancaires – précisions complémentaires(paiement unique, abonnement avec ou sans tacite reconduction, gestion des réclamations, lutte contre la fraude). | Exécution du contrat (article 6 §1 b RGPD). Obligation légale pour la lutte contre la fraude et le blanchiment (article 6 §1 c RGPD). |
Envoi d’informations et de newsletters personnaliséesselon l’activité et l’actualité réglementaire de la société/organisme. Certaines communications liées à un abonnement sont indissociables de la fourniture du service. | Exécution du contrat (article 6 §1 b RGPD) - Intérêt légitime de NORMADOC (article 6 §1 f RGPD) pour la prospection B2B |
Gestion du recouvrement et des impayés. | Intérêt légitime de NORMADOC à recouvrer ses créances (article 6 §1 f RGPD). |
Suivi de la relation client ou prospect(enquêtes, études, satisfaction, événements). | Intérêt légitime de NORMADOC à améliorer ses services (article 6 §1 f RGPD). |
Élaboration de statistiques commerciales. | Intérêt légitime (article 6 §1 f RGPD) et exécution du contrat (article 6 §1 b RGPD) lorsque les statistiques sont délivrées sur demande du client. |
Analyse de l’utilisation des sites et services(consultations, durée, clics, etc.). | Intérêt légitime (article 6 §1 f RGPD). |
Prospection commerciale auprès de clients et prospects professionnels (B2B). | Intérêt légitime (article 6 §1 f RGPD). |
Prospection commerciale auprès de prospects non professionnels (B2C). | Consentement (article 6 §1 a RGPD) ; Intérêt légitime pour les sollicitations postales ou appels téléphoniques non automatisés (article 6 §1 f). |
Analyse marketing et profilage non décisionnel(préférences, navigation, interactions). | Intérêt légitime (article 6 §1 f RGPD). |
Gestion des contentieux. | Intérêt légitime (article 6 §1 f RGPD). |
Sécurisation des accès aux espaces abonnés et documentation. | Exécution du contrat (article 6 §1 b) et intérêt légitime (article 6 §1 f). |
Gestion de la facturation et de la comptabilité. | Obligation légale (article 6 §1 c RGPD). |
Gestion des formations professionnelles. | Obligation légale (article 6 §1 c RGPD). |
Gestion des consentements et demandes d’exercice de droits. | Obligation légale (articles 12 à 22 RGPD). |
Profilage: NORMADOC peut procéder à des opérations de profilage dans le cadre des traitements décrits ci-dessus.
Ces opérations consistent à analyser certaines données de navigation, ainsi que les données d’ouverture et de clics de messages, dans le seul but de personnaliser les communications et de proposer des contenus adaptés aux centres d’intérêt des utilisateurs.
Ces analyses n’entraînent aucune conséquence juridique ni prise de décision automatisée au sens de l’article 22 du RGPD.
Les personnes concernées peuvent s’y opposer à tout moment en adressant une demande à l’adresse de contact mentionnée au point 10 de la présente Politique.
7. Destinataires des Données collectées et/ou traitées
Les Données personnelles collectées et/ou traitées par NORMADOC peuvent être transmises aux destinataires suivants, dans la limite de leurs attributions respectives et des finalités poursuivies :
• Aux services internes de NORMADOC (ex. : service commercial, comptabilité, support, marketing), strictement habilités à en connaître dans le cadre de leurs missions ;
• Aux entités (sociétés, groupements, organisations) ayant conclu un contrat avec NORMADOC donnant accès à ses produits ou services à leurs utilisateurs autorisés, uniquement pour les Données de ces utilisateurs et dans le cadre de l’exécution du contrat concerné ;
• Aux partenaires, distributeurs et prestataires sous-traitants de NORMADOC impliqués dans l’hébergement, la maintenance, le support, le paiement, la livraison ou la fourniture de services techniques. Les principaux prestataires à ce jour sont :
- Stripe Payments Europe Ltd. (prestataire de paiement) ;
- INPEC (France – Evry B 404 151 003) pour la maintenance et les sauvegardes ;
- Human’s Connexion (France – Toulouse B 513 792 119) pour l’administration des espaces abonnés et clients ;
- ainsi que les prestataires mentionnés au point 8.1.
Ces prestataires agissent conformément aux instructions de NORMADOC et s’engagent à respecter la réglementation applicable en matière de protection des données ;
• Aux organismes, autorités et tiers légalement habilités, notamment autorités judiciaires, administratives, organismes publics, autorités de régulation, huissiers, experts, avocats, auditeurs, commissaires aux comptes, dans le cadre de leurs missions ou de procédures légales ;
• Aux ayants droit ou successeurs éventuels, ou à toute entité intéressée dans le cadre d’opérations de restructuration (fusion, acquisition, prise de participation, apport partiel d’actifs, etc.), sous réserve que ces destinataires s’engagent à respecter les obligations prévues au présent document.
NORMADOC ne vend ni ne loue jamais les Données personnelles à des tiers.
8. Lieux de stockage des Données
8.1. Hébergement et sauvegarde au sein de l’EEE
Les Données collectées et traitées par NORMADOC sont hébergées au sein de l’Espace Économique Européen (EEE), principalement en France et en Allemagne, auprès de prestataires assurant un haut niveau de sécurité et de conformité :
• Ethersys (France – Toulouse B 808364095) : hébergement des sites internet NORMADOC et services associés ;
• OVH (Allemagne - Lille Metropole B 424761419) : hébergement des boîtes e-mail NORMADOC et des données échangées via celles-ci ;
• Brevo (France - Paris B 498019298) : hébergement des listes prospects et clients bénéficiant de newsletter.
NORMADOC s’assure que ces prestataires mettent en œuvre des garanties techniques et organisationnelles conformes au RGPD.
8.1 bis. Données de paiement traitées par Stripe
Les données relatives au paiement sont traitées par notre prestataire de paiement sécurisé Stripe, susceptible d’utiliser des serveurs situés au sein de l’EEE et/ou dans des pays hors EEE.
Lorsque de tels transferts hors EEE ont lieu, Stripe met en œuvre des garanties appropriées, telles que les clauses contractuelles types adoptées par la Commission européenne, consultables à l’adresse suivante :
https://stripe.com/legal/privacy-center
NORMADOC ne conserve pas directement les données complètes de carte bancaire. Celles-ci sont chiffrées et traitées exclusivement par Stripe, conformément à la norme PCI-DSS.
Stripe agit en qualité de responsable de traitement pour les données de paiement traitées via sa plateforme et est seul responsable du respect de ses propres obligations légales et réglementaires en matière de protection des données.
8.2 Distributeurs et partenaires situés hors EEE
Certains distributeurs ou partenaires commerciaux de NORMADOC peuvent être établis en dehors de l’Espace économique européen. Dans ce cas :
• ces distributeurs agissent en qualité de responsables de traitement indépendants pour les données de leurs propres clients ;
• leurs clients accèdent directement à la plateforme NORMADOC hébergée au sein de l’EEE ;
• les flux de données s’opèrent depuis la zone hors EEE vers l’EEE, et non l’inverse.
Ces opérations ne constituent donc pas un transfert de données hors EEE au sens du RGPD, mais un accès entrant à une plateforme hébergée en Europe.
NORMADOC exige de ses distributeurs qu’ils se conforment à la réglementation applicable à la protection des données dans leur pays d’établissement et qu’ils informent leurs clients des modalités de traitement et de transmission de leurs données vers l’EEE.
8.3 Transferts éventuels hors EEE dans l’avenir
Si, à l’avenir, NORMADOC devait transférer des données personnelles vers un pays situé en dehors de l’EEE, ces transferts seraient encadrés par des garanties appropriées telles que :
- les clauses contractuelles types adoptées par la Commission européenne,
- un niveau d’adéquation reconnu par la Commission européenne,
- ou tout autre mécanisme conforme à la réglementation en vigueur.
Les personnes concernées seront informées de tout changement substantiel relatif aux destinations, à la nature des données transférées ou aux garanties mises en œuvre.
9. Droits des Personnes sur leurs Données & modalités d'exercice
9.1 Principaux droits des Personnes concernées
Conformément au Règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, chaque Personne dispose des droits suivants sur ses Données personnelles :
• Droit de retirer son consentement à tout moment lorsque le traitement repose sur le consentement, sans effet rétroactif sur les traitements déjà réalisés (article 7 §3 du RGPD).
• Droit d’accès à ses Données et aux informations relatives aux traitements effectués par NORMADOC (article 15).
• Droit de rectification des Données inexactes ou incomplètes (article 16).
• Droit d’effacement (“droit à l’oubli”) dans les cas prévus par la réglementation (article 17).
• Droit à la limitation du traitement dans les situations prévues à l’article 18.
• Droit à la portabilité des Données qu’elle a fournies à NORMADOC, dans un format structuré, couramment utilisé et lisible par machine, lorsque le traitement repose sur le consentement ou le contrat et est automatisé (article 20).
• Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant de manière significative la Personne concernée (article 22).
À ce jour, NORMADOC ne met en œuvre aucun traitement automatisé de ce type.
9.2 Droits d’opposition
Conformément à l’article 21 du RGPD, chaque Personne dispose :
• du droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de ses Données fondé sur l’intérêt légitime de NORMADOC, sauf motif impérieux justifiant la poursuite du traitement ;
• du droit de s’opposer à tout moment au traitement de ses Données à des fins de prospection commerciale, y compris au profilage lié à cette prospection.
En matière de prospection commerciale, plus précisément, les droits de la Personne sont les suivants en fonction de sa qualité (tableau):
Canal de prospection | Personne non cliente / agissant à titre non professionnel (B2C) | Personne cliente ou agissant à titre professionnel (B2B) |
Par voie électronique (e-mail) | NORMADOC n’adresse des messages de prospection commerciale par e-mail qu’après avoir obtenu le consentement préalable de la Personne. La Personne peut retirer son consentement à tout moment en se désinscrivant via le lien figurant dans chaque message ou en écrivant aux adresses postale ou électronique mentionnées ci-après. | NORMADOC peut adresser des messages de prospection commerciale sans consentement préalable, lorsque la Personne agit à titre professionnel ou est déjà cliente, sous réserve d’un lien direct avec les produits ou services proposés et de la possibilité de s’opposer à tout moment. La désinscription est possible via le lien figurant dans chaque message ou en écrivant aux adresses postale ou électronique mentionnées ci-après. Certains messages (notamment les newsletters liées à l’abonnement) sont considérés comme nécessaires à l’exécution du contrat et ne peuvent pas être désactivés sans incidence sur celui-ci. |
Par démarchage téléphonique (appels non automatisés) | NORMADOC peut contacter la Personne à des fins de prospection commerciale, sauf opposition de sa part. La Personne peut s’opposer : directement auprès de NORMADOC (via les adresses mentionnées ci-après),ou de manière générale, en inscrivant gratuitement son numéro sur la liste d’opposition Bloctel :www.bloctel.gouv.fr. | NORMADOC peut contacter la Personne à des fins de prospection commerciale sauf opposition de sa part, exprimée via les mêmes modalités (désinscription ou contact direct). |
9.3 Droits relatifs au devenir des Données après décès
Conformément à l’article 85 de la loi Informatique et Libertés, toute Personne peut définir, modifier ou révoquer à tout moment des directives relatives à la conservation, à l’effacement et à la communication de ses Données après son décès.
• Les directives particulières peuvent être confiées directement à NORMADOC et ne concernent que les Données qu’elle traite.
• Les directives générales peuvent être déposées auprès d’un tiers de confiance numérique certifié (en attente de décret d’application).
La Personne peut également désigner un tiers autorisé à recevoir ses Données après son décès. Elle s’engage alors à informer ce tiers de cette désignation et à lui communiquer la présente Politique.
9.4 Exercice des droits
Toute demande d’exercice de droits peut être adressée à NORMADOC :
• Par courrier : NORMADOC, Service RGPD , 44 Rue Liancourt, 75014, Paris, France ;
• Par e-mail : gdpr@normadoc.com
NORMADOC pourra demander un justificatif d’identité afin de vérifier l’identité du demandeur, conformément à l’article 12 du RGPD.
Les demandes sont traitées dans un délai maximum d’un (1) mois, prolongeable de deux (2) mois selon la complexité du dossier.
Toute Personne dispose également du droit d’introduire une réclamation auprès de l’autorité de contrôle compétente :
• Commission Nationale de l’Informatique et des Libertés (CNIL) – www.cnil.fr
• ou, pour les résidents hors France / UE, auprès de leur autorité locale de protection des données.
10. Durée de conservation des Données
Les Données sont conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont utilisées. Ces durées varient en fonction de chaque finalité, à savoir :
Finalités des traitements de données | Durée de conservation |
Gestion et suivi de la relation contractuelle(devis, abonnements, paiements récurrents, facturation, compte utilisateur). | Données contractuelles : durée de la relation + 5 ans (prescription civile et commerciale). |
Données bancaires – précisions complémentaires(paiement unique, abonnement avec ou sans tacite reconduction, gestion des réclamations, lutte contre la fraude). | - Paiement unique : durée nécessaire à la transaction + délai de rétractation éventuel. - Abonnement sans tacite reconduction : jusqu’à la dernière échéance. - Abonnement à tacite reconduction : jusqu’à résiliation de l’abonnement. - Gestion des réclamations : 13 mois après débit (15 mois pour cartes à débit différé). - Lutte contre le blanchiment : jusqu’à la clôture du compte, puis archivage légal. |
Envoi d’informations et de newsletters(clients, prospects, abonnés). | Newsletter d’information : Pendant la relation contractuelle ou jusqu’à opposition / retrait du consentement. Prospects inactifs : 3 ans après le dernier contact. Newsletters d’abonnement : suppression dès la résiliation |
Gestion du recouvrement et des impayés. | Jusqu’au recouvrement complet de la créance, puis 5 ans (prescription civile). |
Suivi de la relation client ou prospect(enquêtes, études, satisfaction, événements). | 2 ans à compter de la collecte ou du dernier contact. |
Élaboration de statistiques commerciales. | 3 ans après la fin de la relation commerciale. |
Analyse et statistiques d’utilisation des sites et services. | 25 mois maximum pour les données de navigation (recommandation CNIL). |
Prospection commerciale (clients et prospects B2B). | Clients : 3 ans après la fin de la relation commerciale. Prospects : 3 ans après le dernier contact ou jusqu’à opposition. |
Prospection commerciale (prospects non professionnels – B2C). | Clients : 3 ans après la fin de la relation commerciale. Prospects : 3 ans après le dernier contact ou jusqu’à opposition. |
Analyse marketing et profilage non décisionnel. | 3 ans après la fin de la relation commerciale ou du dernier contact. |
Gestion des contentieux. | Pour la durée de la procédure, puis 5 ans (prescription). |
Sécurisation des accès aux espaces abonnés et documentation. | Données clients : durée du contrat + 5 ans. Logs techniques : 12 mois maximum (2 jours sur les espaces de connexion en ligne NORMADOC). |
Gestion de la facturation et de la comptabilité. | Exercice en cours + 10 ans à compter de la clôture. |
Gestion des formations professionnelles. | Durée nécessaire à la réalisation de la formation, puis archivage jusqu’à 10 ans selon la réglementation. |
Gestion des consentements et des demandes d’exercice de droits. | Données liées à l’opposition : 6 ans. Autres droits : 5 ans. |
En cas de traitement d’une Donnée personnelle pour plusieurs utilisations, celle-ci est conservée jusqu’à l’épuisement du délai de conservation ou d’archivage le plus long.
À l’issue des durées précédemment listées, les Données font l’objet soit d’une suppression, soit d’une anonymisation.
11. Sécurité des échanges
NORMADOC met en œuvre des mesures de sécurité techniques et organisationnelles adaptées pour protéger les Données.
Toutefois, compte tenu des caractéristiques du réseau Internet, NORMADOC ne peut garantir une sécurité absolue des transmissions d’informations en ligne.
Chaque utilisateur est invité à prendre les mesures appropriées pour protéger ses équipements et ses données (ex. : dispositifs de sécurité actualisés, gestion prudente des identifiants).
12. Liens vers des sites tiers
Les sites et services NORMADOC peuvent contenir des liens vers des sites ou services gérés par des tiers.
NORMADOC n’exerce aucun contrôle sur leurs politiques de protection des données et ne saurait être tenue responsable de leurs pratiques.
Nous recommandons aux utilisateurs de consulter les politiques de confidentialité de ces services tiers.