Ir al contenido
Mentions légales

Politique de confidentialité

1. Responsable du traitement

Conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD) et à la Loi organique espagnole 3/2018, du 5 décembre, relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD), nous vous informons que le responsable du traitement de vos données personnelles est :

  • Dénomination sociale : Blue Mountain Asesores, SLU
  • NIF/CIF : B42985432
  • Siège social : C/ Castello 36, Planta 1, 28001 Madrid, Espagne
  • Téléphone : +34 910 917 811 (Madrid) · +34 868 300 587 (Murcia) · +34 928 402 802 (Las Palmas)
  • E-mail délégué à la protection des données : dpo@bm.consulting
  • Site web : bm.consulting

2. Délégué à la protection des données (DPD)

Conformément aux articles 37 à 39 du RGPD et aux articles 34 à 37 de la LOPDGDD, Blue Mountain Asesores, SLU a désigné un délégué à la protection des données (DPD). Le DPD est le point de contact pour toutes les questions relatives au traitement des données personnelles et à l'exercice des droits reconnus par la législation applicable en matière de protection des données.

Vous pouvez contacter notre DPD à l'adresse suivante :

  • E-mail : dpo@bm.consulting
  • Adresse postale : Délégué à la protection des données — Blue Mountain Asesores, SLU, C/ Castello 36, Planta 1, 28001 Madrid, Espagne

Le DPD agit de manière indépendante et dispose des ressources nécessaires pour exercer ses missions conformément à l'article 38(2) du RGPD.

3. Données que nous collectons

En fonction de la nature de votre relation avec BMC, nous pouvons traiter les catégories de données personnelles suivantes :

  • Données d'identification : nom et prénom(s), carte nationale d'identité (DNI/NIE/NIF), numéro de passeport ou autre document d'identité, date de naissance, signature.
  • Données de contact : adresse e-mail, numéro de téléphone, adresse postale.
  • Données économiques et financières : informations fiscales (numéro d'identification fiscale, déclarations fiscales), données comptables, informations bancaires et de paiement. Ces données sont traitées exclusivement lorsque BMC fournit des services de conseil fiscal, comptable, social ou financier.
  • Données professionnelles : dénomination sociale, NIF/CIF de l'entreprise, poste ou fonction, activité économique (code NACE), données de représentation.
  • Données anti-blanchiment (LAB) : documents de vigilance requis par la Loi 10/2010 du 28 avril relative à la prévention du blanchiment de capitaux et du financement du terrorisme.
  • Données de navigation : adresse IP, type de navigateur et d'appareil, système d'exploitation, pages visitées, durée des sessions, données de cookies (conformément à notre Politique de cookies).

En règle générale, nous ne traitons pas de catégories spéciales de données (données de santé, origine raciale ou ethnique, convictions religieuses, etc.). Cependant, dans le cadre de la fourniture de services de gestion de la paie et de conseil en droit social en tant que sous-traitants (article 28 RGPD), nous pouvons accéder aux données de santé des salariés (arrêts maladie, certificats médicaux), à l'appartenance syndicale ou au statut de handicap pour le compte de nos clients. Ce traitement est effectué exclusivement pour le compte du responsable du traitement (le client) et repose sur le respect des obligations légales en matière de droit du travail et de sécurité sociale (article 9(2)(b) RGPD et article 9 LOPDGDD).

4. Finalités du traitement

Vos données personnelles seront traitées aux fins suivantes, selon les bases légales et durées de conservation indiquées :

Finalité Base légale Durée de conservation
Gestion des demandes et des prises de contact soumises via le site web et d'autres canaux Consentement (art. 6.1.a RGPD) 12 mois à compter du dernier échange
Prestation de services de conseil professionnel (fiscal, social, juridique, corporate, commercial) Exécution du contrat (art. 6.1.b RGPD) Durée du contrat + délais légaux applicables
Gestion comptable, facturation et respect de nos propres obligations fiscales Obligation légale (art. 6.1.c RGPD) — Loi générale fiscale espagnole (Loi 58/2003) ; Loi sur les sociétés (RDL 1/2010) 4 ans (prescription fiscale, art. 66 LGT) ; 6 ans (obligations commerciales, art. 30 Code de commerce)
Gestion sociale, paie et sécurité sociale pour les clients Exécution du contrat (art. 6.1.b RGPD) ; Obligation légale (art. 6.1.c RGPD) — LGSS, ET Durée du contrat + 4 ans (prescription des infractions au droit du travail)
Prévention du blanchiment de capitaux et du financement du terrorisme (LAB/FT) Obligation légale (art. 6.1.c RGPD) — Loi 10/2010 du 28 avril 10 ans à compter de la fin de la relation d'affaires (art. 25 Loi 10/2010)
Envoi de communications commerciales et de newsletters sur les services, les actualités législatives et les événements Consentement (art. 6.1.a RGPD) ; Intérêt légitime pour les clients existants (art. 6.1.f RGPD — art. 21.2 LSSI) Jusqu'au retrait du consentement ou à l'opposition
Analyse statistique de l'utilisation du site et amélioration de l'expérience utilisateur Intérêt légitime (art. 6.1.f RGPD) 26 mois (anonymisées ensuite)
Respect des demandes, inspections et obligations émanant des autorités administratives et judiciaires Obligation légale (art. 6.1.c RGPD) Délais légaux applicables à chaque cas

5. Bases légales du traitement

Le traitement de vos données personnelles repose sur les bases légales suivantes prévues à l'article 6 du RGPD :

  • Consentement (art. 6.1.a RGPD) : consentement librement donné, spécifique, éclairé et univoque pour des finalités telles que l'envoi de communications commerciales, l'abonnement à la newsletter ou l'utilisation de formulaires de contact. Vous pouvez retirer votre consentement à tout moment sans effet rétroactif.
  • Exécution du contrat (art. 6.1.b RGPD) : le traitement est nécessaire à l'exécution des services contractés avec BMC ou à l'application de mesures précontractuelles à votre demande.
  • Obligation légale (art. 6.1.c RGPD) : le traitement est nécessaire pour respecter les obligations imposées par le droit fiscal (LGT), le droit commercial (Code de commerce), le droit du travail (ET, LGSS), la législation anti-blanchiment (Loi 10/2010) et d'autres réglementations applicables.
  • Intérêt légitime (art. 6.1.f RGPD) : pour des finalités telles que l'analyse statistique agrégée du site web ou l'envoi de communications commerciales aux clients existants concernant des services similaires (conformément à l'art. 21.2 LSSI), à condition que ces intérêts ne soient pas supplantés par les intérêts ou droits fondamentaux de la personne concernée.

6. Destinataires et sous-traitants

Vos données personnelles peuvent être communiquées aux destinataires suivants, lorsqu'une base légale existe pour ce faire :

  • Brevo SAS (prestataire de services d'envoi d'e-mails et de marketing, basé dans l'Union européenne) — agit en tant que sous-traitant en vertu d'un contrat conformément à l'art. 28 RGPD.
  • Railway Inc. (prestataire d'infrastructure cloud et d'hébergement) — agit en tant que sous-traitant. Ses serveurs peuvent être situés dans l'Union européenne et/ou aux États-Unis (voir section 7 sur les transferts internationaux).
  • Prestataires de logiciels cloud et de services de plateforme utilisés dans la plateforme de gestion interne de BMC, liés par des accords de traitement des données.
  • Autorités publiques et organismes de réglementation lorsque la loi l'exige : l'Agence fiscale espagnole (AEAT), la Trésorerie générale de la Sécurité sociale (TGSS), le Registre du commerce, les tribunaux, le Service exécutif de la Commission de prévention du blanchiment de capitaux (SEPBLAC) et toute autre autorité compétente.
  • Établissements financiers pour la gestion des encaissements, paiements et prélèvements.
  • Collaborateurs professionnels externes (avocats, auditeurs, notaires, experts) lorsque cela est nécessaire à la prestation des services, soumis à des obligations strictes de confidentialité et, le cas échéant, liés par des accords de traitement des données.

BMC ne vend ni ne transfère les données personnelles à des tiers à des fins commerciales propres. Toute communication de données à des tiers est effectuée exclusivement en vertu d'une base légale ou après conclusion de l'accord de traitement des données approprié conformément à l'article 28 du RGPD.

7. Transferts internationaux de données

En règle générale, BMC traite vos données au sein de l'Espace économique européen (EEE). Cependant, certains de nos prestataires technologiques peuvent traiter des données dans des pays tiers :

  • Railway Inc. (États-Unis) : Railway peut stocker ou traiter des données sur des serveurs situés aux États-Unis. Ce transfert est couvert par la décision d'adéquation de la Commission européenne relative au cadre de protection des données UE-États-Unis (DPF), adoptée le 10 juillet 2023 (Décision d'exécution 2023/1795). De plus, BMC a conclu les Clauses contractuelles types (CCT) de la Commission européenne en tant que mécanisme de sauvegarde complémentaire.

Si un autre transfert international s'avérait nécessaire, BMC s'assurera que les garanties appropriées prévues au chapitre V du RGPD sont en place (Clauses contractuelles types adoptées par la Commission européenne, Règles d'entreprise contraignantes ou autres mécanismes d'adéquation). Vous pouvez obtenir des informations sur les garanties applicables en contactant notre DPD à l'adresse dpo@bm.consulting.

8. Durées de conservation

Les données personnelles seront conservées pendant le temps nécessaire aux finalités pour lesquelles elles ont été collectées et, en tout état de cause, pendant les durées minimales requises par la loi. Une fois ces délais écoulés, les données seront effacées ou anonymisées de manière irréversible.

Catégorie de données Durée de conservation Base légale
Données du formulaire de contact du site web 12 mois à compter du dernier échange Art. 6.1.a RGPD (consentement)
Données contractuelles des clients Durée de la relation + 6 ans Art. 30 Code de commerce espagnol
Données fiscales 4 ans (délai de prescription fiscale) Art. 66 Loi 58/2003, Loi générale fiscale espagnole
Données sociales et de sécurité sociale 4 ans (prescription des infractions au droit du travail) LGSS ; ET ; LISOS
Documents de vigilance LAB/FT 10 ans à compter de la fin de la relation d'affaires Art. 25 Loi 10/2010 du 28 avril
Communications commerciales (newsletter) Jusqu'au retrait du consentement ou à l'opposition Art. 6.1.a RGPD ; Art. 21 LSSI
Données de navigation et d'analyse web 26 mois (anonymisées ensuite) Art. 6.1.f RGPD ; Considérant 26 RGPD

Pendant la durée de conservation, les données seront bloquées avec un accès restreint et utilisées uniquement pour le respect des obligations légales ou pour répondre à d'éventuelles réclamations.

9. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 12 à 18 de la LOPDGDD, vous avez le droit de :

  • Accès (art. 15 RGPD) : savoir si nous traitons vos données personnelles et en obtenir une copie, ainsi que des informations sur les finalités, les catégories de données, les destinataires et les durées de conservation.
  • Rectification (art. 16 RGPD) : demander la correction des données inexactes ou la complétion des données incomplètes.
  • Effacement (« droit à l'oubli », art. 17 RGPD) : demander la suppression de vos données lorsque, entre autres circonstances, elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées ou que vous avez retiré votre consentement.
  • Limitation du traitement (art. 18 RGPD) : demander la suspension du traitement dans certaines circonstances (par exemple, pendant la vérification de l'exactitude des données contestées).
  • Portabilité des données (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et demander leur transmission directe à un autre responsable du traitement, lorsque le traitement est fondé sur le consentement ou sur l'exécution d'un contrat.
  • Opposition (art. 21 RGPD) : vous opposer à tout moment au traitement de vos données pour des raisons tenant à votre situation particulière, lorsque le traitement est fondé sur les intérêts légitimes du responsable du traitement.
  • Ne pas faire l'objet de décisions automatisées (art. 22 RGPD) : ne pas faire l'objet de décisions fondées exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques vous concernant ou vous affectant de manière significative de façon analogue.
  • Retrait du consentement : retirer à tout moment tout consentement précédemment accordé, sans affecter la licéité du traitement effectué avant ce retrait.

Comment exercer vos droits : vous pouvez exercer l'un de ces droits en envoyant un e-mail à dpo@bm.consulting ou par demande écrite à l'adresse du siège social de BMC, en joignant dans les deux cas une copie de votre pièce d'identité nationale, NIE, passeport ou tout autre document d'identité valide attestant votre identité.

Délai de réponse : nous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, compte tenu de la complexité et du nombre de demandes, auquel cas nous vous informerons dans le premier mois de la prolongation et des raisons de celle-ci (art. 12.3 RGPD).

10. Mesures de sécurité

Conformément à l'article 32 du RGPD, BMC a mis en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, notamment :

  • Chiffrement des communications : toutes les communications entre les utilisateurs et le site web sont chiffrées à l'aide des protocoles TLS/SSL (HTTPS).
  • Contrôle d'accès basé sur les rôles : l'accès aux données personnelles est limité au personnel qui en a besoin pour l'exercice de ses fonctions, par des systèmes d'authentification et de gestion des droits.
  • Chiffrement des données au repos : les données stockées sur notre plateforme sont chiffrées pour empêcher tout accès non autorisé.
  • Sauvegardes régulières : des sauvegardes régulières des données sont effectuées pour assurer leur disponibilité et leur intégrité en cas d'incident.
  • Formation du personnel : le personnel de BMC reçoit une formation régulière sur la protection des données et la sécurité de l'information.
  • Évaluations périodiques de la sécurité : des révisions et audits de sécurité sont conduits régulièrement pour identifier et remédier aux vulnérabilités.
  • Plan de réponse aux incidents : nous maintenons des procédures documentées pour la détection, la gestion, la notification et la résolution des incidents de sécurité affectant les données personnelles.

11. Notification des violations de données

En cas de violation de données personnelles, BMC agira comme suit, conformément aux articles 33 et 34 du RGPD :

  • Notification à l'AEPD (art. 33 RGPD) : dans un délai de 72 heures après avoir pris connaissance d'une violation, nous notifierons l'Agence espagnole de protection des données (AEPD), sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.
  • Communication aux personnes concernées (art. 34 RGPD) : lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, nous vous en informerons dans les meilleurs délais, avec des informations claires sur la nature de la violation, ses conséquences probables et les mesures prises ou proposées pour y remédier.

Si vous avez connaissance ou suspectez un incident de sécurité impliquant vos données, veuillez nous en informer immédiatement à l'adresse dpo@bm.consulting.

12. Traitement des données de mineurs

Conformément à l'article 7 de la LOPDGDD, le traitement des données personnelles de mineurs de moins de 14 ans nécessite le consentement de leurs parents ou tuteurs légaux.

Les services de BMC s'adressent exclusivement aux adultes et aux entreprises et professionnels. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 14 ans. Si nous apprenons que nous avons collecté des données d'un mineur sans le consentement parental requis, nous les supprimerons immédiatement. Si vous êtes un parent ou tuteur et pensez que votre enfant nous a fourni des données personnelles, veuillez nous contacter à l'adresse dpo@bm.consulting.

13. Décisions automatisées et profilage

Conformément à l'article 22 du RGPD, BMC ne prend pas de décisions individuelles automatisées et ne procède pas à un profilage produisant des effets juridiques sur les personnes concernées ou les affectant de manière significative de façon analogue. Le traitement de vos données implique toujours une intervention humaine dans les décisions qui vous concernent.

14. Droit de réclamation auprès de l'AEPD

Sans préjudice de tout autre recours administratif ou judiciaire, si vous estimez que le traitement de vos données personnelles enfreint le RGPD ou la LOPDGDD, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle compétente. En Espagne, cette autorité est l'Agence espagnole de protection des données (Agencia Española de Protección de Datos, AEPD) :

  • Adresse : C/ Jorge Juan 6, 28001 Madrid, Espagne
  • Téléphone : +34 91 266 35 17
  • Site web : www.aepd.es
  • Siège électronique : sedeagpd.gob.es

Avant d'introduire une réclamation auprès de l'AEPD, nous vous invitons à contacter notre DPD à l'adresse dpo@bm.consulting, où nous nous efforcerons de résoudre votre question ou réclamation dans les meilleurs délais.

15. Modifications de la présente politique de confidentialité

BMC se réserve le droit de modifier la présente politique de confidentialité pour refléter les évolutions législatives, jurisprudentielles ou de pratique professionnelle. Les modifications seront notifiées aux utilisateurs par publication sur ce site web avec indication de la date de mise à jour. Nous vous recommandons de consulter cette page régulièrement.

Dernière mise à jour : 12 mars 2026.

Appeler Contact