1. Responsable du traitement
Le responsable du traitement des données personnelles est la société HEAVEN AGENCY, SASU au capital de 1 000,00 €, immatriculée au RCS de Créteil sous le numéro 895 361 129, dont le siège social est situé au 3 Place de Valois, 94220 Charenton-le-Pont.
Contact DPO : heavenagency26@gmail.com.
2. Données collectées
Dans le cadre de l'utilisation du Service, nous collectons les données suivantes :
- Données d'identification : nom, prénom, adresse email, numéro de téléphone (optionnel), photo de profil (optionnelle).
- Données RH : type de contrat, durée hebdomadaire de travail, horaires, congés, rattrapages, rattachement à une ou plusieurs équipes.
- Données de pointage: horodatages d'entrée/sortie, géolocalisation (uniquement avec le consentement de l'Utilisateur), adresse IP, empreinte d'appareil (hashée de manière irréversible).
- Communications internes : messages de chat (chiffrés au repos en AES-256-GCM), pièces jointes.
- Données techniques et de journalisation: adresse IP, user-agent, actions sensibles (logs d'audit immuables — append-only).
- Données de facturation : les données de paiement sont traitées directement par notre prestataire Stripe et ne sont pas stockées sur nos serveurs.
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Création et gestion du compte Utilisateur | Exécution contractuelle |
| Suivi du temps de travail et gestion RH | Obligation légale (Code du travail) |
| Facturation et gestion des abonnements | Exécution contractuelle |
| Sécurité, prévention de la fraude, audit | Intérêt légitime |
| Géolocalisation lors du pointage | Consentement |
| Notifications push et emails non essentiels | Consentement |
| Cookies non essentiels / analytics | Consentement |
4. Durée de conservation
- Données de pointage : 5 ans (obligation légale — Code du travail).
- Messages de chat : selon la configuration du tenant, par défaut 365 jours après envoi.
- Logs d'audit : 2 ans.
- Données de compte : durée de la relation contractuelle + 3 ans à compter de la dernière connexion.
- Données de facturation : 10 ans (obligation légale — Code de commerce).
- Compte inactif : suppression automatique après 3 ans sans connexion, après notification préalable.
5. Hébergement et sous-traitants
| Sous-traitant | Fonction | Localisation des données |
|---|---|---|
| IONOS SARL — 7, place de la Gare, BP 70109, 57201 Sarreguemines Cedex, France | Hébergement frontend, backend et services emails (VPS) | France |
| Supabase, Inc. — 970 Howard Street, San Francisco, CA 94103, USA (infrastructure AWS eu-west-3, Paris) | Hébergement base de données, authentification, stockage fichiers | France (AWS eu-west-3, Paris) |
| Stripe, Inc. | Traitement des paiements | UE |
6. Transferts de données hors UE
L'infrastructure applicative et les bases de données sont hébergées en France. Supabase, Inc. est une société américaine, mais les données sont stockées exclusivement dans la région AWS eu-west-3 (Paris, France).
En cas de transfert de données hors de l'Union européenne (par exemple pour le support technique de Supabase), celui-ci est encadré par les clauses contractuelles types (CCT) approuvées par la Commission européenne, conformément aux articles 46 et 47 du RGPD.
7. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification : modifier vos données depuis votre profil ou en nous contactant.
- Droit à l'effacement : demander la suppression de vos données depuis votre profil (délai de rétractation de 30 jours) ou via heavenagency26@gmail.com.
- Droit à la portabilité : exporter vos données au format JSON depuis votre profil.
- Droit d'opposition : vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière.
- Droit à la limitation du traitement : demander la restriction du traitement dans les cas prévus par le RGPD.
- Retrait du consentement : retirer votre consentement à tout moment pour les traitements fondés sur celui-ci (géolocalisation, notifications, cookies).
Pour exercer vos droits, contactez-nous à heavenagency26@gmail.com. Nous nous engageons à répondre dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.
8. Cookies
Le Service utilise uniquement des cookies techniques strictement nécessaires à son fonctionnement :
- Cookie de session : maintien de la connexion utilisateur ;
- Cookie CSRF : protection contre les attaques CSRF (double-submit cookie).
Aucun cookie analytique, publicitaire ou de suivi n'est déposé sans le consentement explicite de l'Utilisateur.
9. Sécurité des données
HEAVEN AGENCY met en œuvre les mesures de sécurité suivantes :
- Chiffrement des mots de passe (bcrypt via Supabase Auth) ;
- Chiffrement au repos des messages de chat (AES-256-GCM) ;
- Chiffrement en transit (TLS 1.2+ pour toutes les communications) ;
- Isolation des données entre entreprises (Row Level Security PostgreSQL) ;
- Rate limiting à 3 couches (Nginx, middleware applicatif, token bucket Redis) ;
- Journalisation immuable des actions sensibles (audit logs append-only) ;
- Authentification multi-facteurs obligatoire pour les administrateurs ;
- En-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options, etc.).
10. Modification de la politique
La présente politique de confidentialité peut être mise à jour à tout moment. En cas de modification substantielle, les Utilisateurs seront informés par email ou notification dans l'application au moins 30 jours avant l'entrée en vigueur.
11. Contact
Pour toute question relative à la protection de vos données personnelles : heavenagency26@gmail.com.