Politique de confidentialité (RGPD)
Dernière mise à jour : [JJ/MM/AAAA]
1. Responsable de traitement
Pour le site et les comptes Vleeno, le responsable de traitement est SCROB Services SAS, 1 Rue des Blés, 95470 Saint-Witz — contact@scrobservices.com.
Pour les données saisies par un Client dans son espace (ses clients, ses salariés, ses pointages), le Client est responsable de traitement et l'Éditeur agit comme sous-traitant.
2. Données collectées
| Compte & utilisateurs | Nom, email, rôle, mot de passe (stocké haché, jamais en clair). |
| Données métier (saisies par le Client) | Clients/prospects, interventions, audits qualité, devis & factures, dépenses, salariés (contrat, heures, paie). |
| Télépointage | Horodatage des arrivées/départs et donnée de géolocalisation de présence sur site (voir §8). |
| Paiement | Géré par Stripe ; l'Éditeur ne stocke pas les numéros de carte. |
| Techniques | Données de connexion strictement nécessaires au fonctionnement et à la sécurité. |
3. Finalités et bases légales
- Fourniture du Service et gestion du compte — exécution du contrat.
- Facturation et obligations comptables — obligation légale.
- Sécurité, prévention de la fraude — intérêt légitime.
- Communications relatives au Service — exécution du contrat / intérêt légitime.
4. Destinataires et sous-traitants
Les données sont accessibles aux personnes habilitées de l'Éditeur et aux sous-traitants techniques suivants :
| Cloudflare, Inc. | Hébergement et base de données (Pages, D1). |
| Stripe | Traitement des paiements par abonnement. |
| Resend | Envoi des emails transactionnels (ex. réinitialisation de mot de passe). |
5. Transferts hors UE
Certains sous-traitants (Cloudflare, Stripe) peuvent traiter des données hors de l'Union européenne. Ces transferts sont encadrés par des garanties appropriées (clauses contractuelles types de la Commission européenne). Configurez et indiquez la région d'hébergement (option UE de Cloudflare recommandée).
6. Durées de conservation
Les données sont conservées pendant la durée de l'abonnement, puis supprimées ou anonymisées dans un délai de [ex. 30 jours], sous réserve des obligations légales (ex. pièces comptables : 10 ans ; bulletins de paie : 5 ans).
7. Sécurité
Mesures techniques : mots de passe hachés (PBKDF2-SHA256), authentification par token, isolation des données par entreprise (multi-tenant), vérification de signature des webhooks de paiement, en-têtes de sécurité (CSP, anti-clickjacking), chiffrement en transit (HTTPS).
8. Géolocalisation et données des salariés (point d'attention)
Le module de télépointage enregistre une donnée de géolocalisation de présence. Le Client (employeur) doit, conformément au droit du travail et aux recommandations de la CNIL : informer préalablement les salariés et les représentants du personnel, limiter la collecte à la finalité de pointage, et ne pas utiliser ces données à d'autres fins. Le Client est responsable de cette information et de la consultation du CSE le cas échéant.
9. Cookies
L'application utilise un stockage local technique (localStorage) strictement nécessaire à son fonctionnement et à la session. Si vous ajoutez des cookies de mesure d'audience ou publicitaires, mettez en place une bannière de consentement conforme.
10. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité. Pour les exercer : contact@scrobservices.com. Vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).
11. Contact
contact@scrobservices.com — Délégué à la protection des données (le cas échéant) : [à désigner].