Politique de Confidentialité

1. Responsables du traitement des données

Les responsables conjoints du traitement de vos données personnelles sont :

Pour toute question relative au traitement de vos données personnelles, vous pouvez nous contacter à :csinnovation.dev@gmail.com

2. Données personnelles collectées

Nous collectons et traitons les catégories de données personnelles suivantes :

2.1 Données d'identification et de contact

• Nom et prénom
• Adresse email
• Numéro de téléphone
• Adresse postale complète
• Date et lieu de naissance
• Nationalité

2.2 Données relatives à la micro-entreprise

• Dénomination de l'entreprise
• Activité déclarée (code APE/NAF)
• Adresse du siège social
• Date de début d'activité souhaitée
• Régime fiscal et social choisi
• Numéro SIRET (une fois attribué par l'INSEE)

2.3 Documents justificatifs

• Copie de pièce d'identité (carte d'identité, passeport)
• Justificatif de domicile (facture, attestation)
• Autres documents requis par l'INPI selon votre situation

2.4 Données de connexion et d'utilisation

• Adresse IP
• Type et version du navigateur
• Système d'exploitation
• Pages visitées et durée de visite
• Date et heure de connexion
• Actions effectuées sur la Plateforme

2.5 Données de paiement

• Coordonnées bancaires (traitées et stockées uniquement par Stripe, notre prestataire de paiement)
• Historique des transactions
• Montant et date des paiements
• Numéro de facture

Note : Nous ne stockons jamais vos coordonnées bancaires complètes sur nos serveurs. Elles sont traitées exclusivement par Stripe conformément aux normes PCI-DSS.

2.6 Données de signature électronique

• Trace de consentement à la signature électronique
• Horodatage de la signature
• Adresse IP au moment de la signature
• Identifiant de session

3. Finalités et bases légales du traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes, chacune étant fondée sur une base légale spécifique :

Important : Nous ne traitons vos données personnelles que dans les limites strictement nécessairesaux finalités mentionnées ci-dessus. Nous ne vendons ni ne louons vos données à des tiers à des fins commerciales.

4. Destinataires des données

Vos données personnelles sont destinées aux catégories de destinataires suivantes :

4.1 Personnel autorisé

Samuel GIORNO et Caroline ESSER, en leur qualité de responsables de traitement, ainsi que les membres de leur équipe technique strictement habilités.

4.2 Organismes officiels

• INPI (Institut National de la Propriété Industrielle) - Transmission obligatoire de votre dossier de création d'entreprise
• INSEE - Attribution du numéro SIRET (via l'INPI)

4.3 Sous-traitants techniques

Nous faisons appel à des sous-traitants pour assurer le fonctionnement de la Plateforme. Ces sous-traitants agissent sur nos instructions et sont soumis à des obligations contractuelles strictes :

• OVH (OVHcloud) - Hébergement web
  Localisation : France (Roubaix, Strasbourg)
  Données concernées : Données d'utilisation, logs
• Neon - Hébergement base de données
  Localisation : Allemagne (Frankfurt, AWS eu-central-1)
  Données concernées : Toutes données personnelles
• Stripe - Traitement des paiements
  Localisation : Union Européenne + USA (transferts encadrés)
  Données concernées : Données bancaires, transactions
  Certifié PCI-DSS niveau 1 (plus haut niveau de sécurité)

4.4 Autorités légales

Nous pouvons être amenés à communiquer vos données aux autorités compétentes (police, justice, administration fiscale) en cas de réquisition judiciaire ou d'obligation légale.

5. Transferts de données hors Union Européenne

5.1 Principe

Vos données sont hébergées principalement au sein de l'Union Européenne (France et Allemagne).

5.2 Exception : Stripe (paiements)

Notre prestataire de paiement Stripe peut effectuer des transferts de données vers les États-Unis dans le cadre du traitement des transactions. Ces transferts sont encadrés par :

• Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne
• Certification PCI-DSS niveau 1 (norme internationale de sécurité bancaire)
• Privacy Shield (pour les entreprises américaines certifiées)

Vous pouvez consulter la politique de confidentialité de Stripe à l'adresse :https://stripe.com/fr/privacy

5.3 Vos droits

Vous pouvez à tout moment obtenir une copie des garanties appropriées mises en place pour encadrer les transferts de données hors UE en nous contactant à : csinnovation.dev@gmail.com

6. Durées de conservation des données

Vos données personnelles sont conservées pendant des durées différentes selon leur nature et les obligations légales :

À l'issue de ces durées, vos données sont soit supprimées définitivement, soit archivées avec un accès restreint si une obligation légale l'impose.

7. Vos droits sur vos données personnelles

7.1 Droit d'accès (Article 15 RGPD)

Vous avez le droit d'obtenir :

• La confirmation que vos données sont traitées
• L'accès à vos données personnelles
• Des informations sur les traitements effectués

7.2 Droit de rectification (Article 16 RGPD)

Vous pouvez demander la correction de vos données inexactes ou incomplètes. Vous pouvez également modifier vous-même certaines informations depuis les paramètres de votre compte.

7.3 Droit à l'effacement / "Droit à l'oubli" (Article 17 RGPD)

Vous pouvez demander la suppression de vos données personnelles dans les cas suivants :

• Elles ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées
• Vous retirez votre consentement (si le traitement était fondé sur le consentement)
• Vous vous opposez au traitement (voir 7.6)
• Vos données ont été traitées de manière illicite

Limitation : Nous ne pourrons pas supprimer vos données si une obligation légale nous impose de les conserver (ex: données comptables pendant 10 ans).

7.4 Droit à la limitation du traitement (Article 18 RGPD)

Vous pouvez demander le gel temporaire de vos données dans les cas suivants :

• Vous contestez l'exactitude de vos données (le temps que nous vérifiions)
• Le traitement est illicite mais vous ne souhaitez pas la suppression
• Vous avez besoin de vos données pour constater, exercer ou défendre vos droits
• Vous vous êtes opposé au traitement (le temps que nous vérifiions)

7.5 Droit à la portabilité (Article 20 RGPD)

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV, PDF) pour :

• Les réutiliser pour votre usage personnel
• Les transmettre à un autre prestataire de services

Ce droit s'applique uniquement aux données que vous nous avez fournies et dont le traitement est fondé sur votre consentement ou l'exécution d'un contrat.

7.6 Droit d'opposition (Article 21 RGPD)

Vous pouvez vous opposer à tout moment au traitement de vos données personnelles pour les traitements fondés sur :

• Notre intérêt légitime (ex: prospection commerciale, amélioration du service)
• Une mission d'intérêt public

Limitation : Vous ne pouvez pas vous opposer aux traitements nécessaires à l'exécution de votre contrat (ex: création de votre micro-entreprise) ou à une obligation légale.

7.7 Droit de ne pas faire l'objet d'une décision automatisée (Article 22 RGPD)

Nous n'utilisons pas de prise de décision entièrement automatisée produisant des effets juridiques ou vous affectant de manière significative.

7.8 Droit de définir des directives post-mortem

Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données personnelles après votre décès.

7.9 Comment exercer vos droits ?

Pour exercer l'un de ces droits, vous pouvez :

• Par email :csinnovation.dev@gmail.com
  Objet : "Exercice de mes droits RGPD - [précisez le droit]"
• Par courrier postal :
  Samuel GIORNO / Caroline ESSER
  AccèsLégal - Service RGPD
  10 Rue Lauriston, 75116 Paris
• Depuis votre compte : Certains droits sont directement accessibles depuis les paramètres de votre compte (modification, suppression).

Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai maximum d'1 mois à compter de sa réception. Ce délai peut être prolongé de 2 mois en cas de demande complexe (nous vous en informerons).

Gratuité : L'exercice de vos droits est entièrement gratuit, sauf en cas de demande manifestement infondée ou excessive.

8. Sécurité de vos données

Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour assurer la sécurité de vos données personnelles et prévenir leur altération, leur perte ou leur accès par des tiers non autorisés.

8.1 Mesures techniques

• Chiffrement : Connexions HTTPS/TLS pour tous les échanges de données
• Mots de passe : Hachage bcrypt (algorithme sécurisé à sens unique)
• Base de données : Chiffrement au repos (encryption at rest)
• Paiements : Traitement via Stripe (certifié PCI-DSS niveau 1)
• Sauvegardes : Backups automatiques quotidiens chiffrés
• Protection CSRF : Tokens anti-falsification de requête
• Rate limiting : Limitation des tentatives de connexion

8.2 Mesures organisationnelles

• Accès restreint aux données : seul le personnel habilité y accède
• Politique de mots de passe robustes
• Formation à la sécurité et au RGPD
• Audits de sécurité réguliers
• Contrats de sous-traitance conformes au RGPD (Article 28)

8.3 En cas de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à :

• Notifier la CNIL dans les 72 heures
• Vous informer dans les meilleurs délais
• Documenter l'incident et les mesures prises

9. Cookies et traceurs

9.1 Cookies strictement nécessaires

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement de la Plateforme. Ces cookies ne nécessitent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés.

• Cookie de session : Maintient votre connexion pendant votre navigation
  Durée : Expire à la fermeture du navigateur
• Cookie CSRF (sécurité) : Protège contre les attaques de type Cross-Site Request Forgery
  Durée : Session ou 24h maximum
• Cookie d'authentification : Conserve votre état de connexion
  Durée : 30 jours ou jusqu'à déconnexion

9.2 Absence de cookies tiers

Nous n'utilisons pas de cookies :

• Publicitaires ou de ciblage
• De réseaux sociaux (partage Facebook, Twitter, etc.)
• D'analyse d'audience (Google Analytics, etc.)

Par conséquent, vous n'avez pas besoin de gérer de bannière de cookiesni de donner votre consentement à des cookies tiers.

9.3 Gestion des cookies

Vous pouvez à tout moment supprimer les cookies depuis les paramètres de votre navigateur. Toutefois, la suppression des cookies strictement nécessaires empêchera le bon fonctionnement de la Plateforme.

10. Modifications de la Politique de Confidentialité

Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment pour refléter les évolutions de nos pratiques, de la réglementation ou de nos services.

En cas de modification substantielle :

• La date de "Dernière mise à jour" sera actualisée en haut de cette page
• Vous serez informé par email
• Une notification apparaîtra lors de votre prochaine connexion

Nous vous encourageons à consulter régulièrement cette page pour rester informé de la manière dont nous protégeons vos données personnelles.

11. Droit d'introduire une réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données personnelles n'est pas conforme au RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Toutefois, nous vous encourageons à nous contacter en premier lieu afin que nous puissions traiter votre réclamation directement : csinnovation.dev@gmail.com

12. Contact et questions

Pour toute question concernant cette Politique de Confidentialité ou le traitement de vos données personnelles, vous pouvez nous contacter :