1. Introduction
La présente Politique de Confidentialité décrit comment APHELIS SASU, exploitant la plateforme Affretium, collecte, utilise, stocke et protège vos données personnelles conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
2. Responsable de traitement
APHELIS SASU
- SIREN : 944 248 772
- RCS : Tarascon
- Siège social : 5 Traverse des Cadeneaux, 13570 Barbentane, France
- Email : [email protected]
Délégué à la Protection des Données (DPO) : [email protected]
3. Données collectées
3.1 Données d'identification entreprise
| Donnée | Finalité | Base légale |
|---|---|---|
| SIRET / SIREN | Identification, vérification | Exécution du contrat |
| Raison sociale | Identification | Exécution du contrat |
| Adresse du siège | Facturation, correspondance | Exécution du contrat |
| Numéro de TVA | Facturation | Obligation légale |
3.2 Données du représentant légal / utilisateurs
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Identification, contact | Exécution du contrat |
| Email professionnel | Authentification, notifications | Exécution du contrat |
| Téléphone professionnel | Contact, support | Intérêt légitime |
| Fonction | Gestion des accès | Exécution du contrat |
3.3 Documents de conformité (Transporteurs)
| Donnée | Finalité | Base légale |
|---|---|---|
| Extrait Kbis | Vérification légale | Obligation légale |
| Attestation URSSAF | Devoir de vigilance | Obligation légale |
| Licence de transport | Conformité réglementaire | Obligation légale |
| Assurance RC Pro | Vérification couverture | Obligation légale |
3.4 Données d'usage
| Donnée | Finalité | Base légale |
|---|---|---|
| Logs de connexion | Sécurité, LCEN | Obligation légale |
| Actions sur la plateforme | Amélioration service | Intérêt légitime |
| Historique des consultations | Traçabilité vigilance | Obligation légale |
| Erreurs et anomalies techniques | Débogage, stabilité du service | Intérêt légitime |
| Événements d'usage (analytics) | Amélioration du produit, mesure de performance | Intérêt légitime |
Note sur le suivi des erreurs : Nous utilisons un service de suivi des erreurs (Sentry) pour détecter et corriger les anomalies techniques de la plateforme. Seules les données techniques sont collectées (messages d'erreur, pile d'exécution, type de navigateur, URL de la page). Aucune session utilisateur n'est enregistrée ou rejouée par Sentry. Les données sensibles (emails, identifiants) sont automatiquement masquées avant transmission. Ce traitement ne concerne que les erreurs rencontrées lors de l'utilisation et vise exclusivement à maintenir la stabilité et la qualité du service.
Note sur l'analyse d'usage (PostHog) : Nous utilisons PostHog, un service d'analyse produit hébergé dans l'Union Européenne (Irlande), pour comprendre l'utilisation de la plateforme et améliorer le service. Les données collectées incluent :
- Événements d'interaction : Pages visitées, actions effectuées (clics, soumissions de formulaires), parcours de navigation.
- Données techniques : Type de navigateur, résolution d'écran, système d'exploitation.
- Enregistrements de session : Les sessions de navigation peuvent être enregistrées pour analyser l'ergonomie de la plateforme. Les champs de formulaire (saisies de texte, mots de passe) et les éléments marqués comme sensibles sont automatiquement masqués dans les enregistrements. L'enregistrement est réalisé sur un échantillon des sessions.
- Identification : Pour les utilisateurs connectés, les événements sont associés à l'identifiant de compte. Les adresses email utilisées à des fins de corrélation analytique sont pseudonymisées par hachage cryptographique (SHA-256 tronqué) avant transmission au service d'analyse, empêchant l'inspection directe des données personnelles.
Ce traitement repose sur l'intérêt légitime (Art. 6.1.f RGPD) de la Plateforme à améliorer la qualité et l'ergonomie du service. Vous pouvez vous y opposer (voir Section 8.6).
3.5 Données de paiement
Les paiements sont traités par Stripe, certifié PCI-DSS. APHELIS ne stocke pas vos données bancaires complètes.
4. Finalités du traitement
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Création et gestion de compte | Exécution du contrat (6.1.b) |
| Fourniture du service SaaS | Exécution du contrat (6.1.b) |
| Vérification des documents transporteurs | Obligation légale (6.1.c) |
| Partage documents aux donneurs d'ordre | Obligation légale (6.1.c) + Intérêt légitime (6.1.f) |
| Facturation et paiement | Exécution du contrat (6.1.b) |
| Support client | Exécution du contrat (6.1.b) |
| Amélioration du service et analyse d'usage | Intérêt légitime (6.1.f) |
| Sécurité de la plateforme | Intérêt légitime (6.1.f) |
| Conformité légale (LCEN, fiscal) | Obligation légale (6.1.c) |
5. Destinataires des données
5.1 Accès interne
- Équipe technique (administration, support)
- Équipe commerciale (relation client)
- Direction (supervision)
5.2 Sous-traitants techniques
| Prestataire | Service | Localisation | Garanties |
|---|---|---|---|
| Hetzner | Hébergement serveurs | Allemagne/UE | RGPD |
| Scaleway | Stockage documents | France/UE | RGPD |
| MongoDB Atlas | Base de données | France/UE | RGPD |
| Stripe | Paiement sécurisé | UE | PCI-DSS, RGPD |
| Brevo | Emails transactionnels | France/UE | RGPD |
| RapidAPI | Vérification immatriculation (SIV) | UE | RGPD |
| Sentry (Functional Software Inc.) | Suivi des erreurs techniques | UE (Francfort) | RGPD, DPA |
| PostHog (PostHog Inc.) | Analyse d'usage et enregistrement de sessions | UE (Irlande) | RGPD, DPA |
5.3 Partage avec les donneurs d'ordre
Les documents de conformité des transporteurs sont accessibles aux donneurs d'ordre ayant une relation commerciale établie, conformément à leur obligation légale de devoir de vigilance (articles L.8222-1 et suivants du Code du travail).
6. Transferts hors UE
Aucun transfert de données personnelles n'est effectué vers des pays situés hors de l'Union Européenne.
Tous nos sous-traitants sont établis dans l'UE ou hébergent les données dans l'UE. Le service de suivi des erreurs techniques (Sentry) est configuré pour stocker et traiter les données exclusivement dans l'Union Européenne (Francfort, Allemagne). Le service d'analyse d'usage (PostHog) est configuré pour stocker et traiter les données exclusivement dans l'Union Européenne (Irlande).
7. Durée de conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte actif | Durée de la relation contractuelle | Exécution du contrat |
| Données après résiliation | 3 ans | Prescription commerciale |
| Documents de conformité | Validité + 5 ans | Prescription URSSAF |
| Logs de connexion | 1 an | LCEN |
| Logs de consultation documents | 3 ans | Preuve devoir de vigilance |
| Données d'erreurs techniques | 90 jours | Débogage |
| Données d'analyse d'usage (PostHog) | 1 an | Amélioration du service |
| Enregistrements de sessions | 30 jours | Analyse ergonomique |
| Factures et données comptables | 10 ans | Obligation fiscale |
| Données de paiement (Stripe) | Selon politique Stripe | PCI-DSS |
8. Vos droits
Conformément au RGPD (Articles 15 à 22), vous disposez des droits suivants :
8.1 Droit d'accès (Art. 15)
Vous pouvez obtenir confirmation que vos données sont traitées et en recevoir une copie.
8.2 Droit de rectification (Art. 16)
Vous pouvez demander la correction de données inexactes ou incomplètes.
8.3 Droit à l'effacement (Art. 17)
Vous pouvez demander la suppression de vos données, sauf obligations légales de conservation.
8.4 Droit à la limitation (Art. 18)
Vous pouvez demander la limitation du traitement dans certains cas.
8.5 Droit à la portabilité (Art. 20)
Vous pouvez recevoir vos données dans un format structuré et les transmettre à un autre responsable.
8.6 Droit d'opposition (Art. 21)
Vous pouvez vous opposer au traitement basé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière. Cela inclut le droit de vous opposer à l'analyse d'usage et aux enregistrements de sessions effectués par PostHog. Pour exercer ce droit, contactez-nous à [email protected].
8.7 Droit de retrait du consentement (Art. 7.3)
Lorsque le traitement est basé sur le consentement, vous pouvez le retirer à tout moment.
8.8 Droit de définir des directives post-mortem
Vous pouvez définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès.
9. Exercice de vos droits
Pour exercer vos droits, contactez-nous :
- Email : [email protected]
- Courrier : APHELIS SASU - DPO, 5 Traverse des Cadeneaux, 13570 Barbentane, France
- Tableau de bord : Section "Mes données" dans les paramètres de votre compte
Délai de réponse : 1 mois (extensible à 3 mois en cas de demande complexe)
Pièce d'identité : Une copie d'un justificatif d'identité pourra vous être demandée.
10. Sécurité des données
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriées :
10.1 Mesures techniques
- Chiffrement au repos : AES-256 pour les données stockées
- Chiffrement en transit : TLS 1.3 pour toutes les communications
- Authentification : Magic link par email (sans mot de passe)
- Contrôle d'accès : RBAC (Role-Based Access Control)
- Journalisation : Logs de tous les accès aux données sensibles
- Sauvegardes : Automatiques et chiffrées
- Pseudonymisation analytique : Les adresses email utilisées pour la corrélation d'événements analytiques sont hachées (SHA-256 tronqué) avant transmission au service d'analyse, empêchant la reconstitution des données personnelles
10.2 Mesures organisationnelles
- Sensibilisation des équipes à la protection des données
- Accès aux données limité au strict nécessaire
- Procédures de gestion des incidents de sécurité
11. Cookies et traceurs
11.1 Cookies strictement nécessaires
Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement :
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
better-auth.session_token | Authentification | Session | Strictement nécessaire |
NEXT_LOCALE | Préférence de langue | 1 an | Strictement nécessaire |
Note : Le thème d'affichage (clair/sombre) est automatiquement adapté à la préférence de votre système d'exploitation, sans utilisation de cookie.
11.2 Cookies d'analyse d'usage
Ces cookies sont utilisés pour l'analyse du produit et l'amélioration du service :
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
ph_* (PostHog) | Identification de session analytique | 1 an | Analyse d'usage |
Les cookies PostHog permettent d'associer les événements d'interaction à une session de navigation. Ils ne sont pas utilisés à des fins publicitaires et ne sont partagés avec aucun tiers à des fins de ciblage.
11.3 Cookies publicitaires
Aucun cookie publicitaire ou de ciblage n'est utilisé.
12. Violation de données
En cas de violation de données à caractère personnel présentant un risque :
- Notification CNIL : Dans les 72 heures (Art. 33 RGPD)
- Information des personnes concernées : Sans délai en cas de risque élevé (Art. 34 RGPD)
- Documentation : Tenue d'un registre des violations
13. Réclamation
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous pouvez introduire une réclamation auprès de la CNIL :
Commission Nationale de l'Informatique et des Libertés (CNIL)
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07
- Téléphone : 01 53 73 22 22
14. Modifications
La présente Politique de Confidentialité peut être modifiée à tout moment. Toute modification substantielle sera notifiée par email aux utilisateurs concernés.
La date de dernière mise à jour est indiquée en haut de ce document.
15. Contact
Pour toute question relative à cette Politique de Confidentialité :
- Email DPO : [email protected]
- Email général : [email protected]
- Courrier : APHELIS SASU, 5 Traverse des Cadeneaux, 13570 Barbentane, France
