Politique de confidentialité
1. Responsable du traitement
Le responsable du traitement des données à caractère personnel est FlowBoost SAS, 12 rue du Commerce, 75015 Paris, France. Contact : privacy@myflow.fr.
2. Données collectées
Nous collectons les catégories de données suivantes :
| Catégorie | Données | Finalité |
|---|---|---|
| Identification | nom, prénom, email, mot de passe (haché) | Création et gestion du compte |
| Entreprise | raison sociale, SIRET, adresse, N° TVA | Facturation et conformité |
| Facturation | historique des paiements (via Stripe) | Gestion des abonnements |
| Usage | dates de connexion, adresse IP, pages consultées | Sécurité et amélioration du Service |
| Contenu métier | dossiers chantiers, devis, factures, clients saisis | Fourniture du Service (propriété du Client) |
3. Bases légales du traitement
- Exécution contractuelle (art. 6.1.b RGPD) : fourniture du Service, facturation, support.
- Obligation légale (art. 6.1.c RGPD) : conservation des factures pendant 10 ans.
- Intérêt légitime (art. 6.1.f RGPD) : sécurité, prévention de la fraude, amélioration du Service.
- Consentement (art. 6.1.a RGPD) : communications marketing, cookies non essentiels.
4. Durée de conservation
- Données de compte : pendant toute la durée de l'abonnement, puis 30 jours après clôture.
- Factures et données comptables : 10 ans (obligation légale).
- Logs techniques : 12 mois maximum.
- Cookies : conformément à notre politique cookies (13 mois max).
5. Destinataires des données
Vos données sont accessibles uniquement par le personnel habilité de FlowBoost et par les sous-traitants suivants :
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Railway Corp. | Hébergement | UE (centres EU-West) |
| Stripe Payments Europe, Ltd. | Paiement | Irlande (UE) |
| Postmark / Resend | Emails transactionnels | UE |
Nous ne vendons, louons ni n'échangeons vos données personnelles. Des contrats de sous-traitance conformes à l'article 28 du RGPD encadrent chaque prestation.
6. Transferts hors UE
Aucun transfert de données personnelles n'est effectué hors de l'Union européenne. Nos sous-traitants sont sélectionnés pour garantir le traitement de vos données dans l'Espace économique européen.
7. Sécurité
Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données :
- chiffrement TLS 1.3 de toutes les communications ;
- chiffrement au repos des bases de données ;
- hachage des mots de passe (bcrypt, coût 12) ;
- sauvegardes quotidiennes chiffrées, rétention 30 jours ;
- accès interne limité au strict nécessaire et tracé ;
- authentification par cookie session chiffrée et SameSite strict.
8. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :
- Accès : obtenir une copie de vos données ;
- Rectification : corriger des données inexactes ;
- Effacement : demander la suppression de vos données ;
- Limitation : restreindre certains traitements ;
- Portabilité : récupérer vos données dans un format structuré ;
- Opposition : vous opposer à un traitement fondé sur l'intérêt légitime ;
- Retrait du consentement à tout moment, sans effet rétroactif.
Pour exercer vos droits, écrivez à privacy@myflow.fr. Nous répondons sous un délai maximal de 30 jours. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
9. Mineurs
Le Service est exclusivement destiné à des professionnels majeurs. Nous ne collectons pas sciemment de données concernant des mineurs.
10. Évolutions
Cette politique peut être mise à jour. En cas de modification substantielle, nous vous en informerons par email et via un bandeau dans l'application.