Politique de Confidentialité

Dernière mise à jour : 9 janvier 2025

1. Responsable du traitement

PayFlow SAS
Société par Actions Simplifiée
Capital social : 50 000€
SIRET : [À compléter]
Siège social : [Adresse à compléter]
Email : [email protected]
Téléphone : +33 1 23 45 67 89

Délégué à la Protection des Données (DPO) : [email protected]

2. Données collectées

2.1 Données d'identification

• Nom et prénom
• Adresse email professionnelle
• Numéro de téléphone professionnel
• Fonction dans l'entreprise
• Photo de profil (optionnelle)

Base légale : Exécution du contrat
Finalité : Authentification, communication avec l'utilisateur, personnalisation de l'interface
Durée de conservation : Durée du contrat + 3 ans

2.2 Données financières

• Coordonnées bancaires (RIB/IBAN)
• Montants des salaires et rémunérations
• Historique des paiements
• Informations de facturation

Base légale : Exécution du contrat et obligations légales
Finalité : Traitement des paiements, génération des bulletins de paie, conformité fiscale
Durée de conservation : 10 ans (obligation légale comptable)
Chiffrement : AES-256 bout en bout

2.3 Données professionnelles

• Contrat de travail et avenants
• Taux horaire et conditions de rémunération
• Heures travaillées (normales, supplémentaires)
• Congés payés et absences
• Arrêts maladie et accidents du travail
• Primes et bonus

Base légale : Exécution du contrat et obligations légales (Code du travail)
Finalité : Calcul et traitement de la paie, génération des bulletins, déclarations sociales
Durée de conservation : Durée du contrat + 5 ans (bulletins de paie : 50 ans)

2.4 Données d'utilisation

• Logs de connexion (adresse IP, date, heure)
• Actions effectuées dans l'application
• Durée et fréquence des sessions
• Données de navigation (pages consultées)

Base légale : Intérêt légitime (sécurité du système)
Finalité : Sécurité, prévention de la fraude, amélioration de l'application, support technique
Durée de conservation : 12 mois

3. Utilisation des données

Nous utilisons vos données exclusivement aux fins suivantes :

• Gestion de la paie : Calcul des salaires, génération des bulletins de paie, paiements
• Facturation : Création et envoi des factures aux sociétés clientes
• Conformité légale : Déclarations sociales (DSN), déclarations fiscales, conformité URSSAF
• Communication : Notifications importantes (nouveau bulletin, facture, échéance de paiement)
• Support client : Assistance technique et réponse aux demandes
• Amélioration du service : Analyse des usages pour optimiser l'application
• Sécurité : Prévention de la fraude, détection d'activités suspectes

4. Partage des données

4.1 Pas de vente de données

PayFlow ne vend jamais vos données personnelles à des tiers.

4.2 Partages nécessaires au service

• Prestataire de paiement (Stripe) : Pour le traitement sécurisé des paiements. Stripe est certifié PCI-DSS niveau 1.
• Hébergeur (AWS) : Pour le stockage sécurisé des données. Serveurs situés en France/UE, certifiés ISO 27001.
• Service de notification (Firebase) : Pour l'envoi des notifications push.

4.3 Partages légaux

Nous pouvons être amenés à communiquer vos données :

• Aux autorités compétentes (URSSAF, administration fiscale) dans le cadre de nos obligations légales
• Sur réquisition judiciaire ou demande légale des autorités
• En cas de contrôle par l'inspection du travail

4.4 Pas de transfert hors UE

Toutes vos données sont stockées et traitées exclusivement au sein de l'Union Européenne. Nous ne transférons aucune donnée vers des pays tiers.

5. Sécurité des données

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles strictes :

5.1 Mesures techniques

• Chiffrement SSL/TLS : Toutes les communications sont chiffrées (HTTPS)
• Chiffrement AES-256 : Les données sensibles (RIB, salaires) sont chiffrées au repos
• Authentification multi-facteurs (MFA) : Obligatoire pour tous les utilisateurs
• Contrôle d'accès : Système de permissions granulaires basé sur les rôles
• Logs d'audit : Traçabilité complète de toutes les actions
• Sauvegarde automatique : Quotidienne avec rétention de 90 jours
• Détection d'intrusion : Monitoring 24/7 avec alertes automatiques

5.2 Mesures organisationnelles

• Accès aux données limité au personnel strictement nécessaire
• Formation régulière du personnel à la sécurité des données
• Clauses de confidentialité dans tous les contrats de travail
• Audits de sécurité trimestriels par des tiers indépendants
• Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA)

5.3 En cas de violation de données

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :

• Notifier la CNIL dans les 72 heures
• Vous informer sans délai par email
• Décrire la nature de la violation et les mesures prises
• Fournir les recommandations pour limiter les impacts

6. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

6.1 Droit d'accès

Vous pouvez obtenir une copie de toutes vos données personnelles que nous détenons.

6.2 Droit de rectification

Vous pouvez demander la correction de données inexactes ou incomplètes.

6.3 Droit à l'effacement ("droit à l'oubli")

Vous pouvez demander la suppression de vos données, sauf si nous avons une obligation légale de les conserver (ex: bulletins de paie).

6.4 Droit à la limitation du traitement

Vous pouvez demander de limiter le traitement de vos données dans certaines situations.

6.5 Droit à la portabilité

Vous pouvez récupérer vos données dans un format structuré et lisible par machine (JSON, CSV, PDF).

6.6 Droit d'opposition

Vous pouvez vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière.

6.7 Droit de retirer votre consentement

Lorsque le traitement est basé sur votre consentement, vous pouvez le retirer à tout moment.

6.8 Droit de définir des directives post-mortem

Vous pouvez définir des directives relatives au sort de vos données après votre décès.

7. Cookies et technologies similaires

PayFlow utilise uniquement des cookies strictement nécessaires au fonctionnement de l'application :

7.1 Cookies essentiels

• Session utilisateur : Pour maintenir votre connexion (expire à la déconnexion)
• Préférences : Pour mémoriser vos choix d'interface (durée : 1 an)
• Sécurité : Pour prévenir les attaques CSRF (durée : session)

7.2 Pas de cookies publicitaires ou de tracking

Nous n'utilisons aucun cookie de publicité, de profilage ou de tracking comportemental.

8. Données des mineurs

PayFlow est une application professionnelle destinée aux entreprises et aux salariés majeurs. Nous ne collectons pas sciemment de données concernant des personnes de moins de 18 ans.

9. Durée de conservation des données

Type de données	Durée de conservation
Données de compte	Durée du contrat + 3 ans
Bulletins de paie	50 ans (obligation légale)
Données comptables	10 ans (obligation légale)
Données fiscales et sociales	6 ans (délai de prescription fiscale)
Logs de connexion	12 mois
Données de prospect	3 ans sans contact

10. Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle :

• Notification par email à tous les utilisateurs
• Affichage d'une bannière dans l'application
• Délai de 30 jours avant application des changements

La version en vigueur est toujours disponible à l'adresse : www.payflow.app/privacy-policy

11. Réclamations

Si vous estimez que vos droits ne sont pas respectés, vous pouvez :

1. Nous contacter directement : [email protected]
2. Contacter notre DPO : [email protected]
3. Introduire une réclamation auprès de la CNIL :
   Commission Nationale de l'Informatique et des Libertés
   3 Place de Fontenoy - TSA 80715
   75334 PARIS CEDEX 07
   Téléphone : +33 1 53 73 22 22
   Site web : www.cnil.fr