1. Qui est responsable du traitement ?
Le responsable de traitement est delvops, éditeur de Contratspilot. Coordonnées détaillées sur la page Mentions légales.
Aucun délégué à la protection des données (DPO) n'a été désigné — la nomination n'est pas obligatoire au regard du volume et de la nature des données traitées (article 37 RGPD). Toutes les demandes relatives à la vie privée arrivent à contact@delvops.fr.
2. Quelles données on collecte, et pourquoi
On distingue trois groupes : l'artisan utilisateur, ses clients finaux, et les visiteurs anonymes du site.
A. Artisan utilisateur (toi)
- Compte : prénom, nom, email, mot de passe (hashé scrypt, jamais en clair).
- Entreprise : raison sociale, SIREN/SIRET, TVA intracommunautaire, adresse, email de contact, téléphone, logo, baseline, métier, ville, années d'activité.
- Stripe Connect : identifiant Stripe (`acct_xxx`), statut KYC, flags `charges_enabled`/`payouts_enabled`. On ne stocke jamais ton IBAN ni tes pièces d'identité — Stripe les gère côté plateforme.
- Session : cookie d'authentification (Better Auth), durée 30 jours, renouvelé à chaque activité.
Finalité : opérer le service. Base légale : exécution du contrat (art. 6.1.b RGPD) pour le compte et l'entreprise, obligation légale pour les coordonnées de facturation (art. 6.1.c).
B. Clients finaux (de l'artisan)
- Identité : prénom, nom, email, téléphone, adresse postale.
- Équipements : type, marque, modèle, n° série, année d'installation, photos.
- Souscriptions et paiements : formule souscrite, dates, statut Stripe, montant. Les moyens de paiement (carte, SEPA) sont stockés par Stripe, pas par nous.
- Interventions : dates, comptes- rendus, photos terrain, statut checklist.
Finalité : permettre à l'artisan de tenir son carnet clients et de réaliser les prestations vendues. Base légale : exécution du contrat liant l'artisan à son client (art. 6.1.b) — l'artisan est responsable du traitement vis-à-vis de ses propres clients ; Contratspilot agit en sous-traitant au sens de l'article 28.
C. Visiteurs anonymes
- Logs serveur : adresse IP, user-agent, URL consultée, horodatage. Conservés 30 jours par notre hébergeur (Vercel) pour la sécurité.
- Aucun cookie analytique, aucun pixel tiers, aucun tracker publicitaire. Voir section 6.
3. Durées de conservation
- Compte artisan actif : tant que tu ne le supprimes pas. La suppression définitive est disponible depuis l'espace
Mon compte → Zone dangereuseet efface toutes tes données et celles de tes clients sous 24 h. - Données de facturation : 10 ans après le dernier paiement, conformément à l'article L123- 22 du Code de commerce. Ces données sont conservées en base journal Stripe, pas par nous.
- Logs serveur : 30 jours.
- Tokens (magic-link, RDV email) : 30 minutes à 30 jours selon le type, à usage unique.
4. Sous-traitants & hébergement
On utilise des fournisseurs spécialisés pour héberger, envoyer les emails et encaisser les paiements. Tous sont liés par un Data Processing Agreement (DPA) conforme à l'article 28 RGPD.
| Sous-traitant | Service | Lieu |
|---|---|---|
| Vercel Inc. | Hébergement web + Edge | UE (fra1) |
| Neon | Base de données Postgres | Allemagne (eu-central-1, Frankfurt) |
| Stripe Payments Europe Ltd | Paiements, KYC artisans | Irlande |
| Vercel Blob | Stockage fichiers (logos, photos) | UE |
| Proton AG | Envoi SMTP (`@delvops.fr`) | Suisse |
| Resend, Inc. | Envoi HTTP fallback | UE (`eu-west-1`) |
Transferts hors UE : aucun. Toutes tes données sont stockées exclusivement dans l'Union européenne (Allemagne pour la base Postgres et les fichiers, Irlande pour Stripe, Suisse pour Proton). Aucun transfert vers les États-Unis ni ailleurs hors de l'Espace économique européen.
5. Tes droits
Conformément au RGPD (articles 15 à 22), tu peux à tout moment :
- Accéder à tes données — toutes visibles dans ton espace artisan, exportables en JSON depuis
/catalogue. - Rectifier tes données — formulaires d'édition dans Réglages, Mon compte et chaque page client/intervention.
- Effacer ton compte — bouton Supprimer mon compte définitivement dans Mon compte. Suppression complète DB + Stripe + fichiers en moins de 24 h.
- Porter tes données — export JSON disponible.
- Limiter ou t'opposer à un traitement — écris à contact@delvops.fr.
Tu peux aussi introduire une réclamation auprès de la CNIL si tu estimes que tes droits ne sont pas respectés.
6. Cookies & traceurs
On utilise uniquement des cookies strictement nécessairesau fonctionnement du service. Pas d'analytics, pas de publicité, pas de pixel social. Liste complète :
| Cookie | Finalité | Durée |
|---|---|---|
| better-auth.session_token | Authentification artisan | 30 jours |
| cp-customer-session | Authentification client (portail magic-link) | 7 jours |
| active-org | Org active dans la session multi-tenant | Session |
Ces cookies sont exempts de consentement préalable au titre de l'article 82 de la loi Informatique et Libertés (« cookies strictement nécessaires »). Le bandeau d'information affiché au premier passage n'est qu'une information — pas une demande de consentement.
7. Sécurité
- Chiffrement en transit : HTTPS obligatoire (TLS 1.3), HSTS activé.
- Chiffrement au repos : base Postgres chiffrée par Neon, fichiers chiffrés par Vercel Blob.
- Mots de passe : hashage scrypt (Better Auth), jamais stockés en clair.
- Tokens : signés HMAC-SHA256, à usage unique pour les magic-links et les liens RDV email.
- Backups : PITR Neon (Point-In-Time Recovery) sur 7 jours minimum.
En cas de violation de données susceptible de causer un risque pour tes droits, nous t'informerons et notifierons la CNIL dans les 72 h, conformément à l'article 33 RGPD.
8. Modifications de cette politique
On peut modifier cette politique pour refléter des changements légaux, techniques ou de service. Toute modification matérielle (nouveau sous-traitant, nouvelle catégorie de données, durée de conservation rallongée…) sera notifiée par email aux artisans inscrits au moins 15 jours avant son entrée en vigueur. La date de « dernière mise à jour » en haut de page reflète la version courante.
9. Contact
Pour toute question, demande de droits ou réclamation liée à tes données personnelles : contact@delvops.fr. Réponse sous 30 jours maximum (article 12.3 RGPD), souvent beaucoup plus vite en pratique.