Politique de confidentialité

La présente politique décrit la manière dont la plateforme Gétul CRA (« la Plateforme ») collecte et traite les données à caractère personnel, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi « Informatique et Libertés » modifiée.

Le responsable de traitement est [À COMPLÉTER : raison sociale de l'éditeur], dont le siège social est situé [À COMPLÉTER : adresse]. Pour toute question relative à vos données, vous pouvez écrire à [À COMPLÉTER : email contact / DPO].

Lorsque la Plateforme traite des données pour le compte d'une organisation cliente (ESN, portage), l'éditeur agit en qualité de sous-traitant au sens du RGPD, l'organisation étant alors responsable de traitement.

• Données de compte : nom, prénom, adresse e-mail professionnelle, organisation de rattachement, rôle.
• Données d'activité : CRA, missions, clients, jours et heures saisis, commentaires de validation.
• Données de signature : nom du signataire, horodatage, adresse IP de signature, preuve d'intégrité du document.
• Données techniques : journaux de connexion et d'audit, identifiants de session, identifiants techniques.

La Plateforme ne traite aucune donnée bancaire ni donnée financière de paiement, et ne collecte pas de données sensibles au sens de l'article 9 du RGPD.

Les données sont traitées pour les finalités et sur les bases légales suivantes :

• Fourniture du service (gestion des comptes, saisie, validation, signature, archivage des CRA) — exécution du contrat.
• Sécurité et prévention des fraudes (authentification, 2FA, journaux d'audit) — intérêt légitime de l'éditeur.
• Valeur probante de la signature électronique (horodatage, preuves) — exécution du contrat et obligation légale.
• Respect des obligations légales et comptables liées aux CRA et à la facturation des clients — obligation légale.
• Communications de service (notifications, e-mails transactionnels) — exécution du contrat ou intérêt légitime.

Les durées de conservation sont différenciées selon la nature des données :

• Données de compte : conservées pendant la durée d'activité du compte, puis supprimées ou anonymisées dans un délai de 12 mois après la clôture.
• CRA signés et preuves de signature : conservés jusqu'à 10 ans, conformément aux obligations légales de conservation des documents probants.
• CRA non signés / brouillons : conservés pendant la durée de la relation contractuelle, puis purgés.
• Journaux d'audit et de connexion : conservés jusqu'à 12 mois à des fins de sécurité.
• Données de prospection / contact : conservées jusqu'à 3 ans à compter du dernier contact.

À l'issue de ces durées, les données sont supprimées ou pseudonymisées de manière à ne plus permettre l'identification des personnes concernées.

Les données sont accessibles aux seules personnes habilitées au sein de l'organisation de l'utilisateur (managers, administrateurs) selon une stricte logique de cloisonnement par espace (tenant). Les signataires externes (clients finaux) n'ont accès qu'aux CRA qui leur sont soumis pour signature. Aucune donnée n'est vendue à des tiers.

La Plateforme et l'ensemble des données sont hébergés au sein de l'Union européenne.

• Hébergeur : [À COMPLÉTER : hébergeur — nom + adresse] (Union européenne)
• Routage des e-mails transactionnels : [À COMPLÉTER : prestataire e-mail — nom]

Aucun transfert de données en dehors de l'Union européenne n'est réalisé. En cas de recours futur à un sous-traitant situé hors UE, les garanties appropriées prévues par le RGPD (clauses contractuelles types) seraient mises en place.

Conformément au RGPD, vous disposez des droits suivants sur vos données :

• Droit d'accès et de communication d'une copie de vos données.
• Droit de rectification des données inexactes ou incomplètes.
• Droit à l'effacement (« droit à l'oubli »), dans les limites des obligations légales de conservation.
• Droit à la limitation et droit d'opposition au traitement.
• Droit à la portabilité de vos données.
• Droit de définir des directives relatives au sort de vos données après votre décès.

Lorsque l'effacement n'est pas possible en raison d'une obligation légale (par exemple la conservation probante des CRA signés), les données concernées sont pseudonymisées afin de limiter au maximum l'identification des personnes.

Exercice des droits

Vous pouvez exercer ces droits en contactant le délégué à la protection des données (DPO) à l'adresse [À COMPLÉTER : email contact / DPO]. Une réponse vous sera apportée dans un délai d'un mois. Vous disposez par ailleurs du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

L'éditeur met en œuvre des mesures techniques et organisationnelles appropriées (chiffrement des échanges, cloisonnement par tenant, contrôle d'accès, authentification à deux facteurs, journalisation d'audit) afin de protéger les données contre tout accès, altération ou divulgation non autorisés.

La Plateforme n'utilise que des cookies strictement nécessaires à son fonctionnement. Les modalités sont détaillées dans la Politique de cookies.