RGPD

Politique de confidentialité

Dernière mise à jour : janvier 2025 — Conforme au Règlement (UE) 2016/679 (RGPD)

🔒 RGPD by design : Qualify CRM intègre la protection des données dès la conception. Anonymisation automatique des IP après 30 jours, consentement explicite, droit à l'effacement — sans configuration supplémentaire.

1. Responsable de traitement

Le responsable du traitement des données personnelles des Utilisateurs du service Qualify CRM est :

2. Données collectées

2.1 Données des comptes utilisateurs

Lors de la création d'un compte et de l'utilisation du Service, nous collectons :

  • Adresse email (identifiant de connexion)
  • Prénom et nom
  • Mot de passe (stocké sous forme de hachage bcrypt — jamais en clair)
  • Rôle dans l'organisation (Admin / Opérateur)
  • Journaux de connexion : adresse IP, date/heure, user-agent du navigateur

2.2 Données de navigation

Le Service collecte automatiquement les données techniques nécessaires au fonctionnement :

  • Adresses IP (anonymisées après 30 jours)
  • Logs d'accès à l'API (méthode HTTP, endpoint, code de réponse, durée)

Nous n'utilisons pas de traceurs publicitaires ni d'outils d'analyse comportementale tiers.

3. Bases légales des traitements

  • Exécution du contrat (Art. 6.1.b RGPD) : gestion des comptes, accès au Service, facturation.
  • Intérêt légitime (Art. 6.1.f RGPD) : sécurité du Service, prévention des fraudes, journaux de connexion.
  • Obligation légale (Art. 6.1.c RGPD) : conservation des données de facturation (10 ans).
  • Consentement (Art. 6.1.a RGPD) : communications marketing opt-in (si applicable).

4. Finalités des traitements

  • Fourniture et amélioration du Service
  • Authentification et sécurité des accès
  • Support technique et relation client
  • Prévention des abus et de la fraude
  • Respect des obligations légales et réglementaires
  • Statistiques d'usage agrégées et anonymisées

5. Durées de conservation

  • Données de compte : durée de l'abonnement + 3 ans (prescription commerciale)
  • Journaux de connexion : 12 mois (obligation légale LCEN)
  • Adresses IP des Leads : anonymisées automatiquement après 30 jours
  • Données de facturation : 10 ans (obligation comptable)
  • Tokens de réinitialisation de mot de passe : 1 heure (expiration automatique)

6. Destinataires des données

Vos données ne sont jamais vendues à des tiers. Les destinataires autorisés sont :

  • Hébergeur : serveur(s) cloud en Union Européenne
  • Prestataire email transactionnel : pour l'envoi de notifications (ex : réinitialisation de mot de passe)
  • Stockage de sauvegarde : service S3-compatible (données chiffrées, UE)

Tout prestataire sous-traitant est lié par un accord de traitement des données (DPA) conforme à l'Art. 28 du RGPD.

7. Sécurité des données

Qualify CRM met en œuvre les mesures de sécurité suivantes :

  • Chiffrement des communications via HTTPS/TLS (certificats Let's Encrypt auto-renouvelés)
  • Hachage des mots de passe avec bcrypt (facteur de coût adaptatif)
  • Authentification par JWT à courte durée de vie (15 minutes)
  • Rate limiting sur toutes les routes sensibles (prévention des attaques brute-force)
  • Headers de sécurité HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options)
  • Sauvegardes chiffrées quotidiennes vers stockage S3
  • Accès à la base de données limité au réseau Docker interne (non exposé sur Internet)

8. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès (Art. 15)

Vous pouvez obtenir la confirmation que des données vous concernant sont traitées et en recevoir une copie.

Droit de rectification (Art. 16)

Vous pouvez faire corriger des données inexactes ou incomplètes vous concernant.

Droit à l'effacement (Art. 17)

Vous pouvez demander la suppression de vos données dans les cas prévus par le RGPD.

Droit à la portabilité (Art. 20)

Vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON/CSV).

Droit d'opposition et de limitation (Art. 18 et 21)

Vous pouvez vous opposer à certains traitements ou en demander la limitation.

Exercer vos droits

Pour exercer l'un de ces droits, contactez notre DPO : [email protected]. Nous répondrons dans un délai d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).

9. Cas particulier : données des leads collectés via le Snippet

Lorsqu'un formulaire intégrant le Snippet Qualify CRM est soumis par un visiteur de votre site WordPress :

  • L'Abonné est responsable de traitement de ces données (noms, emails, téléphones, messages des prospects).
  • Qualify CRM agit en qualité de sous-traitant (Art. 28 RGPD) pour le stockage et le traitement de ces données.
  • L'Abonné doit s'assurer que ses formulaires incluent les mentions d'information requises et recueillent le consentement si nécessaire.
  • L'Abonné peut exercer le droit à l'effacement d'un lead directement depuis l'interface CRM.

📋 Registre des traitements : Un registre des traitements conforme à l'Art. 30 du RGPD est disponible depuis l'interface Administrateur (Menu RGPD → Registre des traitements).

10. Cookies et traceurs

L'application Qualify CRM (interface SPA) n'utilise pas de cookies tiers ni de traceurs publicitaires. La session est gérée via un token JWT stocké dans le localStorage du navigateur, nécessaire au fonctionnement du Service.

Les pages publiques (landing, about, etc.) n'utilisent aucun cookie.

11. Contact — Délégué à la Protection des Données

Pour toute question relative à la protection de vos données personnelles :

Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle compétente : CNIL — 3 Place de Fontenoy, 75007 Paris.

La présente politique de confidentialité peut être mise à jour. Toute modification substantielle sera communiquée aux Utilisateurs par email avec un préavis de 30 jours.