Mentions légales

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles est la société VOIGHT-KAMPFF, SARL au capital de 100 euros, RCS Créteil 823 547 526, siège social : 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Délégué à la protection des données (DPO) : Arthur Dagard — dpo@payemesheures.fr.

La présente politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés).

Délégué à la protection des données : dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Article 2 — Données collectées

Nous collectons les catégories de données suivantes, selon les fonctionnalités utilisées :

Données d'identification : adresse email, mot de passe (stocké sous forme hashée avec bcrypt, facteur 12 — jamais en clair), pays de résidence.

Données professionnelles : nom de l'employeur, numéro SIRET/BCE, convention collective / commission paritaire, type de contrat, statut professionnel, salaire brut mensuel, horaires contractuels, date d'entrée dans l'entreprise, périodes de congés et absences déclarées.

Documents : fiches de paie téléversées au format PDF (stockées dans un bucket privé chiffré sur Supabase, serveurs de Francfort, Allemagne, UE), résultats d'analyse extraits par intelligence artificielle.

Données de calendrier (optionnel, sur consentement) : si vous connectez un calendrier externe (Google Calendar, Outlook, Slack), nous accédons en lecture seule aux métadonnées (date, heure, titre). Le contenu détaillé des messages n'est pas collecté. L'accès est révocable à tout moment.

Données de transaction : historique d'achats, montants, dates de paiement, numéros de facture. Les données de carte bancaire ne sont jamais collectées ni stockées par VOIGHT-KAMPFF (traitées par Stancer, certifié PCI DSS Niveau 1).

Données techniques : adresse IP (sécurité et lutte contre la fraude), horodatage des connexions, agent utilisateur du navigateur.

Article 3 — Bases légales et finalités

Vos données sont traitées sur les bases légales suivantes :

Exécution du contrat (art. 6.1.b RGPD) : fourniture du service d'audit, analyse des fiches de paie, détection des écarts, génération des documents, gestion du compte et des achats.

Consentement (art. 6.1.a RGPD) : accès aux calendriers et messageries externes (Google, Outlook, Slack), envoi de communications commerciales.

Obligation légale (art. 6.1.c RGPD) : conservation des factures (art. L.123-22 du Code de commerce, 10 ans), lutte contre la fraude, réponse aux réquisitions judiciaires.

Intérêt légitime (art. 6.1.f RGPD) : envoi d'emails de service (vérification de compte, réinitialisation de mot de passe, notifications de sécurité), amélioration du service sur la base de statistiques anonymisées, prévention des abus et sécurité du Service.

Article 4 — Hébergement et sous-traitants

Vos données sont hébergées et traitées par les sous-traitants suivants, tous liés par des accords de traitement de données (DPA) conformes au RGPD :

• Supabase Inc. — base de données PostgreSQL et stockage de fichiers, serveurs à Francfort, Allemagne (UE)

• Vercel Inc. — hébergement de l'application web, réseau edge avec traitement dans l'UE (CCT et Data Privacy Framework)

• Stancer SAS — traitement des paiements, France, certifié PCI DSS Niveau 1

• Brevo SAS — envoi d'emails transactionnels et marketing, France

• Google LLC (API Gemini) — analyse des fiches de paie par IA, les images ne sont pas conservées par Google après traitement (CCT et Data Privacy Framework)

• Google LLC / Microsoft Corp. — API Calendar, Gmail, Outlook, Teams (accès en lecture seule, sur consentement, données traitées dans l'UE via CCT)

• Slack Technologies LLC — API messages (métadonnées uniquement, sur consentement, CCT)

Article 5 — Transferts de données hors UE

Certains de nos sous-traitants (Vercel, Google, Slack) sont des sociétés américaines. Les transferts de données vers les États-Unis sont encadrés par :

• Le Data Privacy Framework UE-US (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les sous-traitants certifiés

• Les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914) en complément

VOIGHT-KAMPFF s'engage à ce qu'aucun transfert de données personnelles ne soit effectué vers un pays tiers sans garanties appropriées. Nous ne vendons, ne louons et ne partageons jamais vos données personnelles avec des tiers à des fins commerciales.

Article 6 — Durée de conservation

Les données sont conservées pour les durées suivantes :

• Données de compte (profil, paramètres) — durée de vie du compte actif + 30 jours après suppression

• Fiches de paie et analyses — durée de vie du compte, effacées sous 30 jours après suppression du compte

• Données de calendrier importées — durée de vie du compte, effacées sur déconnexion de l'intégration ou suppression du compte

• Factures et données comptables — 10 ans à compter de la clôture de l'exercice (obligation légale, art. L.123-22 du Code de commerce)

• Données de consentement légal (cases cochées, versions CGV acceptées, adresse IP) — 5 ans à compter de l'acceptation

• Logs techniques (adresse IP, horodatage) — 12 mois

• Données anonymisées à des fins statistiques — sans limitation de durée

Article 7 — Vos droits (RGPD)

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie. Exercez ce droit depuis Paramètres → Mes données, ou par email à dpo@payemesheures.fr.

Droit de rectification (art. 16 RGPD) : faire corriger vos données inexactes ou incomplètes.

Droit à l'effacement — « droit à l'oubli » (art. 17 RGPD) : obtenir la suppression de vos données. Exercez ce droit depuis Paramètres → Supprimer mon compte. Suppression définitive sous 30 jours.

Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré et lisible par machine (JSON). Exercez ce droit depuis Paramètres → Mes données → Exporter.

Droit d'opposition et droit à la limitation (art. 18 et 21 RGPD) : vous opposer au traitement pour motifs légitimes. Contact : dpo@payemesheures.fr.

Droit de retrait du consentement : retirable à tout moment sans affecter la licéité du traitement antérieur. Pour les intégrations : déconnectez depuis Intégrations. Pour les emails : lien de désinscription dans chaque email.

Vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr) ou, pour les résidents belges, auprès de l'Autorité de protection des données (www.autoriteprotectiondonnees.be).

Délégué à la protection des données : dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.

Article 8 — Sécurité des données

VOIGHT-KAMPFF met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

• Chiffrement de toutes les communications en HTTPS (TLS 1.3)

• Mots de passe hashés avec bcrypt (facteur de coût 12)

• Tokens d'intégration OAuth chiffrés en base de données (AES-256)

• Fiches de paie stockées dans un bucket privé non accessible publiquement

• Authentification par JSON Web Token (JWT) avec expiration

• Protection contre les attaques CSRF, XSS et injection SQL

• Headers de sécurité HTTP (HSTS, X-Frame-Options, CSP, X-Content-Type-Options)

• Limitation de débit (rate limiting) sur toutes les routes API

• Row Level Security (RLS) activé sur toutes les tables de la base de données

• Accès administrateur protégé par authentification séparée

Article 9 — Cookies

Le site utilise exclusivement des cookies strictement nécessaires au fonctionnement du service, qui ne nécessitent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés :

• « token » — cookie d'authentification JWT (durée : 30 jours)

• « cookie_consent » — mémorisation du choix de l'utilisateur (durée : 12 mois)

Aucun cookie publicitaire, de profilage, de tracking ou analytique tiers n'est déposé. Aucun outil de mesure d'audience tiers n'est utilisé.

Article 10 — Intelligence artificielle

L'analyse des fiches de paie est réalisée par un modèle d'intelligence artificielle (Google Gemini) via l'API Google AI. Les images de vos fiches de paie sont envoyées de manière sécurisée (HTTPS) à l'API pour extraction des données (heures travaillées, montants, intitulés).

Conformément aux conditions d'utilisation de l'API Google AI : les données envoyées ne sont pas utilisées par Google pour entraîner ses modèles ; les données ne sont pas conservées par Google au-delà du temps de traitement ; les résultats extraits sont stockés sur nos serveurs hébergés dans l'UE (Supabase, Francfort).

L'utilisateur est informé que les résultats de l'analyse IA sont des estimations et doivent être vérifiés.

Article 11 — Mineurs

Le Service est destiné exclusivement aux personnes majeures (18 ans révolus). VOIGHT-KAMPFF ne collecte pas sciemment de données personnelles de mineurs. Si nous découvrons qu'un mineur a créé un compte, celui-ci sera supprimé et les données effacées.

Article 12 — Modification de la politique

La présente politique peut être mise à jour pour refléter des évolutions légales, techniques ou de nos pratiques. En cas de modification substantielle, les utilisateurs seront informés par email au moins quinze (15) jours avant l'entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page.

Article 13 — Contact

Pour exercer vos droits, poser une question ou signaler un incident de sécurité :

Délégué à la protection des données — dpo@payemesheures.fr

Courrier : VOIGHT-KAMPFF, DPO, 49 rue Charles Infroit, 94500 Champigny-sur-Marne, France

Délai de réponse : trente (30) jours maximum à compter de la réception de la demande (art. 12.3 RGPD).

Délégué à la protection des données : dpo@payemesheures.fr — VOIGHT-KAMPFF, 49 rue Charles Infroit, 94500 Champigny-sur-Marne.