Politique de confidentialité

← Retour

Protection des données personnelles (RGPD)

1. Responsable du traitement

Le responsable du traitement des données de l'application est le propriétaire de l'application. Pour toute question relative aux données personnelles, vous pouvez contacter l'administrateur à l'adresse suivante : clem.pasierb@gmail.com.

2. Données collectées

L'application collecte et stocke sur le serveur les données nécessaires au fonctionnement du service :

  • Identifiants de connexion (email, mot de passe haché avec bcrypt)
  • Données de profil (opérateur, détenteurs, équipements)
  • Formulaires Cerfa sauvegardés (données d'intervention et métadonnées)
  • Signatures électroniques (format base64)
  • Trace de consentement RGPD (date et adresse IP lors du consentement)
  • Configurations et modèles (templates)

Localisation et hébergement : L'application est hébergée chez LWS. Les données sont stockées sur les infrastructures de l'hébergeur (serveurs situés en France ou en Europe selon l'offre LWS souscrite). Veuillez contacter l'administrateur si vous souhaitez la preuve exacte du lieu d'hébergement ou la copie du contrat de sous-traitance (DPA) avec LWS.

3. Finalité et base légale du traitement

Les données sont traitées pour les finalités suivantes :

  • Exécution du contrat entre l'utilisateur et le service (création et gestion de CERFA)
  • Gestion des comptes et authentification (nécessaire au fonctionnement)
  • Respect d'obligations légales et de traçabilité

La base légale principale pour ces traitements est l'exécution du contrat et les obligations légales. Le consentement explicite est utilisé pour le dépôt de consentement RGPD lorsque demandé.

4. Durée de conservation

Par défaut :

  • Données de compte et profil : conservées tant que le compte est actif ou jusqu'à suppression par l'utilisateur.
  • Formulaires CERFA et documents générés : conservés tant que le compte reste actif et pendant une période raisonnable (sauvegardes et logs peuvent être conservés jusqu'à 1 an après suppression pour des raisons opérationnelles et légales).
  • Logs d'accès et sécurité : conservés pendant une période limitée (ex. 12 mois) sauf nécessité légale contraire.

Si des obligations légales imposent une durée plus longue, les données pourront être conservées pour la durée requise par la loi. Indiquez si vous souhaitez définir des durées plus précises.

5. Cookies et stockage local

L'application utilise :

  • Cookie d'authentification HTTP-only : cookie `authToken` (JWT) stocké en HTTP-only et sécurisé, durée : 7 jours par défaut.
  • LocalStorage : utilisation limitée pour afficher l'email, préférences UI et marquer le consentement du bandeau (non utilisé pour authentification critique).

Aucun cookie de suivi, publicitaire ou analytique n'est utilisé par défaut. Certaines ressources externes (Google Fonts, Chart.js via jsDelivr) sont chargées depuis des CDN et peuvent faire appel à des serveurs tiers pour la livraison des assets.

6. Transferts et sous-traitants

Le service utilise des prestataires (hébergement, envoi d'e-mails). L'hébergeur est LWS. Pour toute transmission à des sous-traitants, un contrat de sous-traitance (DPA) est ou sera signé conformément au RGPD. Si vous souhaitez, je peux vous aider à joindre LWS pour obtenir le DPA et l'intégrer dans la documentation.

7. Vos droits

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

  • Droit d'accès (Article 15) : demandez une copie des données que nous détenons via la page "Mon compte" ou en contactant l'administrateur.
  • Droit de rectification (Article 16) : vous pouvez modifier les données de votre profil depuis l'interface.
  • Droit à l'effacement (Article 17) : vous pouvez supprimer votre compte et toutes vos données via la fonction "Supprimer mon compte" (suppression des entrées dans `users.json` et `cerfas.json`).
  • Droit à la portabilité (Article 20) : exportez vos données au format JSON via la fonctionnalité d'export.
  • Droit d'opposition et limitation : contactez l'administrateur pour exercer ces droits.

Pour exercer un droit, envoyez un email à clem.pasierb@gmail.com en précisant votre demande et en fournissant une preuve d'identité si nécessaire.

8. Sécurité et mesures techniques

Mesures mises en place :

  • Mots de passe hachés avec bcrypt (salage et paramètre de coût adéquat).
  • Authentification via JWT stocké en cookie HTTP-only et sécurisé.
  • Validation et assainissement des entrées pour éviter les injections.
  • Headers de sécurité (Helmet, CSP), limitation de taux et protections anti-brute force.
  • Permissions d'accès aux fichiers serveur restreintes (mode fichier sécurisé).
  • Utilisation de HTTPS pour toutes les communications (à configurer sur l'hébergeur/serveur).

9. Violation de données (Data Breach)

En cas d'incident de sécurité entraînant une violation des données personnelles, le responsable notifiera l'autorité compétente (CNIL) et les personnes concernées dans les délais légaux (72 heures), selon la gravité et les obligations légales.

10. Modifications de la politique

Cette politique peut être mise à jour. La date de dernière modification est affichée ci-dessous.

Dernière mise à jour : 10 décembre 2025

11. Contact

Pour toute question relative à cette politique, à l'exercice de vos droits ou pour obtenir le DPA de l'hébergeur, contactez : clem.pasierb@gmail.com.