Politique de confidentialité

SecuStock s'engage à protéger vos données personnelles. Cette politique explique de manière transparente comment nous les collectons, les utilisons et les protégeons.

Mis à jour le 16 mars 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

  • SecuStock (SASU en cours de constitution)
  • Représentant : Alexis Ossart, Président
  • Siège : Paris, France
  • Contact DPO : contact@secustock.fr

2. Données collectées

2.1 Données fournies par l'utilisateur

  • Nom et prénom
  • Adresse email professionnelle
  • Nom et informations de l'entreprise
  • Numéro de téléphone (optionnel)
  • Mot de passe (stocké sous forme de hash bcrypt, jamais en clair)
  • Photo de profil (optionnel)

2.2 Données collectées automatiquement

  • Adresse IP (anonymisée pour les statistiques)
  • Type et version du navigateur, système d'exploitation
  • Pages visitées, durée des sessions, actions d'interface
  • Identifiant d'appareil (UUID généré localement)
  • Données de géolocalisation au niveau pays (via Cloudflare, pour la détection de langue)

2.3 Données métier saisies par l'utilisateur

  • Articles, stocks, mouvements de matériel
  • Devis, factures, paiements
  • Projets, tâches, planning
  • Membres d'équipe, rôles, permissions
  • Fichiers et documents joints

Ces données métier sont la propriété exclusive de l'utilisateur. SecuStock n'y accède que pour assurer le fonctionnement technique du service et ne les utilise jamais à des fins commerciales ou publicitaires.

2.4 Données via authentification tierce (OAuth)

Si vous vous connectez via un fournisseur tiers (Google, etc.), nous accédons uniquement à votre nom et email. Nous ne stockons jamais votre mot de passe tiers. Vous pouvez révoquer cet accès à tout moment depuis les paramètres de votre compte ou directement auprès du fournisseur.

3. Bases légales du traitement

TraitementBase légaleRéférence
Création de compte et authentificationExécution du contratArt. 6.1.b RGPD
Gestion des données métier (stock, devis, etc.)Exécution du contratArt. 6.1.b RGPD
Facturation et paiementObligation légale + Exécution du contratArt. 6.1.b/c RGPD
Mesure d'audience (site vitrine)Exemption CNIL (opt-out possible)Délibération CNIL 2020-091
Mesure d'audience (application)Intérêt légitimeArt. 6.1.f RGPD
Sécurité et prévention des fraudesIntérêt légitimeArt. 6.1.f RGPD
Communication par email (service)Exécution du contratArt. 6.1.b RGPD
Cookies fonctionnelsConsentementArt. 6.1.a RGPD

4. Utilisation des données

Vos données sont utilisées exclusivement pour :

  • Fournir, maintenir et améliorer le service SecuStock
  • Gérer votre compte et votre authentification
  • Traiter les paiements et la facturation
  • Assurer la sécurité du service et prévenir les fraudes
  • Vous envoyer des notifications liées au service (alertes stock, tâches assignées, etc.)
  • Répondre à vos demandes de support
  • Produire des statistiques d'utilisation anonymisées pour améliorer le service
  • Respecter nos obligations légales et réglementaires

Nous ne faisons jamais :

  • De vente, location ou échange de vos données personnelles
  • De publicité ciblée ou profilage commercial
  • D'exploitation de vos données métier à des fins autres que le fonctionnement du service
  • De transfert de données à des tiers à des fins marketing

5. Partage des données

Nous ne partageons vos données qu'avec les catégories de destinataires suivantes, et uniquement dans la mesure nécessaire :

DestinataireFinalitéLocalisation
Hetzner Online GmbHHébergement des serveursAllemagne (UE)
Supabase Inc.Base de donnéesUnion Européenne
Cloudflare Inc.CDN, protection DDoS, DNSUSA (clauses contractuelles types)
Stripe Inc.Traitement des paiementsUSA (certifié PCI-DSS, clauses contractuelles types)
PostHog Inc.Mesure d'audience anonymeUnion Européenne
InfisicalGestion des secrets (infrastructure)Allemagne (UE)

En cas de transfert hors UE (Cloudflare, Stripe), des clauses contractuelles types (CCT) approuvées par la Commission Européenne sont en place pour garantir un niveau de protection adéquat.

Nous pouvons également divulguer vos données si la loi l'exige (réquisition judiciaire, demande d'une autorité administrative compétente).

6. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles robustes :

  • Chiffrement en transit : TLS 1.3 sur toutes les communications (HTTPS obligatoire)
  • Chiffrement au repos : AES-256 pour les données stockées, y compris les sauvegardes
  • Chiffrement hors-ligne : AES-256-GCM pour les données en cache local (IndexedDB)
  • Mots de passe : Hashés en bcrypt avec salt, jamais stockés en clair
  • Authentification : Tokens JWT avec rotation automatique et expiration
  • Isolation des données : Chaque workspace est strictement isolé, aucun accès croisé possible
  • Principe du moindre privilège : Les employés et systèmes n'accèdent qu'aux données strictement nécessaires
  • Protection applicative : Pare-feu WAF, protection anti-injection SQL, anti-XSS, anti-CSRF
  • Sauvegardes : Quotidiennes, chiffrées, stockées en UE, testées régulièrement
  • Journalisation : Logs d'accès et d'actions sensibles conservés pour audit
  • Infrastructure : Infrastructure multi-serveurs redondante en Union Européenne avec réseau privé chiffré

Malgré ces mesures, aucun système n'est infaillible. En cas de violation de données, nous nous engageons à :

  • Notifier la CNIL dans les 72 heures (article 33 RGPD)
  • Informer les utilisateurs concernés dans les meilleurs délais (article 34 RGPD)
  • Prendre immédiatement les mesures correctives nécessaires

7. Durée de conservation

Type de donnéesDurée de conservation
Données de compte (profil, email)Tant que le compte est actif + 30 jours après suppression
Données métier (stock, devis, factures)Conservées 3 ans systématiquement. Sur le plan Gratuit, l'accès à l'historique est limité à 14 jours dans l'interface, mais les données restent stockées et redeviennent accessibles en passant au Pro
Données de facturation10 ans (obligation légale comptable)
Logs d'accès et de sécurité12 mois
Données de mesure d'audience13 mois (recommandation CNIL)
Données du formulaire de contactJusqu'à traitement de la demande + 12 mois
Tokens d'authentificationRévoqués à la déconnexion ou expiration automatique
Sauvegardes30 jours glissants

À l'expiration de la durée de conservation, les données sont supprimées de manière sécurisée et irréversible.

8. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

DroitDescription
AccèsObtenir une copie de toutes vos données personnelles détenues par SecuStock
RectificationCorriger vos données inexactes ou incomplètes
EffacementDemander la suppression de vos données ("droit à l'oubli"), sauf obligation légale de conservation
LimitationDemander la limitation du traitement dans certains cas prévus par le RGPD
PortabilitéRecevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV)
OppositionVous opposer au traitement de vos données fondé sur l'intérêt légitime
Retrait du consentementRetirer votre consentement à tout moment pour les traitements fondés sur celui-ci
Révocation OAuthRévoquer l'accès d'un fournisseur tiers à tout moment
Directives post-mortemDéfinir des directives relatives à la conservation et la suppression de vos données après votre décès

Pour exercer vos droits, contactez-nous à contact@secustock.fr. Nous répondons dans un délai de 30 jours maximum (extensible de 60 jours pour les demandes complexes, avec notification).

Vous pouvez également supprimer votre compte directement depuis l'application (Paramètres > Compte > Supprimer). Cette action est irréversible et entraîne la suppression de toutes vos données personnelles dans un délai de 30 jours.

9. Cookies et traceurs

SecuStock utilise des cookies essentiels, fonctionnels et de mesure d'audience. Pour le détail complet de chaque cookie, sa finalité, sa durée et vos options de gestion, consultez notre politique cookies dédiée.

Points clés :

  • Aucun cookie publicitaire
  • Mesure d'audience anonyme (exemption CNIL) avec droit d'opposition
  • Consentement partagé entre secustock.fr et app.secustock.fr
  • Données hors-ligne chiffrées en AES-256-GCM

10. Transferts internationaux

La majorité de vos données est stockée en Union Européenne (Hetzner, Supabase, PostHog).

Certains sous-traitants sont basés aux États-Unis (Cloudflare, Stripe). Dans ce cas, les transferts sont encadrés par :

  • Des clauses contractuelles types (CCT) adoptées par la Commission Européenne
  • Des mesures techniques complémentaires (chiffrement de bout en bout)
  • La certification PCI-DSS pour Stripe (données de paiement)

Nous évaluons régulièrement la conformité de nos sous-traitants et n'autorisons aucun transfert vers des pays ne disposant pas d'un niveau de protection adéquat sans garanties appropriées.

11. Protection des mineurs

SecuStock est un service professionnel destiné aux entreprises. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans.

Si nous découvrons qu'un mineur a fourni des données personnelles, nous les supprimerons immédiatement. Si vous êtes parent ou tuteur et pensez que votre enfant a utilisé le service, contactez-nous à contact@secustock.fr.

12. Profilage et décision automatisée

SecuStock n'effectue aucun profilage ni aucune décision automatisée au sens de l'article 22 du RGPD. Aucune décision ayant des effets juridiques ou significatifs sur vous n'est prise de manière automatisée.

Les recommandations ou suggestions affichées dans l'application (alertes de stock, planification) sont de nature informative et ne constituent pas des décisions automatisées.

13. Notification de violation

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, SecuStock s'engage à :

  • Notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation (article 33 RGPD)
  • Vous informer dans les meilleurs délais si la violation présente un risque élevé pour vos droits (article 34 RGPD)
  • Documenter l'incident, ses conséquences et les mesures correctives prises
  • Mettre en œuvre immédiatement les mesures techniques pour contenir et corriger la violation

14. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité à tout moment. En cas de modification substantielle :

  • Les utilisateurs inscrits seront notifiés par email au moins 30 jours avant l'entrée en vigueur
  • Un bandeau sera affiché sur l'application informant de la mise à jour
  • La date de "dernière mise à jour" en haut de cette page sera modifiée

La poursuite de l'utilisation du service après l'entrée en vigueur des modifications vaut acceptation de la politique mise à jour.

15. Contact et réclamation

Pour toute question relative à cette politique ou pour exercer vos droits :

SecuStock - Protection des données

Responsable : Alexis Ossart

Email : contact@secustock.fr

Formulaire : secustock.fr/contact

Si vous estimez que vos droits ne sont pas respectés après nous avoir contactés, vous pouvez introduire une réclamation auprès de :

CNIL - Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

Site : www.cnil.fr

Téléphone : 01 53 73 22 22

Cette politique est conforme au Règlement Général sur la Protection des Données (RGPD - UE 2016/679), à la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978 modifiée) et aux recommandations de la CNIL. Elle sera mise à jour lors du lancement officiel du service.

En résumé

On collecte le strict minimum, on n'a rien à cacher, et vous pouvez modifier vos choix à tout moment. Une question ? Écrivez-nous.