Politique de Confidentialité & RGPD

✓ L'essentiel en un coup d'œil

✓ Vos données ne sont jamais vendues à des tiers

✓ Données hébergées en France / Union Européenne

✓ Vous pouvez demander la suppression de vos données à tout moment

✓ Aucune publicité ciblée, aucun tracking commercial

✓ Accès limité aux données de vos salariés (nécessité de service uniquement)

✓ Réponse à toute demande RGPD sous 30 jours

Sommaire

Responsable du traitement
Données collectées et traitées
Finalités et bases légales des traitements
Durée de conservation
Destinataires et sous-traitants
Transferts hors Union Européenne
Droits des personnes concernées
Sécurité des données
Cookies et traceurs
Modifications de la politique
Contact et réclamations

Art. 01 Responsable du traitement

Le responsable du traitement des données à caractère personnel collectées dans le cadre de l'utilisation du service HeuresFlow est :

Société : DevBat

Adresse : 221 rue du bois du moine, 17450 Saint Laurent de la Prée, France

SIRET : En cours d'immatriculation

E-mail : support@heuresflow.fr

Site web : www.heuresflow.fr

En tant que client (administrateur du compte), vous êtes également responsable du traitement des données de vos salariés que vous saisissez dans HeuresFlow. À ce titre, vous êtes tenu au respect des obligations découlant du RGPD à l'égard de vos propres salariés (information préalable, etc.).

Art. 02 Données collectées et traitées

Dans le cadre de l'exploitation du service, HeuresFlow collecte et traite les catégories de données suivantes :

Catégorie	Données concernées	Personnes concernées
Données d'identification	Nom, prénom, adresse e-mail, mot de passe (haché), nom de l'entreprise	Administrateurs (patrons)
Données de salariés	Prénom, nom, rôle (salarié/admin), statut du compte	Salariés invités par l'administrateur
Données d'activité	Heures travaillées, date de la saisie, chantier associé, commentaires éventuels	Salariés
Données de chantier	Nom du chantier, statut (actif/terminé)	Administrateurs
Données de connexion	Adresse IP, horodatage des connexions, type de navigateur, token JWT	Tous les utilisateurs
Données de facturation	Informations de facturation (nom, adresse), historique des paiements (sans les coordonnées bancaires)	Administrateurs

HeuresFlow ne collecte aucune donnée sensible au sens de l'article 9 du RGPD (données de santé, opinions politiques, convictions religieuses, origine raciale ou ethnique, données biométriques, etc.).

Les coordonnées bancaires sont gérées directement par notre prestataire de paiement certifié PCI-DSS. HeuresFlow n'a jamais accès à ces données.

Art. 03 Finalités et bases légales des traitements

Finalité	Base légale (RGPD)
Fourniture du service (authentification, saisie des heures, tableau de bord)	Exécution du contrat (art. 6.1.b)
Gestion des abonnements et de la facturation	Exécution du contrat (art. 6.1.b)
Communication sur les mises à jour importantes du service et des CGU	Intérêt légitime (art. 6.1.f)
Amélioration du service (analyse des usages agrégés et anonymisés)	Intérêt légitime (art. 6.1.f)
Support client et gestion des réclamations	Intérêt légitime (art. 6.1.f)
Obligations légales (conservation comptable, réponses aux autorités)	Obligation légale (art. 6.1.c)
Envoi d'e-mails commerciaux (nouveautés, offres)	Consentement (art. 6.1.a) — opt-in explicite requis

Art. 04 Durée de conservation

Les données sont conservées pour la durée strictement nécessaire à la finalité pour laquelle elles ont été collectées :

Données de compte actif : pendant toute la durée de l'abonnement, puis 30 jours après la résiliation (délai de rétractation et d'export).
Données de saisies d'heures : 5 ans à compter de la date de saisie (conformément aux obligations de conservation des données sociales et de paie).
Données de facturation et documents comptables : 10 ans à compter de leur émission (obligation légale).
Données de connexion (logs) : 12 mois glissants à des fins de sécurité.
Données de prospects (essai non converti) : 3 ans à compter de la fin de l'essai, sauf demande de suppression.

À l'expiration de ces délais, les données sont supprimées ou anonymisées de manière irréversible.

Art. 05 Destinataires et sous-traitants

Les données collectées sont destinées exclusivement au personnel habilité de DevBat dans le cadre de la fourniture du service. Elles ne sont jamais vendues, louées ou cédées à des tiers.

Dans le cadre de la fourniture du service, DevBat fait appel aux sous-traitants suivants, avec lesquels des accords de traitement des données conformes au RGPD sont en place :

Hébergeur : O2switch (France) — hébergement des serveurs et des bases de données
Prestataire de paiement : (à préciser selon l'intégration retenue) — traitement sécurisé des paiements par carte bancaire
Service e-mail transactionnel : (à préciser) — envoi des e-mails de confirmation, de facturation et de notifications

DevBat peut être amenée à communiquer des données aux autorités compétentes (judiciaires, fiscales, administratives) en cas d'obligation légale, de décision de justice ou pour la défense de ses droits.

Art. 06 Transferts hors Union Européenne

HeuresFlow héberge l'ensemble de ses données sur des serveurs situés en France (Union Européenne). En principe, aucun transfert de données personnelles n'est effectué hors de l'UE.

Si, à titre exceptionnel, un sous-traitant amenait à traiter des données hors UE, DevBat s'assurerait que ce transfert bénéficie de garanties appropriées (clauses contractuelles types de la Commission européenne, décision d'adéquation, etc.) conformément au Chapitre V du RGPD.

Art. 07 Droits des personnes concernées

Conformément au RGPD (articles 15 à 22), toute personne concernée par un traitement dispose des droits suivants :

① Droit d'accès

Obtenir une copie de toutes vos données personnelles traitées par HeuresFlow.

② Droit de rectification

Faire corriger des données inexactes ou incomplètes vous concernant.

③ Droit à l'effacement

Demander la suppression de vos données, sous réserve des obligations légales de conservation.

④ Droit à la limitation

Demander la suspension temporaire du traitement dans les cas prévus par le RGPD.

⑤ Droit à la portabilité

Recevoir vos données dans un format structuré et couramment utilisé (JSON, CSV).

⑥ Droit d'opposition

S'opposer à un traitement fondé sur l'intérêt légitime, notamment à des fins de prospection.

⑦ Retrait du consentement

Retirer à tout moment un consentement préalablement donné (e-mails commerciaux, etc.).

⑧ Droit de réclamation

Saisir la CNIL (www.cnil.fr) si vous estimez que vos droits ne sont pas respectés.

Pour exercer l'un de ces droits, adressez votre demande à support@heuresflow.fr en précisant votre identité (nom, adresse e-mail du compte). DevBat s'engage à répondre dans un délai maximum de 30 jours suivant la réception de la demande complète.

      Note concernant les salariés : Les salariés dont les données sont saisies par leur employeur dans HeuresFlow peuvent exercer leurs droits directement auprès de leur employeur (administrateur du compte), qui est le responsable du traitement à leur égard. Ils peuvent également contacter DevBat à support@heuresflow.fr.
    

Art. 08 Sécurité des données

DevBat met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre toute destruction, perte, altération ou accès non autorisé, notamment :

Chiffrement en transit : toutes les communications entre les navigateurs des utilisateurs et les serveurs HeuresFlow s'effectuent via le protocole HTTPS (TLS 1.2 minimum) ;
Hachage des mots de passe : les mots de passe ne sont jamais stockés en clair ; ils sont hachés avec un algorithme sécurisé ;
Authentification par jeton JWT : chaque session est sécurisée par un token d'authentification à durée de validité limitée ;
Isolation des données (multi-tenant) : les données de chaque entreprise sont strictement isolées — un client ne peut jamais accéder aux données d'un autre ;
Accès restreint : seuls les membres habilités de DevBat disposent d'un accès aux données en production, dans le strict cadre de leurs fonctions ;
Sauvegardes régulières : les données font l'objet de sauvegardes automatiques régulières pour garantir leur disponibilité.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, DevBat s'engage à notifier la CNIL dans les 72 heures et à informer les personnes concernées dans les meilleurs délais, conformément à l'article 33 du RGPD.

Art. 09 Cookies et traceurs

HeuresFlow utilise un nombre minimal de cookies, strictement nécessaires au fonctionnement du service :

Cookies de session / token d'authentification (localStorage) : permettent de maintenir la connexion de l'utilisateur entre les pages. Ils sont supprimés à la déconnexion ou à l'expiration de la session (7 jours). Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement.

HeuresFlow n'utilise pas de cookies publicitaires, de cookies de suivi comportemental tiers, ni de boutons de partage vers les réseaux sociaux susceptibles de déposer des cookies tiers.

Si des outils d'analyse d'audience venaient à être intégrés à l'avenir, ils le seraient uniquement avec votre consentement préalable et cette politique serait mise à jour en conséquence.

Art. 10 Modifications de la politique

La présente politique de confidentialité peut être modifiée pour refléter les évolutions du service, de la législation applicable ou des pratiques de DevBat. La date de dernière mise à jour est indiquée en haut du document.

En cas de modification substantielle affectant vos droits ou la nature des données traitées, vous en serez informé par e-mail au moins 15 jours avant l'entrée en vigueur des nouvelles dispositions.

La poursuite de l'utilisation du service après la date d'entrée en vigueur vaut acceptation des modifications. En cas de désaccord, vous pouvez clôturer votre compte conformément aux CGU.

Art. 11 Contact et réclamations

Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits ou pour signaler une préoccupation, contactez-nous :

Délégué à la Protection des Données (DPD / DPO)

Société : DevBat

E-mail : support@heuresflow.fr(objet : « RGPD - [votre demande] »)

Courrier : DevBat — RGPD, 221 rue du bois du moine, 17450 Saint Laurent de la Prée

Si vous estimez que vos droits ne sont pas respectés, vous pouvez également saisir la Commission Nationale de l'Informatique et des Libertés (CNIL) :

Politique de Confidentialité& Protection des données

Délégué à la Protection des Données (DPD / DPO)

Politique de Confidentialité
& Protection des données