YelloowPlan

Légal

Politique de Confidentialité

Conforme RGPD · Hébergement EU · Dernière mise à jour : V1

1. Responsable du traitement

Le responsable du traitement des données est la SAS Yelloow, éditeur de YelloowPlan. Pour exercer vos droits, contactez privacy@yelloowplan.com.

2. Données collectées

Nous collectons les données suivantes :

  • Compte : email, nom complet, langue, fuseau horaire.
  • Tenant : nom entreprise, secteur (vertical), pays.
  • Métier : employés (nom, email, téléphone, contrat), clients, plannings, interventions.
  • Photos : avatars employés stockés dans Supabase Storage (bucket privé tenant).
  • Audit logs : toute action sensible (création, modification, suppression) avec userId + timestamp.
  • Technique : adresse IP, user-agent, logs serveur (durée 30 jours).
  • Paiement : géré par Stripe Inc. — nous ne stockons pas vos données bancaires.

3. Finalités du traitement

  • Fournir le Service (planification, gestion équipe).
  • Communications transactionnelles (bienvenue, invitations, paiements).
  • Facturation et obligations légales comptables.
  • Amélioration produit (statistiques anonymes uniquement).
  • Sécurité (détection abus, prévention fraude).

4. Base légale

Les traitements sont fondés sur :
  • Exécution du contrat (CGU) pour la fourniture du Service.
  • Obligation légale pour la facturation et l'archivage comptable.
  • Intérêt légitime pour la sécurité et l'amélioration produit.

5. Durée de conservation

  • Compte actif : tant que le compte est actif.
  • Tenant : durée de la souscription + 30 jours (corbeille).
  • Audit logs : 24 mois.
  • Logs techniques : 30 jours.
  • Factures : 10 ans (obligation légale).
  • Backups DB : 30 jours rolling.

6. Hébergement et localisation des données

  • Base de données : Supabase (région eu-west-3, Paris).
  • Fichiers (photos, documents) : Supabase Storage, même région.
  • Hébergement web : Vercel (régions EU prioritaires).
  • Emails : Resend (US sous régime Data Processing Addendum avec SCCs).
  • Paiements : Stripe Ireland (UE).

7. Sécurité

Nous appliquons une défense en 3 couches :
  • Middleware Next.js (vérification session + appartenance tenant).
  • Couche applicative Drizzle (force `tenant_id` filter).
  • Row-Level Security Postgres (dernier rempart).
Chiffrement TLS 1.3 partout. Backups quotidiens chiffrés.

8. Vos droits RGPD

Vous disposez à tout moment des droits suivants :
  • Accès : obtenir une copie de vos données.
  • Rectification : corriger des données inexactes.
  • Effacement (« droit à l'oubli ») : demander la suppression.
  • Limitation : geler un traitement.
  • Portabilité : récupérer vos données dans un format structuré (CSV/JSON).
  • Opposition : refuser un traitement (newsletter, etc.).
  • Plainte auprès de la CNIL en cas de désaccord.
Pour exercer ces droits : privacy@yelloowplan.com.

9. Cookies

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement (session authentifiée). Aucun cookie publicitaire ni tracking tiers. Pas de bannière requise.

10. Sous-traitants

Liste publique de nos sous-traitants traitant des données personnelles :
  • Supabase Inc. (hébergement DB + auth)
  • Vercel Inc. (hébergement web)
  • Stripe Ireland (paiements)
  • Resend (emails transactionnels)
Tous nos sous-traitants sont liés par un Data Processing Agreement conforme RGPD.

⚖️ Ce document est un modèle V1. Une relecture par un DPO ou avocat avant production publique est fortement recommandée.