Politique de Confidentialité

Nous collectons les données suivantes :

• Compte : email, nom complet, langue, fuseau horaire.
• Tenant : nom entreprise, secteur (vertical), pays.
• Métier : employés (nom, email, téléphone, contrat), clients, plannings, interventions.
• Photos : avatars employés stockés dans Supabase Storage (bucket privé tenant).
• Audit logs : toute action sensible (création, modification, suppression) avec userId + timestamp.
• Technique : adresse IP, user-agent, logs serveur (durée 30 jours).
• Paiement : géré par Stripe Inc. — nous ne stockons pas vos données bancaires.
• Mesure d'audience et comportement de navigation (site vitrine uniquement, sur opt-in) : pages vues, sources de trafic, durée de session, clics, déplacements souris, scrolls et enregistrements de session anonymisés. Outils utilisés : Microsoft Clarity et Google Analytics 4. Les champs sensibles (mots de passe, emails saisis, données financières) sont automatiquement masqués. Aucune collecte avant votre consentement explicite via le bandeau cookies. Aucune collecte de ce type sur l'application SaaS.

• Fournir le Service (planification, gestion équipe).
• Communications transactionnelles (bienvenue, invitations, paiements).
• Facturation et obligations légales comptables.
• Amélioration produit (statistiques anonymes uniquement).
• Sécurité (détection abus, prévention fraude).

• Exécution du contrat (CGU) pour la fourniture du Service.
• Obligation légale pour la facturation et l'archivage comptable.
• Intérêt légitime pour la sécurité et l'amélioration produit.

• Compte actif : tant que le compte est actif.
• Tenant : durée de la souscription + 30 jours (corbeille).
• Audit logs : 24 mois.
• Logs techniques : 30 jours.
• Factures : 10 ans (obligation légale).
• Backups DB : 30 jours rolling.

• Base de données : Supabase (région eu-west-3, Paris).
• Fichiers (photos, documents) : Supabase Storage, même région.
• Hébergement web : Vercel (régions EU prioritaires).
• Emails : Resend (US sous régime Data Processing Addendum avec SCCs).
• Paiements : Stripe Ireland (UE).
• Analytics vitrine : Microsoft Clarity (US, encadré par les SCCs et le DPA Microsoft, données pseudonymisées) et Google Analytics 4 (Google LLC, US, encadré par les SCCs Google et le DPA Google Cloud, IP anonymisée). Ces outils ne se chargent qu'après votre consentement explicite via le bandeau cookies.

• Middleware Next.js (vérification session + appartenance tenant).
• Couche applicative Drizzle (force `tenant_id` filter).
• Row-Level Security Postgres (dernier rempart).

• Accès : obtenir une copie de vos données.
• Rectification : corriger des données inexactes.
• Effacement (« droit à l'oubli ») : demander la suppression.
• Limitation : geler un traitement.
• Portabilité : récupérer vos données dans un format structuré (CSV/JSON).
• Opposition : refuser un traitement (newsletter, etc.).
• Plainte auprès de la CNIL en cas de désaccord.

Sur l'application SaaS (app.yelloowplan.com) :

• Cookies strictement nécessaires uniquement (session authentifiée, CSRF). Aucun cookie publicitaire ni tracking tiers.

Sur le site vitrine (yelloowplan-vitrine.com) :

• Cookies strictement nécessaires au fonctionnement (toujours actifs).
• Cookies analytics, activés uniquement après votre consentement explicite via le bandeau cookies présent à votre arrivée sur le site :
  • Microsoft Clarity — heatmaps, replays anonymisés (cookies _clck, _clsk). Liste complète : documentation officielle Microsoft.
  • Google Analytics 4 — mesure d'audience (cookies _ga durée 2 ans, _ga_*). Liste : documentation officielle Google.

Vos choix sont mémorisés 13 mois maximum (recommandation CNIL). Vous pouvez retirer ou modifier votre consentement à tout moment via le lien « Gérer mes cookies » au pied de chaque page de la vitrine.

• Supabase Inc. (hébergement DB + auth)
• Vercel Inc. (hébergement web)
• Stripe Ireland (paiements)
• Resend (emails transactionnels)
• Microsoft Corp. — Clarity (analytics comportemental, site vitrine uniquement)
• Google LLC — Google Analytics 4 (mesure d'audience, site vitrine uniquement)