Politique de confidentialité

Dernière mise à jour : 29/04/2026 — Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés modifiée.

Article 1 — Responsable du traitement

Le responsable du traitement des données personnelles collectées via CRM Freelance est l'éditeur du service, dont les coordonnées figurent dans les Mentions légales.

Article 2 — Données collectées

Lors de l'utilisation du service, les données suivantes sont collectées et traitées :

Donnée	Finalité	Base légale
Nom, prénom	Identification du compte, affichage sur les documents	Contrat
Adresse e-mail	Authentification, notifications, support	Contrat
Numéro SIRET	Mentions légales sur les documents comptables	Contrat
Adresse postale, téléphone	Coordonnées affichées sur les devis et factures	Contrat
IBAN / BIC	Affichage sur les factures pour le paiement par virement	Contrat
Clé secrète Stripe (chiffrée)	Activation des paiements par carte sur le portail client	Consentement
Données des clients du freelance (noms, emails, entreprises)	Fonctionnalités CRM (devis, factures, projets)	Contrat
Données de connexion (logs de session)	Sécurité, détection de fraude (protection anti-brute force)	Intérêt légitime

Article 3 — Sécurité des données sensibles

La sécurité de vos données est une priorité. Les mesures suivantes sont en place :

Mots de passe : stockés exclusivement sous forme de condensat cryptographique à sens unique, irréversible.
Clés de paiement (secrètes) : chiffrées en base de données à l'aide d'un algorithme de chiffrement symétrique à clé forte. La clé de chiffrement n'est jamais stockée en base de données. Les clés fournies par notre prestataire de paiement ne sont jamais transmises en clair dans nos systèmes de stockage.
Communications : le service est accessible uniquement via HTTPS en production, garantissant le chiffrement des échanges.
Cookies : le cookie de session est configuré pour être inaccessible au JavaScript et protégé contre les attaques de type CSRF.
Fichiers uploadés : les fichiers déposés (livrables) sont vérifiés par type réel et stockés hors d'accès direct côté serveur.

Article 4 — Hébergement et localisation des données

🇪🇺 Données hébergées en Europe L'ensemble des données stockées par CRM Freelance (compte utilisateur, clients, devis, factures, documents) est hébergé en France, sur les serveurs de la société o2switch (Clermont-Ferrand).

Certains sous-traitants techniques mentionnés à l'Article 6 (notamment Stripe pour le traitement des paiements) peuvent être amenés à traiter des données depuis des serveurs situés hors de l'Union Européenne. Ces transferts sont strictement encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne et, le cas échéant, par le EU-U.S. Data Privacy Framework, garantissant un niveau de protection équivalent à celui imposé par le RGPD.

Article 5 — Durée de conservation

Données du compte actif : conservées pendant toute la durée d'utilisation du service.
Données après suppression du compte : les données personnelles identifiantes (nom, prénom, email, coordonnées, données bancaires) sont anonymisées immédiatement et définitivement à la demande de l'utilisateur.
Documents comptables (factures, devis) : conservés sous forme anonyme conformément aux obligations légales françaises en matière de comptabilité (10 ans, article L.123-22 du Code de commerce).
Logs de sécurité : conservés 30 jours glissants maximum.

Article 6 — Partage des données avec des tiers

Vos données ne sont ni vendues, ni louées, ni cédées à des tiers à des fins commerciales. Elles peuvent être transmises aux seuls sous-traitants suivants, strictement nécessaires au fonctionnement du service :

o2switch (Chemin des Pardiaux, 63000 Clermont-Ferrand, France) — hébergement de l'application et de la base de données, exclusivement sur des serveurs situés en France. Politique de confidentialité : o2switch.fr.
Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, USA) — traitement sécurisé des paiements (acquisition de l'accès au logiciel et facturation des abonnements). Stripe est certifié PCI-DSS niveau 1. Les transferts hors UE sont encadrés par les Clauses Contractuelles Types et le EU-U.S. Data Privacy Framework. Politique de confidentialité : stripe.com/fr/privacy.
Sendinblue SAS (Brevo) (106 boulevard Haussmann, 75008 Paris, France) — envoi des e-mails transactionnels (vérification d'adresse, réinitialisation de mot de passe, notifications de paiement, relances clients). Données traitées au sein de l'UE. Politique de confidentialité : brevo.com.
Cloudflare, Inc. (101 Townsend Street, San Francisco, CA 94107, USA) — protection anti-bots à l'inscription (Turnstile). Seule l'adresse IP du visiteur est traitée, pour une durée très courte, à seule fin de prévention de la fraude. Transferts hors UE encadrés par les Clauses Contractuelles Types. Politique de confidentialité : cloudflare.com.

En dehors de ces cas, aucune divulgation à des tiers n'est effectuée, sauf obligation légale.

Article 7 — Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès

Obtenir une copie des données personnelles vous concernant que nous détenons.

Droit de rectification

Corriger des données inexactes ou incomplètes directement depuis les Paramètres de votre compte.

Droit à l'effacement (« droit à l'oubli »)

Obtenir la suppression et l'anonymisation de vos données personnelles. Exercez ce droit via le bouton « Supprimer définitivement mon compte » dans Paramètres → Zone de danger.

Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine. Contactez le support pour en faire la demande.

Droit d'opposition

Vous opposer à certains traitements fondés sur l'intérêt légitime (ex : logs de sécurité).

Droit à la limitation

Demander la limitation du traitement de vos données dans certains cas prévus par le RGPD.

Pour exercer vos droits (hors suppression de compte, accessible directement dans l'application), contactez-nous à l'adresse e-mail indiquée dans les Mentions légales. Nous nous engageons à répondre dans un délai maximum d'un mois.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — www.cnil.fr.

Article 8 — Cookies

Le service n'utilise que des cookies techniques strictement nécessaires à l'authentification et au bon fonctionnement du service (maintien de la session). Ces cookies ne nécessitent pas de consentement préalable au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire, analytique tiers ou de tracking n'est utilisé.

Article 9 — Modifications de la politique de confidentialité

La présente politique peut être mise à jour afin de refléter les évolutions légales, réglementaires ou techniques. En cas de modification substantielle, les utilisateurs seront informés par e-mail. La date de dernière mise à jour est indiquée en haut de ce document.