Légal

Politique de confidentialité

Dernière mise à jour : 25 mai 2026 · Conforme RGPD (Règlement UE 2016/679)

À compléter avant publication : raison sociale et adresse du responsable de traitement, nom de l'hébergeur final. Cette politique est conforme au RGPD pour un service SaaS classique ; une revue par un DPO ou un avocat est conseillée si tu traites des données sensibles.

1. Qui est responsable du traitement ?

Le responsable du traitement des données personnelles collectées via le service Ravora est :

Raison sociale : [À COMPLÉTER]
Adresse : [À COMPLÉTER]
Contact : contact@ravora.fr

Pour toute question relative à tes données personnelles, écris-nous à l'adresse ci-dessus.

2. Quelles données collectons-nous ?

2.1 Données du compte (manager / collaborateur)

Email, prénom, nom, téléphone (optionnel)
Mot de passe (stocké uniquement sous forme hashée bcrypt, jamais en clair)
Photo de profil (optionnelle)
Rôle (manager / collaborateur)
Date et heure de connexion

2.2 Données métier

Heures travaillées saisies (date, lieu, activité, durée, notes)
Informations de facturation de l'entreprise (raison sociale, SIRET, TVA, IBAN, adresse)
Bilans et factures générés

2.3 Données techniques

Adresse IP et logs de connexion (conservés 12 mois)
Type de navigateur, version, système d'exploitation

2.4 Données issues d'intégrations tierces

Google Drive / Sheets : si le Client connecte son compte Google, nous stockons les tokens OAuth (chiffrés AES-256-GCM) et lisons uniquement les fichiers du dossier explicitement sélectionné. Aucune écriture, aucun partage avec des tiers.

3. Pourquoi collectons-nous ces données ?

Finalité	Base légale
Fournir le service (authentification, saisie d'heures, bilans)	Exécution du contrat
Facturer l'abonnement	Exécution du contrat + obligation légale
Sécurité du compte (détection de connexions suspectes)	Intérêt légitime
Support client (réponse aux demandes)	Intérêt légitime
Notifications produit (nouvelles fonctionnalités)	Consentement (désactivable)

4. Combien de temps conservons-nous les données ?

Donnée	Durée
Compte actif	Durée de l'abonnement
Compte résilié	30 jours, puis suppression définitive
Factures émises	10 ans (obligation comptable)
Logs de connexion	12 mois
Tokens OAuth Google	Jusqu'à déconnexion manuelle

5. Avec qui partageons-nous les données ?

Tes données ne sont jamais vendues à des tiers et ne sont partagées qu'avec nos sous-traitants techniques strictement nécessaires au fonctionnement du service :

Sous-traitant	Finalité	Localisation
[À COMPLÉTER : nom de l'hébergeur, ex. IONOS / Hetzner]	Hébergement de l'application et de la base de données	France ou Allemagne (UE)
Stripe	Traitement des paiements	UE + États-Unis (clauses contractuelles types)
Resend	Envoi des emails transactionnels	UE
Google (OAuth, Sheets API)	Lecture des fichiers Sheets du Client uniquement si connecté	UE / États-Unis (clauses contractuelles types)

6. Où sont stockées les données ?

L'ensemble des données utilisateurs et métier est hébergé sur des serveurs situés en Union Européenne (France ou Allemagne). Aucune donnée n'est transférée hors UE sans encadrement juridique approprié (clauses contractuelles types de la Commission européenne).

7. Quels sont tes droits ?

Conformément au RGPD, tu disposes des droits suivants :

Droit d'accès : obtenir copie de tes données.
Droit de rectification : corriger une donnée inexacte.
Droit à l'effacement : demander la suppression de ton compte.
Droit à la portabilité : récupérer tes données dans un format structuré (JSON).
Droit d'opposition : refuser un traitement reposant sur un intérêt légitime.
Droit de retirer ton consentement à tout moment.

Pour la plupart de ces droits, tu peux agir directement depuis ton compte Ravora (Profil → Confidentialité). Pour les autres, écris-nous à contact@ravora.fr. Nous te répondons sous 30 jours.

Tu peux également introduire une réclamation auprès de la CNIL si tu estimes que tes droits ne sont pas respectés.

8. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles suivantes :

Chiffrement TLS sur l'ensemble des communications
Mots de passe hashés (bcrypt, coût 12)
Chiffrement AES-256-GCM des tokens OAuth Google en base
Authentification par JWT à durée limitée
Rate-limiting sur les endpoints sensibles (login, register)
Isolation stricte des données entre comptes clients (cloisonnement par account_id)
Sauvegardes quotidiennes de la base de données, restaurables en J-7

9. Cookies

Ravora utilise uniquement les cookies strictement nécessaires au fonctionnement du service (jeton d'authentification stocké en localStorage). Aucun cookie de tracking, d'analyse comportementale ou publicitaire n'est utilisé. Aucun consentement n'est requis pour ces cookies essentiels (CNIL).

10. Modifications de cette politique

Cette politique peut être mise à jour pour refléter des évolutions techniques ou réglementaires. Les modifications substantielles sont notifiées par email avec un préavis raisonnable.

11. Contact

Pour toute question relative à cette politique ou à l'exercice de tes droits : contact@ravora.fr.