← Retour à l'accueil

Politique de Confidentialité

Dernière mise à jour : 28 mai 2026 — Conforme RGPD (Règlement UE 2016/679)

Responsable de traitement

Qui traite vos données ?

Dans le cadre de l'utilisation de QualiCRM, deux acteurs interviennent en tant que responsables de traitement :

  • L'éditeur de QualiCRM : responsable du traitement des données des administrateurs et abonnés (comptes utilisateurs, facturation de l'abonnement).
  • L'entreprise cliente : responsable du traitement des données de ses propres clients, employés et partenaires saisies dans le logiciel. L'éditeur agit alors en tant que sous-traitant au sens du RGPD.
Données collectées

Quelles données sont traitées ?

Catégorie Données Finalité Base légale Durée
Compte utilisateur Prénom, nom, email, mot de passe (haché bcrypt) Authentification, gestion du compte Contrat Durée du compte (export possible 90 j post-résiliation)
Données clients Raison sociale, adresse, SIRET, contacts Gestion commerciale, facturation Contrat / Obligation légale 10 ans (comptabilité)
Données RH Nom, prénom, poste, équipe Planification, suivi interventions Intérêt légitime Durée contrat de travail + 5 ans
Factures Montants, dates, références, TVA Obligation comptable et fiscale Obligation légale 10 ans (L.123-22 Code Commerce)
Logs techniques Audit trail (actions, timestamps) Sécurité, traçabilité Intérêt légitime 1 an
Fichiers joints Documents PDF, images (GED) Gestion documentaire Contrat Durée du compte (purge automatique 90 j post-suppression : en cours d'implémentation, prévue Beta 1.1)
Sécurité

Comment vos données sont-elles protégées ?

QualiCRM met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement en transit : HTTPS/TLS 1.2+ sur toutes les communications (certificat Let's Encrypt auto-renouvelé via Caddy) ;
  • Chiffrement au repos des données sensibles : les champs identifiés comme données spéciales au sens de l'Art. 9 RGPD ou couverts par le secret bancaire (numéro de sécurité sociale, IBAN, BIC) sont chiffrés en base de données via algorithme AES-256-GCM avant écriture ; les clés sont gérées hors-application et soumises à rotation périodique ;
  • Mots de passe : hachés avec bcrypt (facteur de coût élevé), jamais stockés en clair, ni côté CRM ni côté portail client ;
  • Tokens d'accès portail signature / portail client : hachés SHA-256 en base, valeur en clair uniquement transmise au destinataire par e-mail (jamais stockée) ;
  • Authentification : JWT à durée limitée stocké en cookie httpOnly + SameSite ; révocation immédiate sur changement de mot de passe ;
  • Isolation multi-tenant : chaque entreprise accède uniquement à ses propres données (filtre ownerId systématique côté serveur, défense en profondeur via middleware checkOwnership) ;
  • Sauvegardes locales : dump PostgreSQL automatique toutes les heures, compressé gzip, permissions 0600, conservé 7 jours ;
  • Sauvegardes externes : envoi quotidien chiffré AES-256-CBC sur stockage objet OVH (UE), conservation 30 jours, refus explicite si la clé de chiffrement n'est pas configurée ;
  • Contrôle d'accès : système RBAC (rôles OWNER / ADMIN / USER) avec permissions granulaires module.section.action, log forensic des actions privilégiées sensibles.
Sous-traitants

Partage des données et sous-traitants (Art. 28 RGPD)

Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Conformément à l'Art. 28 RGPD, l'éditeur recourt aux sous-traitants suivants :

Sous-traitant Service Localisation Encadrement transfert
OVHcloud SAS Hébergement VPS (serveur applicatif + base PostgreSQL) Gravelines (FR), UE Pas de transfert hors UE
OVHcloud SAS Stockage objet pour les sauvegardes externes chiffrées UE (région OVH FR) Pas de transfert hors UE
OVHcloud SAS Service SMTP transactionnel (boîte noreply@connexcium.fr) FR, UE Pas de transfert hors UE
Stripe Payments Europe Ltd. Traitement des paiements d'abonnement (données de facturation uniquement : email, n° carte tokenisé via Stripe.js, montants) Dublin (IE), UE — exploitation par Stripe Inc., États-Unis Clauses Contractuelles Types CE (SCC, Art. 46.2(c) RGPD) signées entre Stripe Payments Europe Ltd. et Stripe Inc. Voir politique de confidentialité Stripe.
Autorités compétentes Sur réquisition judiciaire (procédure légale uniquement) FR Cadre légal national

Le seul transfert de données hors Union européenne est celui réalisé par Stripe vers les États-Unis dans le cadre du traitement des paiements ; il est encadré par les Clauses Contractuelles Types de la Commission européenne (Art. 46 §2 c RGPD), garantissant un niveau de protection équivalent au RGPD.

Un contrat de sous-traitance (DPA — Data Processing Agreement) conforme à l'Art. 28 §3 RGPD est mis à disposition des entreprises clientes : Télécharger le modèle DPA QualiCRM (v0.1, brouillon).

Vos droits

Vos droits RGPD

Droit d'accès Obtenir une copie de vos données personnelles
Droit de rectification Corriger des données inexactes ou incomplètes
Droit à l'effacement Supprimer vos données (sous réserve des obligations légales)
Droit à la portabilité Exporter vos données dans un format standard
Droit d'opposition Vous opposer à certains traitements
Droit de limitation Suspendre temporairement un traitement

Pour exercer ces droits : contact@connexcium.fr

En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés).

Cookies

Cookies et traceurs

QualiCRM utilise des cookies strictement nécessaires au fonctionnement de l'application (session d'authentification JWT). Aucun cookie de tracking ou publicitaire n'est utilisé.

Pour en savoir plus : Politique de gestion des cookies

Mentions légales CGU Confidentialité Cookies

© 2026 Connexcium — Tous droits réservés