Politique de Confidentialité

1. Introduction et Responsable du traitement

La présente Politique de Confidentialité décrit la manière dont HumanMap (« nous », « notre ») collecte, utilise, stocke et protège vos données personnelles lorsque vous utilisez notre site web humanmap.fr et notre plateforme d'organigrammes (le « Service »). Nous nous engageons à protéger votre vie privée et à traiter vos données de manière transparente et conforme à la loi. Pour toute question relative à cette politique, vous pouvez nous contacter à [email protected]. HumanMap est basé à Paris, France, et agit en qualité de responsable du traitement des données personnelles décrites dans la présente politique.

2. Données que nous collectons

2.1 Données de compte

Lors de la création de votre compte, nous collectons :

• Nom complet et adresse e-mail
• Nom de l'entreprise ou de l'organisation
• Pays de résidence
• Mot de passe chiffré (haché avec bcrypt — nous ne stockons jamais votre mot de passe en clair)
• Historique d'abonnement et de facturation

2.2 Données organisationnelles

Lorsque vous utilisez le Service, vous pouvez télécharger ou créer :

• Noms des employés, intitulés de poste, départements et coordonnées
• Structures d'équipe et liens hiérarchiques
• Organigrammes et leurs configurations
• Fichiers téléchargés tels que photos de profil et logos d'entreprise

2.3 Données techniques

Nous collectons automatiquement certaines informations techniques :

• Adresse IP et géolocalisation approximative
• Type et version du navigateur, système d'exploitation et type d'appareil
• Pages visitées, fonctionnalités utilisées et temps passé sur le Service
• Source de référence et identifiants de session
• Journaux d'erreurs et données de performance

3. Bases juridiques du traitement

En vertu du Règlement Général sur la Protection des Données (RGPD), nous traitons vos données personnelles sur les bases juridiques suivantes :

• Exécution du contrat : Traitement nécessaire à la fourniture du Service auquel vous avez souscrit, y compris la gestion du compte, la facturation et le support.
• Intérêt légitime : Traitement nécessaire à nos intérêts commerciaux légitimes, tels que l'amélioration du Service, la prévention de la fraude et la sécurité de la plateforme.
• Consentement : Lorsque vous avez donné votre consentement explicite, par exemple pour les communications marketing ou les cookies analytiques. Vous pouvez retirer votre consentement à tout moment.
• Obligation légale : Traitement nécessaire au respect des lois applicables, telles que les obligations fiscales et comptables.

4. Utilisation de vos données

Nous utilisons vos données personnelles aux fins suivantes :

• Fournir, exploiter et maintenir le Service
• Traiter les paiements et gérer votre abonnement
• Répondre à vos demandes de support et à vos questions
• Envoyer des e-mails transactionnels (confirmations de compte, alertes de facturation, avis de sécurité)
• Analyser les habitudes d'utilisation pour améliorer les fonctionnalités et l'expérience utilisateur
• Détecter, prévenir et traiter la fraude, les abus et les problèmes de sécurité
• Respecter les obligations légales et faire appliquer nos Conditions Générales d'Utilisation

5. Prestataires tiers

Nous partageons des données avec les prestataires tiers suivants, strictement aux fins décrites. Chaque prestataire est lié par des accords de traitement des données et maintient les certifications de sécurité appropriées :

• Supabase (Base de données et authentification) — Stocke vos données de compte et données organisationnelles de manière sécurisée. Hébergé exclusivement dans l'UE (Irlande). Certifié SOC 2 Type II.
• Stripe (Traitement des paiements) — Traite les paiements d'abonnement et stocke les informations relatives aux moyens de paiement. Certifié PCI-DSS Niveau 1. Nous ne stockons jamais les détails complets de votre carte bancaire sur nos serveurs.
• Cloudflare R2 (Stockage de fichiers) — Stocke les fichiers téléchargés tels que les photos de profil et les logos d'entreprise.
• Brevo (E-mails transactionnels) — Envoie les e-mails liés au compte, y compris les messages de bienvenue, les alertes de facturation et les notifications de support.
• PostHog (Analytique produit) — Suit l'utilisation des fonctionnalités et les performances de la plateforme pour nous aider à améliorer le Service. Les données sont traitées sur des serveurs européens (eu.i.posthog.com).
• Google Ads (Suivi des conversions) — Mesure l'efficacité de nos campagnes publicitaires. Suit les événements de conversion liés aux inscriptions et aux achats.
• Meta Pixel (Suivi des conversions) — Mesure l'efficacité de notre publicité sur les plateformes Meta. Suit les événements de conversion liés aux inscriptions et aux achats.

Nous n'utilisons pas de fournisseur d'hébergement tiers. Notre infrastructure applicative est auto-hébergée et gérée directement par HumanMap.

6. Cookies et technologies de suivi

Nous utilisons des cookies et des technologies similaires sur notre Service. Ils se répartissent dans les catégories suivantes :

6.1 Cookies essentiels

Nécessaires au fonctionnement du Service. Ils ne peuvent pas être désactivés.

• Cookies de session d'authentification (pour maintenir votre connexion)
• Jetons de protection CSRF (pour prévenir la falsification de requêtes intersites)

6.2 Cookies analytiques

Nous aident à comprendre comment le Service est utilisé afin de l'améliorer.

• PostHog — Analytique produit, traitée sur des serveurs européens

6.3 Cookies marketing

Utilisés pour mesurer l'efficacité de nos campagnes publicitaires.

• Google Ads (gtag) — Suivi des conversions pour les campagnes publicitaires
• Meta Pixel (fbq) — Suivi des conversions pour les campagnes publicitaires Meta

Vous pouvez gérer vos préférences en matière de cookies via les paramètres de votre navigateur. La désactivation des cookies non essentiels n'affectera pas les fonctionnalités principales du Service.

7. Partage et divulgation des données

7.1 Nous ne vendons jamais vos données

Nous ne vendons, ne louons et n'échangeons pas vos données personnelles à des tiers à des fins de marketing ou de publicité.

7.2 Partage limité

Nous pouvons partager vos données uniquement dans les circonstances suivantes :

• Prestataires de services : Avec les prestataires tiers énumérés à la Section 5, uniquement pour exploiter et améliorer le Service.
• Obligations légales : Lorsque la loi, la réglementation, une procédure judiciaire ou une demande gouvernementale exécutoire l'exige.
• Transferts d'activité : Dans le cadre d'une fusion, d'une acquisition ou d'une cession d'actifs, auquel cas vos données resteraient soumises à la présente Politique de Confidentialité.
• Avec votre consentement : Lorsque vous nous autorisez explicitement à partager vos données avec un tiers spécifique.
• Sécurité et protection : Pour protéger les droits, les biens ou la sécurité de HumanMap, de nos utilisateurs ou du public.

8. Transferts internationaux de données

Notre base de données principale est hébergée par Supabase exclusivement dans l'UE (Irlande), et les données analytiques PostHog sont également traitées sur des serveurs européens. Cependant, certains de nos autres prestataires (tels que Stripe, Cloudflare, Google et Meta) peuvent traiter des données dans des pays situés en dehors de l'Espace Économique Européen (EEE), y compris les États-Unis. Lorsque des données sont transférées en dehors de l'EEE, nous nous appuyons sur des garanties appropriées telles que les Clauses Contractuelles Types (CCT) de la Commission européenne pour assurer un niveau de protection adéquat de vos données.

9. Sécurité des données

Nous mettons en place des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles, notamment :

• Chiffrement TLS pour toutes les données transmises entre votre navigateur et nos serveurs
• Chiffrement au repos des données stockées
• Hachage des mots de passe avec bcrypt — nous ne stockons et n'avons jamais accès à votre mot de passe en clair
• Sécurité au niveau des lignes (RLS) dans notre base de données pour garantir une isolation stricte des données entre les organisations
• Protection par jeton CSRF sur toutes les opérations modifiant l'état
• Audits de sécurité et surveillance réguliers
• Contrôles d'accès stricts limitant l'accès interne aux données personnelles selon le principe du besoin d'en connaître

Bien que nous prenions toutes les précautions raisonnables, aucune méthode de transmission ou de stockage n'est sûre à 100 %. Si vous découvrez une faille de sécurité, veuillez la signaler à [email protected].

10. Conservation des données

Nous conservons vos données pendant les durées suivantes :

• Données de compte et organisationnelles : Conservées tant que votre compte est actif, puis supprimées dans les 30 jours suivant la clôture du compte.
• Relevés de facturation et de transactions : Conservés pendant 5 ans après la date de la transaction, conformément à la législation fiscale et comptable française.
• Journaux techniques et d'utilisation : Conservés pendant 12 mois maximum, puis automatiquement purgés.
• Correspondance de support : Conservée pendant 2 ans après la dernière interaction, à des fins de qualité et de référence.

Vous pouvez demander la suppression anticipée de vos données à tout moment, sous réserve des obligations légales de conservation.

11. Vos droits

En vertu du RGPD et des lois applicables en matière de protection des données, vous disposez des droits suivants :

• Droit d'accès : Demander une copie des données personnelles que nous détenons à votre sujet.
• Droit de rectification : Demander la correction de données personnelles inexactes ou incomplètes.
• Droit à l'effacement : Demander la suppression de vos données personnelles (« droit à l'oubli »).
• Droit à la portabilité des données : Demander vos données dans un format structuré et lisible par machine (export JSON disponible via le Service).
• Droit à la limitation du traitement : Demander que nous limitions le traitement de vos données personnelles dans certaines circonstances.
• Droit d'opposition : Vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale.
• Droit de retrait du consentement : Lorsque le traitement est fondé sur le consentement, le retirer à tout moment sans affecter le traitement antérieur.

Pour exercer l'un de ces droits, contactez-nous à [email protected]. Nous répondrons dans un délai de 30 jours. Si vous n'êtes pas satisfait de notre réponse, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) ou de votre autorité de contrôle locale.

12. Protection des données des mineurs

Le Service est destiné aux utilisateurs âgés de 18 ans et plus. Nous ne collectons pas sciemment de données personnelles concernant des enfants de moins de 18 ans. Si nous apprenons que nous avons collecté des données d'un mineur, nous prendrons les mesures nécessaires pour les supprimer rapidement. Si vous pensez qu'un enfant nous a fourni des données personnelles, veuillez nous contacter à [email protected].

13. Modifications de la présente politique

Nous pouvons mettre à jour la présente Politique de Confidentialité de temps à autre pour refléter les évolutions de nos pratiques, de la technologie ou des exigences légales. En cas de modification substantielle, nous vous en informerons au moins 30 jours à l'avance par e-mail ou par un avis visible au sein du Service. La date de « Dernière mise à jour » en haut de cette page indique la date de la dernière révision. L'utilisation continue du Service après l'entrée en vigueur des modifications vaut acceptation de la politique mise à jour.

14. Nous contacter

Si vous avez des questions concernant cette Politique de Confidentialité, vos données personnelles ou si vous souhaitez exercer vos droits, veuillez nous contacter :

• E-mail : [email protected]
• Adresse : HumanMap, Paris, France