Politique de Confidentialité
ESY4 SAS s'engage à protéger vos données personnelles avec le plus haut niveau de rigueur. Cette politique décrit précisément quelles données nous collectons, pourquoi, combien de temps nous les conservons, et comment vous pouvez exercer vos droits.
Dernière mise à jour : Avril 2026 · Version 2.0
Responsable du traitement
Société : ESY4 SAS
Forme : Société par Actions Simplifiée — en cours d'immatriculation
Siège : France
DPO : dpo@esy4-security.fr
Contact RGPD : rgpd@esy4-security.fr
Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires à la fourniture du service. Le tableau ci-dessous détaille chaque catégorie, sa finalité et sa durée de conservation.
| Catégorie | Données | Finalité | Durée | Base légale |
|---|---|---|---|---|
| Identité | Nom, prénom, email, téléphone | Création et gestion du compte | Durée du compte + 3 ans | Contrat |
| Professionnelle | Carte CNAPS, aptitude médicale, assurance, diplômes | Conformité réglementaire CNAPS | 7 ans (obligation légale) | Obligation légale |
| Bancaire | IBAN (chiffré AES-256) | Virement Stripe — Vacataires CDDU | Durée de la relation + 5 ans | Contrat |
| Géolocalisation | Position GPS (missions terrain uniquement) | Pointage mission, PTI-DATI | 90 jours après mission | Intérêt légitime + consentement |
| Santé / PTI | Détection de chute, fréquence cardiaque (opt.) | Protection isolement — alerte SOS | 30 jours (logs alerte : 1 an) | Intérêt vital |
| Navigation | Cookies de session (Supabase JWT) | Authentification sécurisée | Session (24h max) | Intérêt légitime |
| Audit trail | Logs d'actions (hash SHA-256) | Traçabilité légale, litiges | 7 ans | Obligation légale |
Bases légales des traitements
Conformément à l'art. 6 du RGPD, nos traitements reposent sur :
- Exécution du contrat : Gestion des missions, paiements Stripe, émission des contrats CDDU, accès aux dashboards.
- Obligation légale : Conservation des documents de conformité CNAPS (art. L. 612-20 CSI), registres comptables (art. L. 123-22 Code de commerce).
- Intérêt légitime : Sécurisation de la plateforme, prévention des fraudes, audit trail opérationnel.
- Intérêt vital : Traitement des données PTI-DATI (détection de chute, alerte SOS) — nécessaire à la protection physique de l'agent isolé.
- Consentement : Géolocalisation continue hors mission (optionnelle), communications marketing (opt-in explicite).
Destinataires des données
Vos données ne sont jamais vendues. Elles peuvent être transmises aux destinataires suivants dans le cadre strict du service :
Supabase Inc.
Hébergement base de données — serveurs Frankfurt (UE). Accord DPA signé. Données chiffrées en transit (TLS 1.3) et au repos.
Stripe Inc.
Traitement des paiements — certifié PCI-DSS niveau 1. Les données bancaires complètes ne transitent jamais par nos serveurs.
Vercel Inc.
Hébergement frontend — Edge Network. Aucune donnée personnelle stockée sur les serveurs Vercel.
Entreprises clientes
Les sociétés de sécurité voient uniquement les profils des agents affectés à leurs missions (nom, qualification, contact). Encadré par la relation contractuelle.
Autorités légales
CNAPS, Préfecture, Autorité Judiciaire — sur réquisition légale uniquement, dans les conditions prévues par la loi.
Transferts hors Union Européenne
Certains sous-traitants (Supabase, Stripe, Vercel) sont établis aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne, conformément à l'art. 46 RGPD.
Les données des utilisateurs européens sont traitées prioritairement sur des infrastructures situées en Union Européenne (Frankfurt, Allemagne pour la base de données).
Sécurité des données
Chiffrement AES-256
Données bancaires et documents sensibles chiffrés au repos.
TLS 1.3
Toutes les communications sont chiffrées en transit.
Row-Level Security
Isolation totale des données par utilisateur au niveau PostgreSQL.
Accès service_role
Les données IBAN ne sont accessibles qu'aux fonctions backend privilégiées.
Audit trail SHA-256
Chaque action critique est enregistrée dans un journal immuable.
Sessions 24h
Les jetons JWT expirent automatiquement — pas de sessions permanentes.
Cookies et traceurs
ESY4-SECURITY utilise exclusivement des cookies techniques strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire, de ciblage ou de mesure d'audience tiers n'est déposé.
| Cookie | Finalité | Durée |
|---|---|---|
| sb-access-token | Jeton d'authentification Supabase (JWT) | 1 heure |
| sb-refresh-token | Renouvellement automatique de session | 24 heures |
| __stripe_mid | Détection de fraude Stripe (paiement uniquement) | 1 an |
Ces cookies sont nécessaires au fonctionnement du service — leur refus empêche la connexion. Aucun consentement supplémentaire n'est requis pour leur dépôt (art. 82 loi Informatique et Libertés).
Vos droits RGPD
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
Droit d'accès
Obtenir une copie de toutes vos données personnelles traitées.
→ dpo@esy4-security.fr
Droit à la portabilité
Recevoir vos données dans un format structuré et lisible par machine.
→ Export disponible depuis votre profil
Droit de rectification
Corriger des données inexactes ou incomplètes vous concernant.
→ Modifiable depuis votre profil
Droit à l'effacement
Demander la suppression de vos données (sous réserve d'obligations légales de conservation).
→ dpo@esy4-security.fr
Droit à la limitation
Demander la suspension temporaire du traitement de vos données.
→ dpo@esy4-security.fr
Droit d'opposition
Vous opposer à un traitement fondé sur l'intérêt légitime.
→ dpo@esy4-security.fr
Délai de réponse : 30 jours maximum à compter de la réception de votre demande. En cas de réclamation non satisfaite, vous pouvez saisir la CNIL — 3 place de Fontenoy, 75007 Paris · www.cnil.fr
Protection des mineurs
La plateforme ESY4-SECURITY est réservée aux personnes majeures (18 ans minimum), conformément aux conditions légales d'exercice des activités de sécurité privée. Nous ne collectons pas sciemment de données relatives à des mineurs.
Modifications de la politique
ESY4 SAS se réserve le droit de modifier cette politique à tout moment. Toute modification substantielle fera l'objet d'une notification par email aux utilisateurs actifs au moins 15 jours avant son entrée en vigueur.
La version en vigueur est toujours accessible à l'adresse esy4-security.fr/privacy. L'historique des versions est conservé sur demande auprès du DPO.
Délégué à la Protection des Données
Pour toute question relative à vos données personnelles
dpo@esy4-security.fr