Politique de confidentialité
Conforme au Règlement (UE) 2016/679 (RGPD) — Dernière mise à jour : avril 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la Plateforme GRIMY est :
- GRIMY SAS
- Email : contact@grimy.fr
Note importante : Dans le cadre de l'utilisation de GRIMY, le Cabinet est lui-même responsable de traitement au sens du RGPD pour les données de ses propres clients saisies dans la Plateforme. GRIMY agit en qualité de sous-traitant pour ces données. Un Accord de Sous-traitance (DPA) est disponible sur demande à contact@grimy.fr.
2. Données collectées et finalités
2.1 Données de compte (utilisateurs GRIMY)
- Données : adresse email, nom, prénom, nom du cabinet, rôle professionnel
- Finalité : création et gestion du compte, authentification, support
- Base légale : exécution du contrat (art. 6.1.b RGPD)
- Conservation : durée de l'abonnement + 3 ans
2.2 Données de facturation
- Données : raison sociale, adresse de facturation, numéro de TVA intracommunautaire
- Finalité : émission des factures, conformité comptable et fiscale
- Base légale : obligation légale (art. 6.1.c RGPD)
- Conservation : 10 ans (durée légale de conservation comptable)
- Note : Les données de carte bancaire sont traitées exclusivement par Stripe (PCI-DSS Level 1) — GRIMY n'y a pas accès.
2.3 Données clients du Cabinet (sous-traitance)
- Données : données d'identification des clients du Cabinet (SIREN, dirigeants, IBAN chiffré, documents KYC, scores de risque, etc.)
- Finalité : fourniture du service de gestion LCB-FT au Cabinet
- Base légale : Intérêt légitime du Cabinet (conformité réglementaire LCB-FT) + obligations légales
- Conservation : Durée de l'abonnement + 30 jours après résiliation. Le Cabinet peut demander la suppression anticipée.
- Chiffrement : Les données sensibles (IBAN, CNI) sont chiffrées avec AES-256-GCM avant stockage.
2.4 Données de navigation et logs
- Données : logs d'accès, actions effectuées (piste d'audit), adresse IP, user-agent
- Finalité : sécurité, détection de fraude, amélioration du service, piste d'audit réglementaire LCB-FT
- Base légale : Intérêt légitime (sécurité) + obligation légale (traçabilité LCB-FT)
- Conservation : 12 mois pour les logs techniques, 5 ans pour la piste d'audit LCB-FT
3. Hébergement des données
Vos données sont hébergées au sein de l'Union Européenne :
Base de données — Supabase (eu-west-1, Irlande, UE)
Toutes les données métier (clients, documents, lettres de mission) sont stockées en Irlande, dans l'Union Européenne. Chiffrement AES-256 au repos, TLS 1.3 en transit.
Frontal web — Vercel (Edge Network mondial)
L'interface web est servie via le réseau Edge de Vercel. Pour les utilisateurs européens, les requêtes sont généralement traitées depuis des points de présence européens. Aucune donnée personnelle n'est stockée sur ces nœuds Edge.
4. Sous-traitants et destinataires
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement BDD, authentification | UE (Irlande) |
| Vercel Inc. | Hébergement frontend | USA / Edge UE |
| Stripe Inc. | Paiement en ligne | USA (Standard Contractuel UE) |
| Pappers | Données registre entreprises | France |
| OpenSanctions | Screening sanctions/PEP | Allemagne (UE) |
Les transferts hors UE (Vercel, Stripe) sont encadrés par les Clauses Contractuelles Types (CCT) de la Commission européenne.
5. Sécurité des données
GRIMY met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :
- Chiffrement des données sensibles en base (AES-256-GCM)
- Connexions chiffrées TLS 1.3 pour toutes les communications
- Authentification avec token JWT à durée limitée et refresh automatique
- Politique de sécurité des accès au niveau des lignes (Row Level Security) sur toutes les tables
- Timeout de session automatique après 30 minutes d'inactivité
- Piste d'audit horodatée de toutes les opérations sensibles
- Séparation stricte des données entre cabinets (multi-tenant isolation)
- Accès aux données de production limité aux seuls membres de l'équipe GRIMY habilités
6. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15) : obtenir la confirmation que vos données sont traitées et en obtenir une copie.
- Droit de rectification (art. 16) : faire corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine. L'export CSV est disponible directement depuis l'interface.
- Droit d'opposition (art. 21) : vous opposer à certains traitements fondés sur l'intérêt légitime.
- Droit à la limitation (art. 18) : demander la suspension temporaire d'un traitement.
Pour exercer ces droits, contactez-nous à contact@grimy.fr. Nous répondrons dans un délai d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (www.cnil.fr).
7. Cookies
La Plateforme GRIMY utilise uniquement les cookies strictement nécessaires au fonctionnement du service (session d'authentification). Aucun cookie de tracking, publicitaire ou analytique tiers n'est déposé sans votre consentement explicite.
8. Modification de la politique
GRIMY se réserve le droit de modifier la présente politique. Toute modification substantielle sera notifiée par email avec un préavis de 30 jours. La date de dernière mise à jour est indiquée en en-tête de ce document.
Contact DPO / protection des données : contact@grimy.fr