La présente politique décrit, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée, la manière dont OperaFlux SAS collecte, utilise et conserve vos données personnelles.
1. Responsable du traitement
OperaFlux
Siège social : 29 rue des Sablons, 60200, Compiègne
SIREN : 104036876
Email : contact@operaflux.fr
2. Contact protection des données (DPO)
Pour toute question relative à vos données personnelles ou pour exercer vos droits, contactez-nous à : privacy@operaflux.fr ou à l'adresse postale ci-dessus, en mentionnant « RGPD — Données personnelles ».
3. Données collectées et finalités
| Catégorie | Données | Finalité | Base légale | Conservation |
|---|---|---|---|---|
| Identité et compte | Prénom, nom, email, mot de passe hashé, SIREN, nom d'organisation, profil (dirigeant / partenaire) | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b) | Durée du contrat + 3 ans (prescription) |
| Facturation | Données de paiement (tokenisées par Stripe), historique des factures | Traitement des paiements, émission des factures | Exécution du contrat (art. 6.1.b) ; obligation légale comptable (art. 6.1.c) | 10 ans (obligation comptable) |
| Données métier | Contacts CRM, factures ERP, bulletins de paie, contrats GRC, indicateurs ESG, données importées par l'utilisateur | Fourniture des fonctionnalités de la plateforme | Exécution du contrat (art. 6.1.b) | Durée du contrat + 30 jours (export RGPD disponible) |
| Logs techniques | Adresse IP, user-agent, horodatages d'accès, erreurs applicatives | Sécurité, détection des incidents, obligation ISO 27001 | Intérêt légitime (art. 6.1.f) — sécurité informatique | 90 jours |
| Recommandations IA | Agrégats anonymisés ou pseudonymisés de données métier pour générer des recommandations | Pilotage intelligent, alertes, prévisions | Exécution du contrat (art. 6.1.b) — fonctionnalité centrale du service | Durée du contrat |
| Support | Contenu des échanges (formulaire, email) | Traitement des demandes, amélioration du service | Intérêt légitime (art. 6.1.f) | 3 ans à compter du dernier contact |
| Newsletter / blog | Email, consentement horodaté | Envoi de communications commerciales | Consentement (art. 6.1.a) | Jusqu'à retrait du consentement + 3 ans |
4. Traitement automatisé et recommandations IA
OperaFlux utilise des modèles d'intelligence artificielle hébergés localement sur nos serveurs en France (aucun envoi à un tiers) pour produire des recommandations de pilotage. Ces recommandations ne constituent pas des décisions automatisées au sens de l'article 22 du RGPD : elles sont indicatives et toujours soumises à la décision humaine de l'utilisateur.
5. Sous-traitants et destinataires
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| OVH SAS (2 rue Kellermann, 59300 Roubaix) | Hébergement des serveurs et des données | France (UE) |
| Stripe Payments Europe Ltd | Traitement des paiements par carte | Irlande (UE) — données de paiement tokenisées |
Aucune donnée personnelle n'est transférée hors de l'Espace Économique Européen. L'IA tourne sur nos serveurs OVH en France.
6. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Accès — obtenir une copie de vos données (disponible via Accès aux données)
- Rectification — corriger des données inexactes depuis votre espace compte
- Effacement (« droit à l'oubli ») — demander la suppression de votre compte via Suppression des données
- Opposition — vous opposer aux traitements fondés sur l'intérêt légitime
- Portabilité — recevoir vos données dans un format lisible par machine (JSON)
- Limitation — limiter temporairement un traitement pendant le traitement d'une réclamation
- Retrait du consentement — à tout moment, sans effet rétroactif, via Gestion des consentements
Pour exercer ces droits, contactez privacy@operaflux.fr. Nous répondons dans un délai d'un mois (art. 12.3 RGPD).
7. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, 75007 Paris — www.cnil.fr.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles alignées sur la norme ISO 27001 : chiffrement TLS 1.3 en transit, chiffrement au repos, authentification multi-facteurs disponible, contrôles d'accès par rôle, journalisation des accès, sauvegardes quotidiennes, supervision applicative (healthcheck base de données et cache, métriques Prometheus sur serveurs dédiés).
Les interfaces web et scripts sont servis exclusivement depuis nos serveurs (aucun CDN tiers pour polices, JavaScript ou feuilles de style). Les actifs statiques restent sous notre contrôle d'hébergement OVH en France.
9. Évolution de cette politique
En cas de modification substantielle, nous vous informons par email au moins 30 jours avant l'entrée en vigueur. La date de dernière mise à jour figure en haut de cette page.