1. Responsable du traitement
MASITH - Stephane Moreau, 3972 route de Manosque, 04210 Valensole
Contact DPO : contact@stephane-moreau.fr
2. Donnees collectees
Nous collectons les donnees suivantes :
- Donnees d'identification : nom, prenom, email, telephone
- Donnees professionnelles : entreprise, SIRET, fonction, adresse
- Donnees de facturation : coordonnees bancaires (IBAN), adresse de facturation
- Donnees de connexion : adresse IP, logs d'acces, navigateur (duree : 1 an)
3. Finalites du traitement
- Execution du contrat de service (Article 6.1.b RGPD)
- Gestion de la relation client et support
- Facturation et comptabilite (obligation legale, Article 6.1.c)
- Amelioration du service (interet legitime, Article 6.1.f)
- Communication commerciale (avec consentement, Article 6.1.a)
4. Hebergement et souverainete
Vos donnees sont hebergees integralement en France chez OVHcloud (Roubaix).
Aucune donnee ne transite par les Etats-Unis. Aucun service soumis au Cloud Act americain n'est utilise pour le stockage ou le traitement de vos donnees.
L'intelligence artificielle est propulsee par Mistral AI (Paris, France).
5. Durees de conservation
- Donnees clients actifs : duree de la relation + 3 ans
- Donnees de facturation : 10 ans (obligation legale, article L123-22 du Code de commerce)
- Donnees de prospection : 3 ans sans contact
- Logs de connexion : 1 an (obligation legale, LCEN)
- Donnees medicales (AZALMED) : 20 ans (article R1112-7 du Code de la sante publique)
6. Vos droits
Conformement au RGPD, vous disposez des droits suivants :
- Droit d'acces (Article 15) — obtenir une copie de vos donnees
- Droit de rectification (Article 16) — corriger vos donnees
- Droit a l'effacement (Article 17) — demander la suppression de vos donnees
- Droit a la limitation (Article 18) — restreindre le traitement
- Droit a la portabilite (Article 20) — exporter vos donnees (CSV, JSON)
- Droit d'opposition (Article 21) — vous opposer au traitement
Pour exercer ces droits : contact@stephane-moreau.fr ou depuis votre espace client (module RGPD).
Delai de reponse : 30 jours maximum. Reclamation CNIL : www.cnil.fr/plaintes
7. Cookies
AZALPLUS utilise exclusivement des cookies strictement necessaires :
- access_token — authentification (session utilisateur). HttpOnly, Secure, SameSite=Lax.
- csrf_token — protection contre les attaques CSRF. SameSite=Lax.
- portal_session — session portail client. HttpOnly, Secure.
Aucun cookie de tracking, publicitaire ou analytique n'est utilise.
Ces cookies sont exemptes de consentement (recommandation CNIL du 17 septembre 2020, article 82 de la loi Informatique et Libertes).
8. Sous-traitants
- OVHcloud (France) — hebergement serveurs
- Mistral AI (France) — intelligence artificielle
- OVH SMTP (France) — envoi d'emails
Aucun sous-traitant soumis au Cloud Act americain n'est utilise par defaut.
Si un tenant choisit Stripe comme moyen de paiement, il en est informe par une alerte specifique.
9. Securite
- Chiffrement des donnees en transit (TLS 1.3) et au repos (AES-256)
- Authentification forte (Argon2 + JWT + 2FA TOTP)
- Isolation multi-tenant (4 couches de verification)
- Protection WAF contre les injections SQL/XSS
- Sauvegardes quotidiennes chiffrees
- Journalisation complete et inviolable (audit trail)
10. Transferts hors UE
Aucun transfert de donnees personnelles hors de l'Union europeenne n'est effectue par AZALPLUS.
Exception : si le tenant active volontairement un prestataire de paiement americain (Stripe, PayPal), les donnees de paiement transitent par les USA. Le tenant en est informe et doit valider explicitement.