Retour à la connexion

Politique de confidentialite

1. Responsable de traitement

Chaque franchise utilisatrice de Sturi est responsable de traitement au sens du RGPD pour les donnees de ses utilisateurs, apporteurs d'affaires et clients.

CREAPHI agit en qualite de sous-traitant au sens de l'article 28 du RGPD, en tant qu'editeur et hebergeur de la solution.

Contact DPO : dpo@creaphi.fr

2. Donnees collectees

2.1 Donnees des utilisateurs (salaries des franchises)

  • Identite : nom, prenom
  • Contact : email professionnel, telephone
  • Donnees professionnelles : role, agence de rattachement
  • Authentification : identifiant de connexion, MFA

2.2 Donnees des apporteurs d'affaires

  • Identite : nom, prenom, date de naissance
  • Contact : email, telephone, adresse postale
  • Donnees professionnelles : SIRET, raison sociale (si professionnel)
  • Donnees financieres : IBAN, BIC (chiffrees avec AWS KMS)

2.3 Donnees des clients finaux

  • Nom du client (via les fiches de vente)
  • Immatriculation du vehicule

2.4 Donnees techniques

  • Journaux d'audit : actions effectuees, horodatage
  • Documents generes : factures, bordereaux, contrats (PDF)

3. Finalites et bases legales

FinaliteBase legale
Gestion des commissions et fiches de venteExecution du contrat (Art. 6.1.b)
Facturation et comptabiliteObligation legale (Art. 6.1.c)
Conservation des pieces comptables (10 ans)Obligation legale (Art. L.123-22 Code de commerce)
Securite et audit trailInteret legitime (Art. 6.1.f)
Notifications par emailExecution du contrat (Art. 6.1.b)

4. Duree de conservation

DonneesDuree
Comptes utilisateurs actifsDuree du contrat
Pieces comptables (fiches, factures, commissions)10 ans (obligation legale)
Donnees apporteurs inactifs10 ans apres la derniere affaire
Journaux d'audit10 ans puis anonymisation automatique
Documents S3 (PDF)Archivage automatique apres 90 jours

Au-dela de 10 ans, les donnees personnelles sont automatiquement anonymisees par un processus mensuel. Les donnees anonymisees ne permettent plus d'identifier les personnes concernees.

5. Mesures de securite

  • Chiffrement au repos (DynamoDB, S3) et en transit (HTTPS/TLS)
  • Chiffrement applicatif des IBAN/BIC avec AWS KMS (cle dediee, rotation automatique)
  • Authentification multi-facteurs (MFA TOTP) configurable par franchise
  • Isolation des donnees par franchise (architecture multi-tenant)
  • 4 niveaux de roles avec permissions granulaires
  • Journalisation automatique de toutes les actions (audit trail)
  • Masquage des IBAN dans l'interface (4 derniers caracteres uniquement)
  • Hebergement exclusif en Union Europeenne (AWS Paris)

6. Sous-traitants

Sous-traitantServiceLocalisation
Amazon Web Services (AWS)Infrastructure cloudParis, France (eu-west-3)

Aucun transfert de donnees hors de l'Union Europeenne n'est effectue.

7. Vos droits

Conformement au RGPD, vous disposez des droits suivants sur vos donnees personnelles :

  • Droit d'acces (Art. 15) : obtenir une copie de vos donnees personnelles. Disponible directement dans l'application via le menu Parametres > RGPD.
  • Droit de rectification (Art. 16) : corriger des donnees inexactes.
  • Droit a l'effacement (Art. 17) : demander la suppression de vos donnees. Limitation : les pieces comptables doivent etre conservees 10 ans (Art. L.123-22 Code de commerce).
  • Droit a la limitation (Art. 18) : geler le traitement de vos donnees.
  • Droit a la portabilite (Art. 20) : recevoir vos donnees dans un format structure (JSON).
  • Droit d'opposition (Art. 21) : vous opposer au traitement de vos donnees.

Pour exercer vos droits, contactez votre administrateur de franchise ou ecrivez a dpo@creaphi.fr.

Vous disposez egalement du droit d'introduire une reclamation aupres de la CNIL : www.cnil.fr

8. Cookies et monitoring technique

Sturi utilise uniquement des cookies techniques strictement necessaires au fonctionnement de l'application :

  • Cookies d'authentification (session Cognito)
  • Cookies de preferences locales (theme, langue)

Aucun cookie publicitaire, de suivi ou d'analyse tiers n'est utilise. Le consentement n'est donc pas requis (Art. 82 Loi Informatique et Libertes).

Monitoring technique (Real User Monitoring)

Un service de monitoring technique (AWS CloudWatch RUM) collecte de maniere anonyme des donnees de performance et de stabilite de l'application :

  • Performances de chargement des pages (Core Web Vitals)
  • Erreurs techniques JavaScript
  • Type et version du navigateur

Aucune donnee personnelle n'est collectee par ce service. Aucun cookie n'est depose. Les donnees sont stockees sur AWS CloudWatch en region Paris (eu-west-3) et conservees 30 jours.

9. Modifications

CREAPHI se reserve le droit de modifier la presente politique de confidentialite. Les utilisateurs seront informes de toute modification substantielle via une notification dans l'application.

Derniere mise a jour : fevrier 2026