Politique de confidentialité
1. Responsable de traitement
Chaque franchise utilisatrice de Sturi est responsable de traitement au sens du RGPD pour les données de ses utilisateurs, apporteurs d'affaires et clients.
CREAPHI agit en qualité de sous-traitant au sens de l'article 28 du RGPD, en tant qu'éditeur et hébergeur de la solution.
Contact DPO : dpo@creaphi.fr
2. Données collectées
2.1 Données des utilisateurs (salariés des franchises)
- Identité : nom, prénom
- Contact : email professionnel, téléphone
- Données professionnelles : rôle, agence de rattachement
- Authentification : identifiant de connexion, MFA
2.2 Données des apporteurs d'affaires
- Identité : nom, prénom, date de naissance
- Contact : email, téléphone, adresse postale
- Données professionnelles : SIRET, raison sociale (si professionnel)
- Données financières : IBAN, BIC (chiffrés)
2.3 Données des clients finaux
- Nom du client (via les fiches de vente)
- Immatriculation du véhicule
2.4 Données techniques
- Journaux d'audit : actions effectuées, horodatage
- Documents générés : factures, bordereaux, contrats (PDF)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion des commissions et fiches de vente | Exécution du contrat (Art. 6.1.b) |
| Facturation et comptabilité | Obligation légale (Art. 6.1.c) |
| Conservation des pièces comptables (10 ans) | Obligation légale (Art. L.123-22 Code de commerce) |
| Sécurité et audit trail | Intérêt légitime (Art. 6.1.f) |
| Notifications par email | Exécution du contrat (Art. 6.1.b) |
4. Durée de conservation
| Données | Durée |
|---|---|
| Comptes utilisateurs actifs | Durée du contrat |
| Pièces comptables (fiches, factures, commissions) | 10 ans (obligation légale) |
| Données apporteurs inactifs | 10 ans après la dernière affaire |
| Journaux d'audit | 10 ans puis anonymisation automatique |
| Documents S3 (PDF) | Archivage automatique après 90 jours |
Au-delà de 10 ans, les données personnelles sont automatiquement anonymisées par un processus mensuel. Les données anonymisées ne permettent plus d'identifier les personnes concernées.
5. Mesures de sécurité
- Chiffrement au repos (DynamoDB, S3) et en transit (HTTPS/TLS)
- Chiffrement applicatif des IBAN/BIC (clé dédiée, rotation automatique)
- Authentification multi-facteurs (MFA TOTP) configurable par franchise
- Isolation des données par franchise (architecture multi-tenant)
- 4 niveaux de rôles avec permissions granulaires
- Journalisation automatique de toutes les actions (audit trail)
- Masquage des IBAN dans l'interface (4 derniers caractères uniquement)
- Hébergement exclusif en Union Européenne (AWS Paris)
6. Sous-traitants
| Sous-traitant | Service | Localisation |
|---|---|---|
| Amazon Web Services (AWS) | Infrastructure cloud | Paris, France (eu-west-3) |
Aucun transfert de données hors de l'Union Européenne n'est effectué.
7. Vos droits
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles. Disponible directement dans l'application via le menu Paramètres > RGPD.
- Droit de rectification (Art. 16) : corriger des données inexactes.
- Droit à l'effacement (Art. 17) : demander la suppression de vos données. Limitation : les pièces comptables doivent être conservées 10 ans (Art. L.123-22 Code de commerce).
- Droit à la limitation (Art. 18) : geler le traitement de vos données.
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré (JSON).
- Droit d'opposition (Art. 21) : vous opposer au traitement de vos données.
Pour exercer vos droits, contactez votre administrateur de franchise ou écrivez à dpo@creaphi.fr.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL : www.cnil.fr
8. Cookies et monitoring technique
Sturi utilise uniquement des cookies techniques strictement nécessaires au fonctionnement de l'application :
- Cookies d'authentification (session Cognito)
- Cookies de préférences locales (thème, langue)
Aucun cookie publicitaire, de suivi ou d'analyse tiers n'est utilisé. Le consentement n'est donc pas requis (Art. 82 Loi Informatique et Libertés).
Monitoring technique (Real User Monitoring)
Un service de monitoring technique (AWS CloudWatch RUM) collecte de manière anonyme des données de performance et de stabilité de l'application :
- Performances de chargement des pages (Core Web Vitals)
- Erreurs techniques JavaScript
- Type et version du navigateur
Aucune donnée personnelle n'est collectée par ce service. Aucun cookie n'est déposé. Les données sont stockées sur AWS CloudWatch en région Paris (eu-west-3) et conservées 30 jours.
9. Modifications
CREAPHI se réserve le droit de modifier la présente politique de confidentialité. Les utilisateurs seront informés de toute modification substantielle via une notification dans l'application.
Dernière mise à jour : février 2026