Politique de Confidentialité
Dernière mise à jour : avril 2026 — Conforme au RGPD (UE) 2016/679
Article 1 — Responsable du traitement
Le responsable du traitement des données personnelles est :
- Raison sociale : [NOM_SOCIÉTÉ]
- SIRET : [SIRET]
- Siège social : [ADRESSE]
- Email du responsable : [email protected]
Article 2 — Données personnelles collectées
Dans le cadre du fonctionnement du Service, nous collectons les catégories de données suivantes :
Données de l'assistante maternelle (Utilisateur)
- Nom, prénom, adresse email, numéro de téléphone
- Adresse postale
- Numéro d'agrément, numéro de sécurité sociale
- Coordonnées bancaires (IBAN pour les bulletins de paie)
- Numéro Pajemploi employeur
Données des enfants accueillis (mineurs)
- Prénom, date de naissance
- Données de présence (horaires d'arrivée et de départ)
- Informations contractuelles (heures hebdomadaires, tarifs)
- Notes quotidiennes (carnet de liaison), repas, siestes, activités
- Informations médicales (allergies, protocoles d'accueil individualisé)
Données des parents employeurs
- Nom, prénom, adresse email
- Numéro de téléphone
- Adresse postale
- Numéro Pajemploi parent
Données de paiement
- Informations de carte bancaire (traitées exclusivement par Stripe, jamais stockées par AssmatZen)
- Historique des transactions, factures
Données techniques
- Adresse IP, type de navigateur, système d'exploitation
- Données de navigation et journaux d'accès
- Identifiants de session
Article 3 — Base légale du traitement (Art. 6 RGPD)
Chaque traitement de données repose sur une base légale spécifique :
| Finalité | Base légale |
|---|---|
| Création et gestion du compte | Exécution du contrat (Art. 6-1-b) |
| Calcul des salaires et cotisations | Exécution du contrat (Art. 6-1-b) |
| Gestion des abonnements et paiements | Exécution du contrat (Art. 6-1-b) |
| Aide à la déclaration Pajemploi | Exécution du contrat (Art. 6-1-b) |
| Communication avec les parents (portail) | Consentement (Art. 6-1-a) |
| Assistant IA (Zenia) | Consentement (Art. 6-1-a) |
| Envoi de notifications par email | Intérêt légitime (Art. 6-1-f) |
| Amélioration du Service (analytics) | Intérêt légitime (Art. 6-1-f) |
| Respect des obligations légales (facturation) | Obligation légale (Art. 6-1-c) |
| Données de santé des enfants (allergies) | Consentement explicite (Art. 9-2-a) |
Article 4 — Finalités du traitement
Les données personnelles sont collectées pour les finalités suivantes :
- Permettre l'accès et l'utilisation du Service ;
- Gérer les contrats d'accueil, avenants et documents associés ;
- Calculer les salaires, indemnités et cotisations sociales ;
- Faciliter les déclarations Pajemploi ;
- Assurer la communication entre l'assistante maternelle et les parents via le Portail Parents ;
- Générer des documents PDF (contrats, bulletins, avenants) ;
- Fournir une assistance par intelligence artificielle ;
- Gérer les abonnements et les paiements ;
- Envoyer des notifications relatives au Service ;
- Améliorer le Service (analyse d'usage anonymisée) ;
- Respecter les obligations légales et réglementaires.
Les données ne sont jamais utilisées à des fins de prospection commerciale auprès de tiers.
Article 5 — Traitement des données de mineurs
Le Service traite des données relatives à des enfants mineurs dans le cadre strict de l'activité d'accueil de l'assistante maternelle. Ce traitement est nécessaire au fonctionnement du Service et est effectué sous la responsabilité de l'Utilisateur (l'assistante maternelle).
L'Utilisateur s'engage à avoir obtenu le consentement des titulaires de l'autorité parentale avant de saisir les données des enfants dans le Service, conformément à l'article 8 du RGPD et à l'article 45 de la Loi Informatique et Libertés.
Les données des enfants sont traitées avec des mesures de sécurité renforcées et ne sont accessibles qu'à l'assistante maternelle et aux parents concernés via le Portail Parents sécurisé.
Les données de santé (allergies, protocoles d'accueil individualisé) sont considérées comme des données sensibles au sens de l'article 9 du RGPD et font l'objet d'un consentement explicite.
Article 6 — Sous-traitants et destinataires
Pour le fonctionnement du Service, nous faisons appel aux sous-traitants suivants, conformément à l'article 28 du RGPD :
Supabase Inc.
Rôle : Hébergement de la base de données, authentification utilisateurs
Localisation des données : AWS EU-West-1 (Irlande, UE)
Garanties : Chiffrement AES-256 au repos et TLS en transit, Row Level Security (RLS), conformité SOC 2 Type II
OpenAI, L.L.C.
Rôle : Traitement IA pour l'assistant Zenia (génération de texte, résumés)
Localisation : États-Unis
Données transmises : Données contextuelles anonymisées (pas de données nominatives directement identifiantes)
Garanties : Clauses contractuelles types (SCC) UE-US, Data Processing Agreement (DPA)
Stripe Payments Europe, Ltd.
Rôle : Traitement des paiements par carte bancaire
Localisation : Irlande (UE) — Transferts possibles vers les États-Unis
Données transmises : Données de paiement (carte bancaire, adresse de facturation)
Garanties : Certification PCI-DSS Level 1, Clauses contractuelles types (SCC), Data Privacy Framework (DPF)
Vercel Inc.
Rôle : Hébergement de l'application web
Localisation : États-Unis (CDN mondial, nœuds en Europe)
Garanties : Clauses contractuelles types (SCC), Data Processing Agreement (DPA)
Aucune donnée personnelle n'est vendue, louée ou transmise à des tiers à des fins commerciales ou publicitaires.
Article 7 — Transferts de données hors de l'Union Européenne
Certaines données peuvent être transférées vers des pays situés en dehors de l'Espace Économique Européen (EEE), notamment les États-Unis (OpenAI, Vercel).
Ces transferts sont encadrés par les garanties suivantes, conformément aux articles 44 à 49 du RGPD :
- Clauses contractuelles types (SCC) adoptées par la Commission européenne ;
- EU-US Data Privacy Framework (DPF) pour les entreprises certifiées ;
- Mesures complémentaires : chiffrement des données en transit et au repos, minimisation des données transmises.
La base de données principale (Supabase) est hébergée en Union Européenne (AWS Irlande).
Article 8 — Durée de conservation des données
Les données personnelles sont conservées pour la durée strictement nécessaire aux finalités du traitement :
| Type de données | Durée de conservation |
|---|---|
| Données du compte utilisateur | Durée de l'abonnement + 12 mois après résiliation |
| Données des enfants accueillis | Durée du contrat d'accueil + 5 ans (prescription civile) |
| Contrats et avenants | 5 ans après la fin du contrat (prescription civile) |
| Données de paie et bulletins | 5 ans (Code du travail, art. L.3243-4) |
| Factures et données comptables | 10 ans (Code de commerce, art. L.123-22) |
| Données de paiement (Stripe) | 13 mois après la transaction (sécurité bancaire) |
| Journaux de connexion | 12 mois (LCEN, art. 6-II) |
| Données IA (logs Zenia) | 30 jours (puis suppression automatique) |
| Cookies techniques | Durée de la session |
À l'expiration de ces délais, les données sont supprimées définitivement ou anonymisées irréversiblement.
Article 9 — Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :
- Chiffrement : TLS 1.3 pour toutes les communications, AES-256 pour les données au repos ;
- Authentification : Hachage des mots de passe (bcrypt), tokens JWT avec expiration ;
- Contrôle d'accès : Row Level Security (RLS) sur Supabase — chaque utilisateur n'accède qu'à ses propres données ;
- Isolation : Les données de chaque utilisateur sont strictement isolées au niveau de la base de données ;
- Sauvegardes : Sauvegardes automatiques quotidiennes avec rétention de 30 jours ;
- Monitoring : Surveillance continue des accès et alertes en cas d'activité anormale ;
- Mise à jour : Application régulière des correctifs de sécurité.
Article 10 — Vos droits (RGPD)
Conformément au RGPD et à la Loi Informatique et Libertés, vous disposez des droits suivants :
1. Droit d'accès (Art. 15)
Obtenir la confirmation que vos données sont traitées et en obtenir une copie.
2. Droit de rectification (Art. 16)
Faire corriger des données inexactes ou incomplètes.
3. Droit à l'effacement / « droit à l'oubli » (Art. 17)
Demander la suppression de vos données, sous réserve des obligations légales de conservation.
4. Droit à la limitation du traitement (Art. 18)
Demander le gel temporaire du traitement de vos données dans certains cas.
5. Droit à la portabilité (Art. 20)
Recevoir vos données dans un format structuré, lisible par machine, et les transmettre à un autre responsable de traitement.
6. Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données fondé sur l'intérêt légitime ou à des fins de prospection.
7. Droit de retrait du consentement (Art. 7)
Retirer votre consentement à tout moment, sans affecter la licéité du traitement antérieur.
8. Droit de définir des directives post-mortem
Définir des directives relatives à la conservation, l'effacement et la communication de vos données après votre décès (Loi pour une République numérique).
Pour exercer vos droits :
Envoyez un email à [email protected] en précisant votre demande et en joignant un justificatif d'identité si nécessaire.
Nous nous engageons à répondre dans un délai d'un mois (extensible à 3 mois en cas de demande complexe, avec notification).
Droit de réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : www.cnil.fr/fr/plaintes
- Par courrier : CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Article 11 — Cookies
Le Service utilise des cookies strictement nécessaires au fonctionnement technique :
- Cookies de session : Maintien de la connexion utilisateur ;
- Cookies de préférences : Thème (clair/sombre), langue.
Ces cookies sont exemptés de consentement conformément à l'article 82 de la Loi Informatique et Libertés (cookies strictement nécessaires).
Le Service n'utilise aucun cookie publicitaire, de tracking ou d'analyse tiers (pas de Google Analytics, Facebook Pixel, etc.).
Si des cookies analytiques devaient être mis en place ultérieurement, un bandeau de consentement conforme aux recommandations de la CNIL serait implémenté préalablement.
Article 12 — Décisions automatisées et profilage
Conformément à l'article 22 du RGPD, nous vous informons que le Service utilise des calculs automatisés (salaires, cotisations, congés payés, indemnités) et un assistant IA (Zenia).
Toutefois, aucune décision produisant des effets juridiques ou affectant de manière significative l'Utilisateur n'est prise de manière exclusivement automatisée. Tous les résultats générés sont soumis à la vérification et à la validation de l'Utilisateur avant toute utilisation.
L'Utilisateur conserve à tout moment le contrôle final sur les montants, déclarations et documents produits par le Service. Les calculs sont fournis à titre indicatif uniquement.
Article 13 — Analyse d'impact sur la protection des données
Conformément à l'article 35 du RGPD, compte tenu de la nature des données traitées (données de mineurs, données de santé, données financières), une analyse d'impact relative à la protection des données (AIPD/DPIA) a été réalisée.
Cette analyse a permis d'identifier les risques potentiels et de mettre en œuvre les mesures de sécurité appropriées décrites à l'article 9 des présentes. Vous pouvez consulter le détail de cette analyse sur notre page dédiée : Analyse d'Impact (DPIA).
L'AIPD est tenue à jour et révisée en cas de modification substantielle du traitement.
Article 14 — Notification en cas de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées :
- La CNIL sera notifiée dans un délai de 72 heures après la prise de connaissance de la violation ;
- Les personnes concernées seront informées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés ;
- Un registre des violations de données est tenu à jour conformément aux obligations réglementaires.
La notification inclura : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables, et les mesures prises pour y remédier.
Article 15 — Modification de la politique
La présente politique peut être modifiée pour refléter les évolutions du Service ou de la réglementation.
En cas de modification substantielle, vous serez informé(e) par email et/ou par notification dans l'application au moins 30 jours avant l'entrée en vigueur de la nouvelle version.
La date de dernière mise à jour est indiquée en haut du document. L'utilisation continue du Service après notification vaut acceptation de la politique modifiée.
Article 16 — Contact
Pour toute question relative à la protection de vos données :
- Référent DPO : [email protected]
- Support : [email protected]
- Courrier : [NOM_SOCIÉTÉ] — Service Protection des Données — [ADRESSE]
© 2026 AssmatZen — Tous droits réservés