Aller au contenu principal

FAQ Données & Sécurité

Mes données sont-elles sécurisées ?

Oui ! Sécurité de niveau entreprise :

Chiffrement :

Données au repos : chiffrement AES-256 Données en transit : TLS 1.3 (minimum TLS 1.2) Base de données : MongoDB chiffré Sauvegardes : stockage S3 chiffré Téléchargements de fichiers : chiffrés (ENTERPRISE)

Infrastructure :

Hébergement Hetzner (Allemagne, région UE) MongoDB auto-hébergé (conteneur Docker) CDN : Vercel (global, nœuds de périphérie UE) Protection par pare-feu Audits de sécurité réguliers Tests de pénétration (annuels)

Contrôle d'accès :

Exigences de mot de passe fort Authentification à deux facteurs (2FA) — codes de secours stockés en hachage bcrypt Tokens d'invitation : hachés SHA-256 avant stockage Journaux d'accès admin : e-mail opérateur stocké uniquement en hachage SHA-256 Données personnelles de facturation (nom du contact, e-mail, téléphone, numéros TVA/fiscal) exclus des requêtes générales (select: false au niveau base de données) Instantanés de validation VIES (nom de société, adresse) supprimés après 180 jours (RGPD art. 5(1)(e)) SSO/SAML (ENTERPRISE) (Bientôt disponible) Liste blanche d'IP (ENTERPRISE) Gestion des sessions Déconnexion automatique (configurable)

Plus de détails : Paramètres de sécurité →

Où sont stockées mes données ?

Centres de données :

Région principale : Europe (Allemagne)

Pourquoi l'Europe ? Conformité RGPD Résidence des données UE (Hetzner) Faible latence pour les utilisateurs européens Juridiction respectueuse de la vie privée

Infrastructure :

• Hébergement : Hetzner Online GmbH (Allemagne) • Base de données : MongoDB auto-hébergé (UE) • CDN : Vercel (global avec périphérie UE) • E-mail : Tarhely.eu (Hongrie, UE)

Toute l'infrastructure : Localisée dans l'UE (résidence des données) DPA conformes au RGPD signés Audits de sécurité réguliers

Sauvegardes :

Sauvegardes automatiques quotidiennes Rétention 30 jours (PRO) Rétention 90 jours (ENTERPRISE) Stockage géo-redondant (3 régions) Chiffrées au repos Tests de restauration réguliers

CADENSA est-il conforme au RGPD ?

Oui ! Entièrement conforme au RGPD :

Vos droits :

Droit d'accès → Exportez vos données à tout moment → Paramètres → Profil → Exporter les données

Droit de rectification → Modifiez vos données dans l'application → Mettez à jour profil, entrées de temps

Droit à l'effacement (« Droit à l'oubli ») → Supprimez définitivement votre compte → Paramètres → Profil → Supprimer le compte

Droit à la portabilité des données → Exportez au format JSON/CSV → Emportez vos données où vous voulez

Droit d'opposition → Désinscrivez-vous des e-mails marketing → Contrôlez les préférences de notifications

Nos engagements :

Accord de traitement des données (DPA) disponible Protection des données dès la conception Minimisation des données (collecte uniquement ce qui est nécessaire) Traitement basé sur le consentement Notification de violation (dans les 72 heures) Stockage des données UE (Francfort) Audits de conformité réguliers

Gestion des cookies :

Demande de DPA : support@cadensa.io

Quelles données collectez-vous ?

Données que nous collectons :

Données de compte :

Adresse e-mail (requise pour la connexion) Nom (prénom, nom) Mot de passe (chiffré, jamais stocké en clair) Photo de profil (facultatif) Titre, département (facultatif) Numéro de téléphone (facultatif, pour la 2FA)

Données d'utilisation :

Entrées de temps (date, projet, durée, description) Projets et tâches (noms, budgets, paramètres) Paramètres de l'espace de travail Rapports générés Historique de connexion (IP, appareil, localisation) Informations de facturation

Données que nous ne collectons PAS :

Historique de navigation en dehors de CADENSA Frappes de touches ou captures d'écran Fichiers personnels sur votre appareil Données d'autres applications Informations personnelles non nécessaires

Puis-je supprimer mon compte et mes données ?

Oui ! Suppression définitive disponible :

Processus de suppression du compte :

1. Paramètres → Profil → Supprimer le compte
2. Exportez d'abord vos données (recommandé)
3. Saisissez votre mot de passe pour confirmer
4. Tapez « SUPPRIMER » pour confirmer
5. Cliquez sur « Supprimer définitivement le compte »
6. La période de grâce de 7 jours commence

Période de grâce (7 jours) :

Jours 1-6 :
• Compte désactivé (impossible de se connecter)
• Données préservées
• Peut annuler la suppression
• E-mail envoyé avec lien de réactivation

Jour 7 :
• Suppression définitive
• Toutes les données supprimées de la production
• Sauvegardes purgées dans les 30 jours
• Irréversible

Ce qui est supprimé :

Votre compte et profil Toutes les entrées de temps Projets personnels Appartenances aux espaces de travail Paramètres et préférences Historique de connexion Fichiers téléchargés

Ce qui est conservé (obligation légale) :

Conservé pendant 90 jours (conformité légale) :
• Historique des factures (loi comptable)
• Registres de paiement (droit fiscal)
• Journaux d'audit (exigence de sécurité)

Qui peut accéder à mes données ?

Contrôle d'accès :

Votre équipe (au sein de l'espace de travail) :

Accès basé sur les rôles :

Admin : Accès complet à toutes les données Peut voir toutes les entrées de temps Peut modifier les paramètres de l'espace de travail

Responsable : Voir les entrées de temps de l'équipe Gérer les projets assignés Générer des rapports d'équipe Impossible de voir la facturation

Membre : Voir ses propres entrées de temps Voir les projets assignés Impossible de voir les entrées des autres

Observateur : Accès en lecture seule Voir les projets assignés Impossible de suivre le temps

Employés CADENSA :

Équipe support (avec votre permission) : Voir les données pour résoudre les problèmes Uniquement quand vous contactez le support Accès enregistré dans le journal d'audit Sous stricte confidentialité

Tiers :

Nous ne vendons jamais vos données Aucun partenaire publicitaire Aucune exploitation des données

Partage limité (requis pour le service) : • Mollie B.V. : traitement des paiements (Pays-Bas, UE) • Hetzner : infrastructure d'hébergement • Vercel : CDN • Tarhely.eu : livraison d'e-mails • Tous sous des DPA stricts

Quelles certifications avez-vous ?

Certifications de sécurité :

SOC 2 Type II :

Certifié depuis 2025 Audits annuels Critères de confiance : • Sécurité • Disponibilité • Confidentialité • Intégrité du traitement • Vie privée

Demande de rapport : security@cadensa.io

Conformité RGPD :

Résidence des données UE Accord de traitement des données (DPA) Protection des données dès la conception Droit à l'effacement Portabilité des données Processus de notification de violation

ISO 27001 (en cours) :

Prévu : T2 2026

Conformité PCI DSS (via Mollie) :

Mollie B.V. traitement des paiements (certifié PCI DSS Niveau 1) Aucune donnée de carte stockée par CADENSA Paiement sécurisé par redirection (les données de carte ne transitent pas par les serveurs CADENSA) Processeur basé dans l'UE (Pays-Bas) — aucun transfert de données vers les États-Unis pour les paiements

Combien de temps conservez-vous mes données ?

Conservation des données :

Comptes actifs :

Formule FREE :
• 30 derniers jours : accès complet
• Données plus anciennes : lecture seule

Formule PRO :
• 1 an : accès complet
• Données plus anciennes : lecture seule

ENTERPRISE :
• Toutes les données : indéfiniment
• Politiques de conservation personnalisables

Comptes supprimés :

Jour 0 : Compte supprimé
• Période de grâce de 7 jours
• Données préservées

Jour 7 : Suppression définitive
• Données de production supprimées

Jour 37 : Purge complète
• Toutes les sauvegardes purgées
• Complètement irrécupérable

Instantanés de validation VIES (RGPD art. 5(1)(e)) :

Résultats de validation TVA UE (nom de société, adresse issus du VIES) :
• Supprimés après 180 jours à compter de la date de validation
• Suppression automatique par le job de nettoyage hebdomadaire
• La date de validation et le statut de validité sont conservés (sans données personnelles)

Quels prestataires tiers CADENSA utilise-t-il ?

Uniquement des partenaires de confiance :

Analyse et feedback :

Plausible Analytics (plausible.io) • Objectif : Analyse web respectueuse de la vie privée (pages vues) • Région : EU (Estonie — Plausible OÜ) • Base légale : Aucun consentement requis — sans cookie, sans données personnelles • DPA : Non requis

Formbricks (auto-hébergé : surveys.cadensa.io) • Objectif : Sondages NPS et feedbacks in-app • Région : EU — Hetzner Allemagne (auto-hébergé, aucun transfert vers les US) • Base légale : Consentement (catégorie analytics optionnelle) • Chargé uniquement après consentement accordé • DPA : Non requis (auto-hébergé, aucun sous-traitant tiers)

Surveillance :

Sentry (environnement de staging uniquement) • Objectif : Suivi des erreurs en staging/QA • Données : Journaux d'erreurs anonymisés • Non utilisé en production • DPA : Oui

Prochaines étapes

Questions sur la confidentialité ?

Délai de réponse : 48 heures pour les demandes de confidentialité