Politique de confidentialité

1. Qui est le responsable de traitement ?

Le responsable de traitement est :

• Cabinet Abergel
• Adresse : à compléter
• SIREN : à compléter
• Inscrit à l'Ordre des Experts-Comptables
• Contact RGPD / DPO : benjamin.a@cabinetabergel.com

2. Quelles données collectons-nous ?

Utilisateurs du cabinet

Pour l'accès à la plateforme :

• Email professionnel, nom, prénom, photo de profil
• Rôle et permissions
• Logs de connexion (IP, date/heure, user-agent) à des fins de sécurité

Salariés et dirigeants des entreprises clientes

Dans le cadre de nos missions comptables et sociales :

• Identification : nom, prénom, date et lieu de naissance, nationalité, sexe, adresse, téléphone, email
• Numéro de sécurité sociale (NIR) — obligation légale pour la paie
• Données professionnelles : poste, contrat, salaire, heures
• Documents d'identité (CNI, passeport, titre de séjour) pour l'embauche et la LAB-FT
• IBAN pour le versement des salaires et la comptabilité
• Documents médicaux (arrêts de travail) et disciplinaires lorsque nécessaires

Correspondances

Les emails reçus et envoyés depuis les boîtes Gmail des collaborateurs du cabinet sont archivés pour assurer la traçabilité du dossier client.

3. Pour quelles finalités ?

4. Combien de temps conservons-nous vos données ?

• Bulletins de paie : 50 ans (reconstitution de carrière)
• Pièces comptables : 10 ans (Code de commerce)
• Dossiers LAB-FT : 5 ans après fin de relation (art. L561-12 CMF)
• Documents médicaux : 20 ans
• Fiches salariés actifs : durée du contrat + 5 ans
• Emails archivés : 5 ans
• Comptes utilisateurs cabinet : durée du contrat + 3 ans après départ
• Logs de connexion / sécurité : 12 mois maximum

5. Qui a accès à vos données ?

Destinataires internes

Uniquement les collaborateurs du Cabinet Abergel habilités à intervenir sur votre dossier, dans la limite de leur mission. L'accès est géré par rôles et tracé dans des logs d'audit immuables.

Destinataires externes (obligations légales)

• URSSAF, caisses de retraite, mutuelles, prévoyance (DSN)
• DGFiP (déclarations fiscales)
• Tracfin (en cas de déclaration de soupçon LAB-FT)
• Autorités de contrôle de la profession (OEC, H3C)

Sous-traitants techniques

Pour le fonctionnement d'Ela, nous recourons aux sous-traitants suivants, tous encadrés par un contrat de sous-traitance (DPA) conforme à l'article 28 RGPD :

• Google (Irlande/US) — authentification OAuth + API Gmail. Transfert hors UE encadré par Data Privacy Framework + SCC.
• Anthropic (US) — modèle d'IA Claude pour l'assistant ELA. Transfert hors UE encadré par SCC. Nos prompts ne sont pas utilisés pour entraîner les modèles.
• Mistral AI (France) — OCR de pièces d'identité et de factures.
• KANTA (France) — dossiers LAB-FT / KYC.
• Koncile (France) — OCR de factures comptables.
• INSEE / Pappers / Légifrance — services publics français, enrichissement via données publiques.
• Hébergeur : à définir (Clever Cloud / Scaleway / OVHcloud) — infrastructure technique du SaaS, hébergement en France.

6. Où sont stockées vos données ?

L'ensemble des données est hébergé en Union européenne (France) chez à définir (Clever Cloud / Scaleway / OVHcloud). Seuls les traitements d'IA (Claude) et l'API Gmail impliquent un transfert vers les États-Unis, encadré par des garanties contractuelles conformes au RGPD.

7. Quels sont vos droits ?

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants :

• Droit d'accès — obtenir une copie des données vous concernant
• Droit de rectification — corriger vos données inexactes
• Droit à l'effacement ("droit à l'oubli") — sous réserve des obligations légales de conservation
• Droit à la limitation du traitement
• Droit à la portabilité — récupérer vos données dans un format structuré
• Droit d'opposition aux traitements fondés sur l'intérêt légitime
• Droit de retirer votre consentement à tout moment (pour les traitements fondés sur le consentement)
• Droit de définir des directives sur le sort de vos données après décès (loi Informatique & Libertés)

Pour exercer vos droits :

• Si vous êtes utilisateur du cabinet : rendez-vous sur votre espace "Mes données" une fois connecté.
• Si vous êtes salarié ou dirigeant d'une entreprise cliente : contactez-nous à benjamin.a@cabinetabergel.com ou passez par votre employeur.

Nous répondrons dans un délai maximum d'un mois à compter de la réception de votre demande.

8. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la CNIL :

9. Mesures de sécurité

• Chiffrement TLS de toutes les communications
• Authentification forte via Google OAuth (2FA possible)
• Cookies sécurisés (HttpOnly, SameSite, Secure)
• Protection contre les tentatives de brute-force (blocage après 5 tentatives)
• Séparation des environnements dev/prod
• Contrôle d'accès basé sur les rôles (RBAC)
• Journalisation des accès (audit trail)
• Sauvegarde quotidienne de la base de données
• Politique de suppression des logs (12 mois)

10. Cookies

Ela n'utilise aucun cookie de tracking tiers (pas de Google Analytics, Facebook Pixel, Hotjar, etc.). Les seuls cookies déposés sont strictement nécessaires au fonctionnement du service :

• Cookie de session Django (authentification)
• Cookie CSRF (protection contre les attaques cross-site)
• Préférence de thème (clair/sombre) dans le localStorage

Aucun consentement n'est donc requis (art. 82 loi Informatique & Libertés — cookies strictement nécessaires).

11. Modifications de cette politique

Nous pouvons amender cette politique pour refléter des évolutions légales ou techniques. Les utilisateurs sont informés des changements significatifs par email.