Politique de confidentialité

Dernière mise à jour : à compléter — Version 1.0

À l'attention de l'éditeur : ce document est un modèle à compléter avec les informations spécifiques à votre organisation (raison sociale, coordonnées DPO, hébergeur, etc.). Il est recommandé de faire valider ce document par un juriste spécialisé en droit numérique.

1. Responsable du traitement

[Raison sociale de l'éditeur]
[Adresse]
[Forme juridique, SIREN/SIRET]
Contact : [email de contact]

2. Délégué à la Protection des Données (DPO)

[Nom du DPO ou mention "En cours de désignation"]
Contact DPO : dpo@[domaine]

Si votre organisation n'est pas tenue de désigner un DPO (Article 37 RGPD), indiquer le point de contact pour toute demande relative aux données personnelles.

3. Données collectées et finalités

SherpaPM collecte les données suivantes dans le cadre de son fonctionnement :

Catégorie	Données	Finalité	Base légale	Durée
Authentification	Nom d'utilisateur, rôle	Contrôle d'accès	Exécution contractuelle	Durée du contrat
Journaux d'accès	Adresse IP, user-agent, endpoints appelés	Sécurité, détection d'intrusion	Intérêt légitime	90 jours
Interactions IA	Sessions, taille des messages, modèle utilisé	Traçabilité, qualité de service	Intérêt légitime	30 jours
Observations terrain	Photos, commentaires, localisations	Suivi opérationnel de chantier	Exécution contractuelle	180 jours
Facturation	E-mail, données d'abonnement	Gestion commerciale	Exécution contractuelle	Durée légale comptable (10 ans)

4. Sous-traitants et transferts hors UE

SherpaPM peut faire appel aux sous-traitants suivants :

Hébergeur : [nom et pays de l'hébergeur] — données hébergées en [pays/région]
OpenAI, Inc. (si provider OpenAI activé) — USA — SCC Commission européenne 2021/914 — DPA OpenAI
Anthropic, PBC (si provider Anthropic activé) — USA — SCC — DPA Anthropic
Stripe, Inc. (si abonnement payant) — USA — SCC — DPA Stripe

5. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Droit d'accès (Art. 15) : obtenir une copie de vos données personnelles
Droit de rectification (Art. 16) : corriger des données inexactes
Droit à l'effacement (Art. 17) : demander la suppression de vos données, sous réserve des obligations légales de conservation des journaux d'audit
Droit à la limitation (Art. 18) : limiter le traitement dans certains cas
Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré
Droit d'opposition (Art. 21) : vous opposer à certains traitements

Pour exercer ces droits, contactez : privacy@[domaine]
Délai de réponse : 30 jours (extensible à 3 mois pour les demandes complexes).

Vous pouvez également introduire une réclamation auprès de la CNIL(France) ou de l'autorité de contrôle compétente dans votre pays.

6. Cookies

SherpaPM utilise uniquement des cookies strictement nécessaires au fonctionnement du service (cookie de session sécurisé, jeton CSRF). Aucun cookie de traçage publicitaire ou analytique tiers n'est déposé. Aucun consentement cookie n'est requis pour ces cookies fonctionnels.

7. Sécurité

SherpaPM met en œuvre des mesures techniques et organisationnelles adaptées : HTTPS/TLS obligatoire, cookies Secure; HttpOnly; SameSite=Lax, rate limiting, journalisation des accès, isolation multi-tenant, chiffrement des données en transit.

8. Modifications

La présente politique peut être mise à jour. Toute modification substantielle sera notifiée aux utilisateurs via l'interface de l'application. La version en vigueur est celle publiée sur cette page.