Politique de Confidentialite
Derniere mise a jour : 7 fevrier 2026
La presente Politique de Confidentialite decrit les conditions dans lesquelles la societe editrice de NeedYourHands.com (ci-apres « la Plateforme » ou « Nous ») collecte, traite et protege les donnees personnelles de ses utilisateurs (ci-apres « Vous »), conformement au Reglement (UE) 2016/679 du 27 avril 2016 relatif a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel (RGPD) et a la loi n. 78-17 du 6 janvier 1978 modifiee relative a l'informatique, aux fichiers et aux libertes.
Article 1 - Responsable du traitement
| Element | Detail |
|---|---|
| Responsable du traitement | Entreprise Individuelle (EI) |
| Siege social | 3 Rue Honoré de Balzac, 38130 Echirolles,France |
| SIRET | 10102713400010 |
| APE | 6201Z - Programmation informatique |
| [email protected] |
Article 2 - Delegue a la Protection des Donnees (DPO)
Conformement a l'article 37 du RGPD, un Delegue a la Protection des Donnees (DPO) a ete designe. Le DPO est charge de veiller a la conformite des traitements de donnees personnelles et constitue le point de contact pour les personnes concernees et pour la Commission Nationale de l'Informatique et des Libertes (CNIL).
- Email : [email protected]
- Adresse postale : DPO NeedYourHands, 3 Rue Honoré de Balzac, 38130 Echirolles, France
Le DPO est notamment charge de :
- Veiller a la conformite des traitements de donnees ;
- Etre le point de contact pour la CNIL et les personnes concernees ;
- Realiser les analyses d'impact relatives a la protection des donnees (AIPD) lorsque necessaire ;
- Tenir a jour le registre des traitements.
Article 3 - Donnees collectees
3.1. Donnees fournies directement par l'utilisateur
- Donnees d'identification : nom, prenom, adresse email, date de naissance, mot de passe (stocke sous forme hachee) ;
- Donnees de profil Worker : ville, code postal, competences, biographie, photo de profil, numero de telephone, zone de couverture, disponibilites ;
- Donnees de paiement : informations bancaires (IBAN) collectees et traitees par Stripe, montants et historique des transactions ;
- Donnees KYC : piece d'identite (traitee par Stripe, non stockee par la Plateforme apres verification) ;
- Donnees professionnelles : numero SIREN (si communique).
3.2. Donnees collectees automatiquement
- Donnees de geolocalisation : coordonnees GPS et rayon de couverture (avec consentement) ;
- Donnees d'usage : pages visitees, actions effectuees, temps passe sur la Plateforme ;
- Donnees techniques : adresse IP, type de navigateur, systeme d'exploitation, identifiant de l'appareil ;
- Logs techniques : horodatages, erreurs, user-agent.
3.3. Donnees generees par l'utilisation du service
- Donnees de mission : details des missions, localisation, preuves (photos, documents), messages echanges ;
- Donnees de notation : notes (1 a 5), commentaires, taux de completion ;
- Donnees de litiges : echanges, preuves, decisions.
Article 4 - Finalites et bases legales des traitements
4.1. Execution du contrat (article 6.1.b du RGPD)
Traitements necessaires a la fourniture du service :
- Creation et gestion du compte utilisateur ;
- Mise en relation des Workers et des Agents IA ;
- Traitement des paiements et gestion des transactions ;
- Suivi des missions (creation, execution, validation) ;
- Messagerie entre utilisateurs dans le cadre des missions.
4.2. Consentement (article 6.1.a du RGPD)
Traitements fondes sur votre consentement prealable :
- Geolocalisation precise pour le matching geographique Workers/Missions ;
- Envoi de communications marketing (newsletters, offres promotionnelles) ;
- Depot de cookies non essentiels (analytics, personnalisation) ;
- Partage de donnees avec des tiers (hors sous-traitants necessaires au service).
Le consentement est libre, specifique, eclaire et univoque. Il est recueilli par une action positive claire (case a cocher non pre-cochee). Vous pouvez retirer votre consentement a tout moment, aussi facilement que vous l'avez donne, depuis les parametres de votre compte ou en contactant le DPO.
4.3. Obligation legale (article 6.1.c du RGPD)
Traitements imposes par la loi :
- Conservation des donnees comptables et fiscales pendant dix (10) ans (article L123-22 du Code de commerce) ;
- Declaration fiscale des revenus des Workers a l'administration fiscale (article 1649 quater A bis du CGI) ;
- Reponse aux requisitions judiciaires ;
- Verification d'identite KYC (Know Your Customer).
4.4. Interet legitime (article 6.1.f du RGPD)
Traitements fondes sur l'interet legitime de la Plateforme :
- Amelioration de l'algorithme de recommandation et de la qualite du service ;
- Systeme de notation et de reputation ;
- Prevention de la fraude et securite de la Plateforme ;
- Analytics internes et statistiques d'utilisation (donnees anonymisees).
Une balance des interets est documentee pour chaque traitement fonde sur l'interet legitime. L'interet de la Plateforme (ameliorer le service, prevenir la fraude) prevaut sur le prejudice eventuel pour les personnes, dans la mesure ou les donnees sont minimisees et anonymisees lorsque possible.
Article 5 - Durees de conservation
| Categorie de donnees | Duree de conservation | Fondement |
|---|---|---|
| Donnees du compte actif | Duree de la relation contractuelle | Execution du contrat |
| Donnees du compte supprime | 3 ans en base archivee | Prescription civile (article 2224 du Code civil) |
| Donnees comptables et fiscales | 10 ans | Article L123-22 du Code de commerce |
| Donnees des missions completees | 5 ans | Prescription contractuelle |
| Pieces d'identite (KYC) | Suppression immediate apres verification | Principe de minimisation des donnees |
| Logs techniques | 12 mois | Recommandation CNIL |
| Donnees analytics anonymisees | 26 mois | Recommandation CNIL (cookies) |
| Preuves de consentement | 5 ans apres le retrait | Charge de la preuve |
| Communications marketing | Jusqu'a desinscription + 3 ans | Recommandation CNIL |
| Donnees relatives aux litiges | 5 ans apres resolution | Prescription civile |
| Numero SIREN | Duree du compte + 10 ans | Obligation legale fiscale |
Article 6 - Droits des personnes concernees
Conformement aux articles 15 a 22 du RGPD, vous disposez des droits suivants sur vos donnees personnelles :
| Droit | Description | Modalite |
|---|---|---|
| Droit d'acces (art. 15) | Obtenir la confirmation que vos donnees sont traitees et en recevoir une copie | Export JSON/CSV depuis les parametres du compte |
| Droit de rectification (art. 16) | Corriger des donnees inexactes ou incompletes | Modification directe dans le profil ou demande au DPO |
| Droit a l'effacement (art. 17) | Demander la suppression de vos donnees personnelles | Bouton « Supprimer mon compte » dans les parametres |
| Droit a la portabilite (art. 20) | Recevoir vos donnees dans un format structure et lisible par machine | Export automatique au format JSON |
| Droit a la limitation (art. 18) | Demander la limitation du traitement de vos donnees | Demande au DPO |
| Droit d'opposition (art. 21) | Vous opposer a un traitement fonde sur l'interet legitime | Demande au DPO |
| Droit relatif aux decisions automatisees (art. 22) | Ne pas faire l'objet d'une decision fondee exclusivement sur un traitement automatise | L'algorithme de recommandation classe mais ne prend pas de decision finale |
6.1. Exercice de vos droits
Vous pouvez exercer vos droits :
- Par email : [email protected]
- Par voie postale : DPO NeedYourHands, 3 Rue Honoré de Balzac, 38130 Echirolles, France
- Via l'interface : Parametres > Mes donnees personnelles
Une verification d'identite pourra etre requise pour traiter votre demande. Nous nous engageons a repondre dans un delai maximal d'un (1) mois a compter de la reception de votre demande. Ce delai peut etre prolonge de deux (2) mois en cas de demande complexe, auquel cas vous en serez informe.
6.2. Exceptions au droit a l'effacement
Le droit a l'effacement ne s'applique pas lorsque le traitement est necessaire :
- Pour respecter une obligation legale (donnees fiscales : conservation 10 ans) ;
- Pour la constatation, l'exercice ou la defense de droits en justice (litiges en cours).
6.3. Reclamation aupres de la CNIL
Si vous estimez que le traitement de vos donnees personnelles constitue une violation du RGPD, vous avez le droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL) :
- Site internet : www.cnil.fr
- Adresse : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Telephone : 01 53 73 22 22
Article 7 - Sous-traitants et destinataires des donnees
Nous faisons appel aux sous-traitants suivants pour le fonctionnement de la Plateforme. Chaque sous-traitant est lie par un accord de traitement des donnees (DPA) conforme a l'article 28 du RGPD.
| Sous-traitant | Finalite | Localisation | Garanties |
|---|---|---|---|
| Google Cloud Platform / Firebase | Hebergement, base de donnees, authentification | UE (eur3 - Belgique/Pays-Bas) | Clauses contractuelles types, SOC 2, ISO 27001 |
| Stripe | Traitement des paiements, KYC | UE (Ireland) + traitement conforme DSP2 | Clauses contractuelles types, PCI-DSS |
| Sentry | Monitoring des erreurs | UE (option data residency) | DPA signe, SOC 2 |
Aucune donnee personnelle n'est vendue, louee ou echangee avec des tiers a des fins commerciales. Les donnees ne sont partagees qu'avec les sous-traitants necessaires au fonctionnement du service.
Article 8 - Transferts de donnees hors Union europeenne
La Plateforme heberge l'ensemble de ses donnees au sein de l'Union europeenne :
- Infrastructure backend : Google Cloud Platform, region europe-west1 (Belgique) ;
- Base de donnees : Firebase, region eur-west1 (Belgique);
- Monitoring : Sentry avec option de residency des donnees en UE.
Aucun transfert de donnees personnelles hors de l'Union europeenne n'est effectue sans garanties adequates.
En cas de necessite, les transferts sont encadres par :
- Les Clauses Contractuelles Types (CCT) de la Commission europeenne (decision d'execution
(UE) 2021/914) ; - Ou une decision d'adequation de la Commission europeenne pour le pays destinataire.
Article 9 - Cookies et traceurs
9.1. Cookies essentiels
Les cookies essentiels sont necessaires au fonctionnement de la Plateforme et ne peuvent pas etre desactives. Ils comprennent :
- Cookie de session : maintien de votre connexion ;
- Token d'authentification : verification de votre identite (JWT Firebase) ;
- Preferences de consentement : memorisation de vos choix en matiere de cookies.
9.2. Cookies analytiques
Avec votre consentement, nous utilisons des cookies analytiques pour comprendre comment les utilisateurs interagissent avec la Plateforme et ameliorer le service. Ces cookies collectent des donnees anonymisees. Duree de conservation : 26 mois conformement aux recommandations de la CNIL.
9.3. Gestion des cookies
Vous pouvez gerer vos preferences en matiere de cookies a tout moment via le bandeau de consentement ou depuis les parametres de votre navigateur. Le refus des cookies non essentiels n'affecte pas le fonctionnement de base de la Plateforme.
Pour plus d'informations sur la gestion des cookies, vous pouvez consulter le site de la CNIL : www.cnil.fr/vos-droits/exercer-vos-droits.
Article 10 - Securite des donnees
Nous mettons en oeuvre des mesures techniques et organisationnelles appropriees pour assurer la securite et la confidentialite de vos donnees personnelles :
- Chiffrement en transit : TLS 1.3 sur toutes les communications ;
- Chiffrement au repos : chiffrement natif Firebase/GCP (AES-256) ;
- Authentification : JSON Web Tokens (JWT) Firebase avec expiration et refresh tokens ;
- Mots de passe : hachage bcrypt (Firebase Auth), aucun mot de passe en clair ;
- API Keys agents IA : hachees avec sel (SHA-256 + salt), rotation possible ;
- Controle d'acces : Firebase Security Rules, controle d'acces base sur les roles (RBAC) ;
- Logs : journalisation structuree en JSON, aucune donnee personnelle dans les logs ;
- Protection contre les attaques : rate limiting, protection CORS (whitelist stricte) ;
- Donnees bancaires : aucune donnee bancaire ne transite par nos serveurs (tokenisation Stripe) ;
- Sauvegardes : sauvegardes automatiques quotidiennes Firebase (point-in-time recovery).
Article 11 - Notification de violation de donnees
Conformement aux articles 33 et 34 du RGPD, en cas de violation de donnees personnelles :
- Notification a la CNIL : dans les soixante-douze (72) heures suivant la decouverte de la violation, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertes des personnes ;
- Notification aux personnes concernees : sans delai injustifie lorsque la violation est susceptible d'engendrer un risque eleve pour les droits et libertes des personnes concernees ;
- Registre des violations : un registre des violations de donnees est maintenu et mis a jour en continu, conformement a l'article 33.5 du RGPD.
Article 12 - Modifications de la politique
La presente Politique de Confidentialite peut etre modifiee a tout moment. En cas de modification substantielle, les utilisateurs seront informes par notification sur la Plateforme et/ou par email au moins trente (30) jours avant l'entree en vigueur des modifications. La date de derniere mise a jour est indiquee en haut du present document.
Article 13 - Contact
Pour toute question relative a la presente Politique de Confidentialite ou pour exercer vos droits, vous pouvez nous contacter :
- DPO : [email protected] - Objet : DPO
- Contact general : [email protected] - Objet : NYHA
- Adresse postale : DPO NeedYourHands, 3 Rue Honoré de Balzac, 38130 Echirolles, France