Politique de Confidentialité
Conformément au Règlement Général sur la Protection des Données (RGPD — UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée
Dernière mise à jour : 5 mai 2026
1. Responsable de traitement
Le responsable du traitement des données personnelles collectées dans le cadre de l'utilisation de la Plateforme IcosSys est :
IcosSys
📧 admin@icossys.fr
🌐 icossys.com
DPO (Délégué à la Protection des Données) : admin@icossys.fr
Pour toute question relative à la présente politique ou pour exercer vos droits, vous pouvez nous contacter par courriel à admin@icossys.fr. Nous nous engageons à répondre à toute demande dans un délai maximum d'un (1) mois à compter de sa réception. Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr ou par voie postale au 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
2. Données personnelles collectées
Nous collectons les catégories de données personnelles suivantes, uniquement dans la mesure nécessaire aux finalités décrites à l'article 3 :
| Catégorie | Données | Source |
|---|---|---|
| Identité | Nom, prénom, adresse électronique | Utilisateur |
| Authentification | Mot de passe hashé (PBKDF2, SHA-256, 100 000 itérations) | Utilisateur |
| Connexion | Adresse IP (partiellement anonymisée), user-agent, horodatage de connexion | Automatique |
| Sessions | Token de session cryptographique, durée de session | Automatique |
| Consentements | Type de consentement, version, date et heure, adresse IP au moment du consentement | Utilisateur |
| Préférences | Langue (fr/en), thème d'affichage (clair/sombre), style de carte | Utilisateur |
| Audit sécurité | Journal des actions sensibles (connexion, modification de mot de passe, suppression de compte), tentatives de connexion échouées | Automatique |
Nous ne collectons aucune donnée biométrique, géolocalisation précise, opinion politique, croyance religieuse, ni aucune autre donnée sensible au sens de l'article 9 du RGPD.
3. Finalités du traitement
Vos données personnelles sont traitées pour les finalités suivantes, chacune fondée sur une base légale distincte conformément à l'article 6 du RGPD :
Gestion des comptes utilisateurs : création de compte, authentification, gestion des droits d'accès, réinitialisation de mot de passe.
Art. 6(1)(b) — Exécution du contrat
Sécurité de la plateforme : prévention des fraudes, contrôle d'accès non autorisé, journal d'audit, détection d'anomalies et de comportements suspects.
Art. 6(1)(f) — Intérêt légitime (sécurité)
Amélioration du service : analyse des performances, détection de bugs, optimisation de l'expérience utilisateur.
Art. 6(1)(f) — Intérêt légitime (amélioration)
Conformité légale : respect des obligations RGPD, conservation des preuves, réponse aux réclamations, obligations comptables.
Art. 6(1)(c) — Obligation légale
Envoi de courriels transactionnels : confirmation d'inscription, notifications de sécurité, réinitialisation de mot de passe.
Art. 6(1)(b) — Exécution du contrat
Vos données ne sont en aucun cas utilisées pour du profilage publicitaire, de la publicité ciblée, ni cédées à des tiers à des fins commerciales. Aucune donnée n'est vendue.
4. Durée de conservation des données
Les données personnelles sont conservées pour une durée proportionnée à la finalité pour laquelle elles ont été collectées, conformément au principe de minimisation de la conservation (Art. 5(1)(e) du RGPD) :
| Type de donnée | Durée de conservation | Base |
|---|---|---|
| Données de compte | Jusqu'à la suppression du compte par l'utilisateur | Art. 6(1)(b) |
| Sessions actives | 24h (auto-expiration) | Art. 6(1)(f) |
| Journal d'audit | Illimité (traçabilité et sécurité) | Art. 6(1)(f) |
| Consentements | 5 ans après le dernier consentement | Art. 6(1)(a) |
| Tentatives de connexion échouées | 90 jours | Art. 6(1)(f) |
| Demandes d'exercice de droits | 3 ans après le traitement de la demande | Art. 6(1)(c) |
À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible. Les données faisant l'objet d'une obligation légale de conservation (notamment pour des besoins probatoires) pourront être conservées jusqu'à l'expiration du délai de prescription applicable.
5. Vos droits (Articles 12 à 22 du RGPD)
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles. Vous pouvez les exercer directement depuis votre espace client ou par courriel à admin@icossys.fr :
Droit d'accès (Art. 15)
Obtenir la confirmation que vos données sont traitées et une copie de l'intégralité de vos données personnelles. Exercice possible depuis le tableau de bord.
Droit de rectification (Art. 16)
Demander la correction de données inexactes ou la complétion de données incomplètes. Exercice possible depuis le tableau de bord.
Droit à l'effacement « droit à l'oubli » (Art. 17)
Demander la suppression de vos données personnelles dans les cas prévus par le RGPD (données devenues inutiles, retrait du consentement, opposition). La suppression est définitive et irréversible. Exercice possible depuis le tableau de bord.
Droit à la limitation du traitement (Art. 18)
Demander la suspension du traitement de vos données pendant la vérification de l'exactitude des données, ou si le traitement est illicite mais vous préférez la limitation à la suppression.
Droit à la portabilité des données (Art. 20)
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON). Vous pouvez également demander le transfert direct de vos données à un autre responsable de traitement. Exercice possible depuis le tableau de bord.
Droit d'opposition (Art. 21)
Vous opposer au traitement de vos données pour des raisons tenant à votre situation particulière, lorsque le traitement est fondé sur l'intérêt légitime. L'Éditeur cessera le traitement sauf motif légitime impérieux.
Droit de retirer le consentement (Art. 7(3))
Retirer votre consentement à tout moment, sans que cela ne compromette la licéité du traitement effectué avant le retrait. Le retrait entraîne la suppression des données traitées sur la base du consentement.
Droit de définir des directives post-mortem (Art. 40-1 CPI)
Définir des directives relatives à la conservation, l'effacement et la communication de vos données personnelles après votre décès.
Aucun droit n'est absolu. Certaines exceptions légales peuvent s'appliquer. En cas de doute, n'hésitez pas à nous contacter pour obtenir des précisions. Le délai de réponse maximal est d'un (1) mois, pouvant être prolongé de deux (2) mois supplémentaires pour les demandes complexes, auquel cas vous en serez informé dans le premier mois.
6. Mesures techniques et organisationnelles de sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures sont régulièrement réévaluées et mises à jour :
Chiffrement des mots de passe
PBKDF2 avec SHA-256 et 100 000 itérations. Les mots de passe ne sont jamais stockés en clair ni réversibles.
Cookies sécurisés
Authentification via cookie httpOnly, Secure et SameSite=Lax. Le token d'authentification est un jeton cryptographique à 256 bits.
Protection contre les attaques web
Content Security Policy (CSP) niveau 3 avec nonce par requête, protection CSRF, validation stricte des entrées, rate limiting.
Journal d'audit
Enregistrement complet de toutes les actions sensibles (connexion, modification de profil, suppression) avec horodatage et adresse IP.
Sessions sécurisées
Expiration automatique après 24 heures. Un seul appareil connecté à la fois par utilisateur.
Infrastructure certifiée
Hébergement sur Supabase (Amazon Web Services, région UE) et Vercel (région UE), conformes au RGPD et à la certification SOC 2 Type II.
Chiffrement en transit et au repos
Toutes les communications sont chiffrées via TLS 1.3. Les données au repos sont chiffrées par le fournisseur d'infrastructure (AES-256).
Supervision des erreurs
Sentry pour la détection en temps réel des erreurs applicatives. Aucune donnée personnelle n'est transmise à Sentry.
7. Sous-traitants (Art. 28 du RGPD)
Nous recourons aux sous-traitants suivants pour le traitement de vos données. Chaque sous-traitant est lié à l'Éditeur par un contrat de traitement de données conforme au RGPD définissant les finalités, la durée, la nature et le type de données traitées, ainsi que les obligations du sous-traitant :
| Sous-traitant | Service | Localisation |
|---|---|---|
| Supabase Inc. | Hébergement de base de données PostgreSQL | UE (Irlande / AWS eu-west-1) |
| Vercel Inc. | Hébergement d'application web (Edge Functions) | UE |
| Sentry (Functional Software Inc.) | Supervision des erreurs applicatives | UE (Allemagne) |
| Resend Inc. | Envoi de courriels transactionnels | États-Unis (SCC signés) |
Pour Resend Inc. (États-Unis), des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne ont été signées pour encadrer les transferts internationaux de données, conformément à l'article 46 du RGPD. L'Éditeur s'engage à informer les utilisateurs de tout changement de sous-traitant via une mise à jour de la présente politique.
8. Transferts internationaux de données
Vos données personnelles sont principalement traitées et stockées au sein de l'Union européenne. Toutefois, certains sous-traitants peuvent être situés en dehors de l'Union européenne. Dans ce cas, les transferts sont encadrés par :
- Des Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914)
- Le cas échéant, une décision d'adéquation de la Commission européenne concernant le pays destinataire
- Des garanties supplémentaires si nécessaires (mesures de sécurité techniques et organisationnelles)
Vous disposez d'un droit d'information sur les garanties entourant les transferts internationaux. Pour en savoir plus, contactez-nous à admin@icossys.fr.
9. Prise de décision automatisée et profilage (Art. 22 du RGPD)
La Plateforme ne procède à aucune prise de décision automatisée produisant des effets juridiques ou affectant de manière significative les utilisateurs, ni à aucun profilage au sens de l'article 22 du RGPD. Toutes les décisions relatives aux comptes utilisateurs (suspension, résiliation) sont prises manuellement par l'Éditeur ou par ses représentants.
10. Notification de violation de données (Art. 33-34 du RGPD)
En cas de violation de données personnelles susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, l'Éditeur s'engage à notifier la violation à la CNIL dans un délai de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés, les personnes concernées seront informées directement sans retard injustifié. La notification comprendra la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les coordonnées du DPO, les conséquences probables et les mesures prises ou proposées.
11. Données des visiteurs non inscrits
Les visiteurs de la Plateforme qui n'ont pas créé de compte ne sont pas identifiés individuellement. Les seules données collectées sont les adresses IP partiellement anonymisées (les deux derniers octets sont masqués) et les cookies techniques strictement nécessaires au fonctionnement de la Plateforme (voir Politique de Cookies). Aucune donnée d'identification personnelle n'est collectée en dehors de la connexion.
12. Évolution de la politique
La présente Politique de Confidentialité peut être modifiée à tout moment pour tenir compte des évolutions légales, réglementaires ou techniques. Toute modification substantielle sera signalée aux utilisateurs par une notification dans la Plateforme. La date de « dernière mise à jour » en haut de cette page indique la date de la dernière révision. Nous vous encourageons à consulter cette page régulièrement.
Contact
📧 admin@icossys.fr
🌐 icossys.com
CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07