Politique de confidentialité
Traitement des données personnelles — Règlement (UE) 2016/679 (RGPD) — Dernière mise à jour : 18/04/2026
1. Responsable du traitement
| Responsable de traitement | Jean Bondu |
| Adresse | Dijon |
| Contact données personnelles | privacy@ieple.fr |
2. Données collectées
Données de compte
Lors de la création d'un compte (par un administrateur d'établissement) :
- Nom et prénom
- Adresse email (identifiant de connexion)
- Mot de passe (stocké sous forme hachée bcrypt, non lisible)
- Rôle dans l'établissement (owner, editor, viewer)
- Date de création du compte, date de dernière connexion
Données de double authentification (2FA — optionnel)
Si vous activez la double authentification TOTP dans vos paramètres de sécurité :
- Secret TOTP (clé partagée générée localement, stockée sur nos serveurs)
- Codes de secours à usage unique (stockés sous forme de hachages SHA-256 irréversibles)
- Statut de vérification 2FA par session (drapeau booléen)
Le calcul des codes TOTP est effectué localement par votre application d'authentification (Google Authenticator, Authy, etc.) et par nos serveurs, sans aucun échange de données avec l'éditeur de l'application d'authentification lors de la vérification.
Données de réinitialisation de mot de passe
- Token de réinitialisation (aléatoire, valide 1 heure, supprimé après utilisation)
Données de projet
Les données saisies dans le cadre de l'utilisation du service :
- Projets et tâches (noms, dates, statuts, notes en texte libre)
- Association de tâches à un responsable (champ texte libre)
- Membres des instances (noms, rôles)
- Jours non travaillés de l'établissement
Données techniques
- Adresse IP lors de la connexion (journaux de sécurité, 24 heures glissantes)
- Navigateur et système d'exploitation — user-agent (journaux de sécurité, 24 heures)
- Cookie de session (voir section 6)
Données de synchronisation agenda externe (optionnel)
Si vous activez un flux iCal ou la synchronisation Google Calendar :
- Token secret du flux iCal (généré aléatoirement, stocké en base)
- Token d'accès et de rafraîchissement OAuth 2.0 Google (si sync Google Calendar activée)
- Identifiant de l'agenda Google sélectionné
- Ces données sont supprimées à la révocation de la connexion
Configuration messagerie SMTP (optionnel)
Si vous configurez l'envoi d'emails depuis l'application :
- Paramètres du serveur SMTP (hôte, port, sécurité)
- Identifiants SMTP — le mot de passe est chiffré en AES-256-CBC avant stockage
- Adresse et nom d'expéditeur
3. Finalités et bases légales
| Gestion des comptes et authentification | Exécution du contrat (CGU) — art. 6.1.b RGPD |
| Fonctionnement du service (projets, tâches) | Exécution du contrat (CGU) — art. 6.1.b RGPD |
| Double authentification 2FA | Intérêt légitime (sécurité du compte) — art. 6.1.f RGPD |
| Réinitialisation de mot de passe | Exécution du contrat — art. 6.1.b RGPD |
| Sécurité et journaux de connexion | Intérêt légitime — art. 6.1.f RGPD |
| Envoi d'emails via SMTP configuré | Exécution du contrat — art. 6.1.b RGPD |
| Synchronisation Google Calendar | Consentement explicite — art. 6.1.a RGPD |
| Respect des obligations légales | Obligation légale — art. 6.1.c RGPD |
4. Durée de conservation
| Données de compte actif | Durée de la relation contractuelle |
| Données de compte supprimé | Anonymisation immédiate à la demande |
| Journaux de connexion (IP, user-agent, tentatives) | 24 heures glissantes |
| Token de réinitialisation de mot de passe | 1 heure (supprimé après utilisation ou expiration) |
| Sessions actives | 8 heures (expiration automatique) |
| Secret TOTP et codes de secours | Durée de l'activation — supprimés à la désactivation du 2FA |
| Tokens Google Calendar | Jusqu'à révocation de l'autorisation Google |
| Données de projet | Durée de vie du compte de l'établissement |
5. Destinataires des données
Les données sont accessibles uniquement aux personnes habilitées de votre établissement (selon votre rôle), et à l'éditeur de ieple.fr à des fins de support et de maintenance.
Sous-traitants techniques :
- OVHcloud (hébergement) — serveurs en France — politique OVH
- Google LLC (synchronisation Calendar, optionnelle uniquement) — transfert hors UE couvert par les clauses contractuelles types de la Commission européenne — politique Google
La vérification des codes 2FA TOTP est réalisée entièrement sur nos serveurs. Aucune donnée d'authentification n'est transmise à un tiers lors de la vérification.
Aucune vente, location ou cession de données à des tiers à des fins commerciales.
6. Cookies et stockage local
retro_session |
Cookie de session — authentification et maintien de la connexion (8 h) — strictement nécessaire — exempté de consentement (CNIL) |
retro_prefs_* |
Préférences d'affichage stockées en localStorage — aucune transmission serveur |
Le token CSRF est stocké en sessionStorage (mémoire navigateur, effacé à la fermeture de l'onglet).
ieple.fr n'utilise pas de cookies de traçage publicitaire ou de mesure d'audience tiers.
7. Vos droits (RGPD art. 15-22)
Vous disposez des droits suivants concernant vos données personnelles :
- Droit d'accès — obtenir une copie de vos données
- Droit de rectification — corriger des données inexactes
- Droit à l'effacement — demander la suppression de votre compte et données
- Droit à la portabilité — exporter vos données dans un format structuré
- Droit d'opposition — vous opposer à certains traitements
- Droit de retrait du consentement — révoquer la sync Google Calendar ou désactiver le 2FA à tout moment
Pour exercer ces droits : privacy@ieple.fr ou via notre formulaire de contact. Réponse sous 30 jours conformément au RGPD.
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL.
8. Sécurité des données
- Connexion chiffrée HTTPS (TLS 1.2+) sur l'ensemble du site
- Mots de passe hachés bcrypt (coût 12) — irréversibles
- Mots de passe SMTP chiffrés AES-256-CBC avant stockage
- Double authentification TOTP disponible (optionnelle ou obligatoire selon la politique de l'établissement)
- Codes de secours 2FA stockés sous forme de hachages SHA-256 — non réversibles
- Protection CSRF sur toutes les opérations d'écriture
- Verrouillage de compte après 5 tentatives de connexion échouées (15 minutes)
- Isolation multi-tenant : chaque établissement n'accède qu'à ses propres données
- Hébergement France OVHcloud — infrastructure certifiée ISO 27001
- Sauvegardes automatiques quotidiennes par OVHcloud
9. Modifications de cette politique
Cette politique peut être mise à jour en cas d'évolution du service ou de la réglementation. En cas de modification substantielle, les utilisateurs en seront informés par email ou par une notification dans l'application lors de leur prochaine connexion.