RGPD

Politique de confidentialité

Conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Informatique et Libertés).

En résumé : nous collectons uniquement les données nécessaires à la fourniture du service. Vos données ne sont jamais vendues, louées, ni utilisées à des fins commerciales ou publicitaires. Vous pouvez à tout moment exercer vos droits d'accès, de rectification, d'effacement ou de portabilité en écrivant à contact@ponsotconseilgestion.com.

1. Responsable de traitement

PONSOT CONSEIL GESTION (SASU au capital de 2 000 €, RCS Aix-en-Provence 909 409 609), Résidence Beausoleil Bâtiment C, 185 Avenue Henri Mauriat, 13100 Aix-en-Provence, représentée par son Président Monsieur Romain PONSOT.

2. Contact et personne en charge des demandes RGPD

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :

Par e-mail : contact@ponsotconseilgestion.com
Par courrier : PONSOT CONSEIL GESTION — Résidence Beausoleil Bâtiment C, 185 Avenue Henri Mauriat, 13100 Aix-en-Provence

La personne en charge du traitement de vos demandes et de la suppression éventuelle de vos données est Monsieur Romain PONSOT. Nous nous engageons à répondre à toute demande dans un délai maximum d'un mois (article 12.3 du RGPD), prolongeable de deux mois en cas de complexité particulière.

3. Distinction des rôles : responsable et sous-traitant

L'application est un logiciel de gestion (CRM) destiné aux professionnels du droit (B2B). PONSOT CONSEIL GESTION agit à deux titres distincts :

En tant que responsable de traitement, pour les données des utilisateurs de l'application (administrateurs et collaborateurs des cabinets abonnés) nécessaires à l'authentification, à la facturation de l'abonnement et à la sécurité du service.
En tant que sous-traitant (au sens de l'article 28 du RGPD), pour les données que les cabinets abonnés enregistrent dans leur espace (contacts, clients, missions, factures, feuilles de temps…). Les cabinets abonnés sont alors responsables de traitement de ces données.

4. Données collectées

4.1 Utilisateurs de l'application (PONSOT = responsable)

Adresse e-mail, nom, prénom, téléphone, fonction, biographie éventuelle.
Mot de passe chiffré (bcrypt, jamais stocké en clair).
Secret de double authentification (TOTP), chiffré en base de données.
Journaux techniques d'activité (connexions, actions importantes sur le compte) pour assurer la sécurité et la traçabilité.
Adresse IP et informations techniques (navigateur, système d'exploitation) temporairement consignées dans les journaux pour la lutte anti-abus (Rack::Attack).

4.2 Données saisies par les cabinets abonnés (PONSOT = sous-traitant)

Contacts et clients : identité, coordonnées, adresse postale, date et lieu de naissance, nationalité, profession, notes libres saisies par le cabinet.
Sociétés clientes : raison sociale, SIREN, SIRET, RCS, TVA intracommunautaire, représentant légal.
Données du cabinet abonné : coordonnées, informations légales, coordonnées bancaires pour la facturation (IBAN, BIC).
Missions, factures, feuilles de temps, actes et débours : description des prestations, montants, dates, pièces jointes.
Snapshots de facturation : certaines factures figent les données client au moment de leur émission (obligation comptable).

5. Finalités et bases légales

Finalité	Base légale (art. 6 RGPD)
Fourniture du service CRM (gestion clients, missions, factures, temps)	Exécution du contrat (art. 6.1.b)
Création et gestion du compte utilisateur, authentification	Exécution du contrat (art. 6.1.b)
Sécurité (double authentification, rate limiting, détection d'intrusion)	Intérêt légitime (art. 6.1.f)
Envoi d'e-mails transactionnels (bienvenue, réinitialisation mot de passe)	Exécution du contrat (art. 6.1.b)
Facturation et comptabilité	Obligation légale (art. 6.1.c - Code de commerce, Code général des impôts)

Aucune donnée n'est utilisée à des fins commerciales, marketing ou publicitaires. Aucune revente ou mise à disposition à des tiers à des fins commerciales n'est effectuée.

6. Destinataires et sous-traitants

Vos données sont traitées par les salariés et prestataires de PONSOT CONSEIL GESTION habilités à en connaître. Elles peuvent être transmises aux sous-traitants techniques suivants, sélectionnés pour leurs garanties de conformité :

Sous-traitant	Finalité	Localisation	Garanties
Heroku, Inc. (Salesforce)	Hébergement de l'application et de la base de données	États-Unis	DPA signé + Clauses Contractuelles Types (décision UE 2021/914) + chiffrement TLS/au repos
Infomaniak Network SA / Cloudmailin	Envoi d'e-mails transactionnels (SMTP)	Suisse	Décision d'adéquation UE + DPA art. 28 RGPD signé
Stripe Payments Europe, Ltd.	Paiement des abonnements	Irlande (UE)	DPA art. 28 RGPD + certification PCI-DSS
Pappers	Enrichissement automatique (SIREN, TVA intracommunautaire)	France (UE)	Données professionnelles publiques

Aucune donnée n'est transmise à des courtiers en données, régies publicitaires ou plateformes d'analyse comportementale.

7. Transferts hors Union européenne

Les seuls transferts hors Union européenne concernent l'hébergement par Heroku (États-Unis). Ces transferts sont encadrés par les Clauses Contractuelles Types adoptées par la Commission européenne (décision d'exécution (UE) 2021/914), complétées par des mesures techniques (chiffrement TLS en transit, chiffrement au repos, contrôle d'accès strict) et organisationnelles. La Suisse (Infomaniak) bénéficie d'une décision d'adéquation et n'est pas considérée comme un transfert à risque.

8. Durées de conservation

Donnée	Durée
Compte utilisateur et données associées	Pendant toute la durée d'utilisation du service, supprimées sur demande de l'utilisateur ou à la résiliation du compte cabinet (sauf obligation légale)
Données CRM (contacts, clients, missions, feuilles de temps)	Conservées tant que le cabinet abonné les utilise ; purgées à la résiliation de son abonnement (sauf archivage légal)
Factures et pièces comptables	10 ans (article L. 123-22 du Code de commerce)
Journaux de connexion et de sécurité	6 mois maximum (recommandation CNIL)
Cookies de session et d'authentification	Voir la politique cookies

9. Vos droits

En application des articles 15 à 22 du RGPD, vous disposez des droits suivants :

Droit d'accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
Droit de rectification : corriger des données inexactes ou incomplètes.
Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données, sous réserve des obligations légales (comptabilité, fiscalité).
Droit à la limitation : restreindre temporairement le traitement.
Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
Droit à la portabilité : récupérer vos données dans un format structuré.
Droit de retirer votre consentement à tout moment, lorsque le traitement est fondé sur celui-ci.
Droit de définir des directives post-mortem sur le sort de vos données (article 85 de la loi Informatique et Libertés).

Pour exercer vos droits, écrivez à contact@ponsotconseilgestion.com ou par courrier à l'adresse du siège. Une pièce justificative d'identité pourra vous être demandée en cas de doute raisonnable sur votre identité. La réponse sera apportée dans un délai d'un mois.

10. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission nationale de l'informatique et des libertés (CNIL) :
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — Téléphone : 01 53 73 22 22 — www.cnil.fr.

11. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour garantir la confidentialité, l'intégrité et la disponibilité de vos données : chiffrement des mots de passe (bcrypt), chiffrement du secret de double authentification, chiffrement des communications (HTTPS / TLS), double authentification optionnelle, limitation des tentatives de connexion, sauvegardes régulières de la base de données PostgreSQL, cloisonnement des environnements, principe du moindre privilège pour les accès administrateurs.

12. Modifications de la politique

Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. La version en vigueur est systématiquement celle publiée à cette adresse. Dernière mise à jour : 20 avril 2026.