L04/ Légal

Politique de confidentialité

Dernière mise à jour : 04/05/2026 · RGPD (UE 2016/679)

1. Identité du responsable de traitement

Le responsable du traitement des données à caractère personnel collectées dans le cadre du Service ProdFlow est :

Sami AMHAND, entrepreneur individuel (Entreprise Individuelle), exploitant sous l'enseigne « ProdFlow ».

Siège social : 93 avenue Teycheney, 33370 Artigues-près-Bordeaux, France
SIRET : 822 428 975 00020 (SIREN 822 428 975)
Code APE/NAF : 6201Z — Programmation informatique
Représenté par : Sami AMHAND, en qualité d'entrepreneur individuel
Contact : privacy@prodflow.fr

2. Délégué à la protection des données (DPO)

Au regard des activités du Service et de l'article 37 du RGPD, la désignation d'un Délégué à la protection des données (DPO) n'est pas obligatoire pour ProdFlow : il ne s'agit pas d'une autorité ou d'un organisme public, les traitements n'impliquent pas un suivi régulier et systématique à grande échelle de personnes concernées au sens du règlement, et il n'est pas procédé au traitement à grande échelle de catégories particulières de données ou de données relatives à des condamnations pénales.

Néanmoins, par bonne pratique et pour faciliter l'exercice de leurs droits, les personnes concernées peuvent contacter directement le référent désigné en charge des questions de protection des données :

Référent : Sami AMHAND, responsable du traitement
Adresse électronique : dpo@prodflow.fr
Adresse postale : 93 avenue Teycheney, 33370 Artigues-près-Bordeaux, France

3. Données collectées

ProdFlow collecte et traite les catégories de données suivantes :

3.1. Données de compte

adresse électronique professionnelle ;
nom et prénom ;
mot de passe (stocké sous forme de hachage cryptographique, jamais en clair) ;
nom de l'organisation ;
rôle au sein de l'organisation.

3.2. Données d'utilisation

espaces de travail (workspaces), projets et tâches créés ;
saisies de temps (time entries), commentaires, fichiers attachés ;
préférences utilisateur ;
historique des actions au sein du Service (audit log).

3.3. Données techniques

adresses IP (anonymisées après une période courte) ;
identifiants de session ;
informations de navigateur et système d'exploitation ;
journaux applicatifs et de sécurité (logs).

3.4. Données de facturation

raison sociale, adresse de facturation, numéro de TVA ;
historique des transactions ;
les données de carte bancaire ne sont jamais stockées par ProdFlow et sont traitées directement par Stripe.

4. Finalités du traitement

Les données sont collectées pour les finalités suivantes :

fournir et exploiter le Service ;
gérer les comptes utilisateurs et les accès ;
assurer la sécurité du Service et lutter contre la fraude ;
assurer le support technique et le service client ;
assurer la facturation et le recouvrement ;
adresser des communications relatives au fonctionnement du Service (notifications transactionnelles) ;
adresser, sous réserve de consentement le cas échéant, des communications relatives à des nouveautés produit ou contenus marketing ;
établir des statistiques d'usage agrégées et anonymisées en vue d'améliorer le Service ;
répondre aux obligations légales applicables.

5. Bases légales

Conformément à l'article 6 du RGPD, les bases légales mobilisées sont :

exécution du contrat : pour la fourniture du Service, la gestion des comptes, le support, la facturation ;
intérêt légitime : pour la sécurité du Service, la prévention de la fraude, l'amélioration du produit, les communications transactionnelles essentielles ;
obligations légales : pour la conservation des factures et la réponse aux réquisitions des autorités compétentes ;
consentement : pour les communications marketing et pour le dépôt de cookies non strictement nécessaires.

6. Durées de conservation

Catégorie de données	Durée de conservation
Données de compte (compte actif)	Durée de l'abonnement
Données de compte (après résiliation)	30 jours pour réversibilité, puis suppression
Données de contenu (workspaces, projets, tâches)	Durée de l'abonnement, suppression sur demande à tout moment
Données de facturation	10 ans (article L.123-22 du Code de commerce)
Logs techniques et de sécurité	12 mois maximum
Adresses IP (en clair)	6 mois, puis anonymisation
Données prospects (marketing)	3 ans à compter du dernier contact

7. Sous-traitants

ProdFlow s'appuie sur les sous-traitants suivants pour la fourniture du Service. Ces sous-traitants présentent des garanties suffisantes au sens de l'article 28 du RGPD et disposent de leurs propres certifications publiques. Ces certifications sont celles des sous-traitants concernés et ne sont pas attribuables à ProdFlow.

Sous-traitant	Rôle	Localisation	Certifications déclarées
Supabase Inc.	Hébergement base de données	UE — eu-west-1 (Irlande)	SOC 2 Type II, RGPD
Railway Corp.	Hébergement backend	Région UE	RGPD, chiffrement au repos
Vercel Inc.	Hébergement frontend	Région UE	SOC 2 Type II, RGPD
OVH SAS	Gestion DNS	France	ISO 27001, ISO 27701, HDS, RGPD
Stripe Payments Europe Ltd	Traitement des paiements	UE (Irlande)	PCI-DSS niveau 1, RGPD
Resend, Inc.	Envoi des emails transactionnels (sous réserve d'activation)	États-Unis (transferts encadrés par les Clauses Contractuelles Types de la Commission européenne)	SOC 2 Type II, RGPD

La liste des sous-traitants peut évoluer. Toute évolution significative sera communiquée aux Clients par courrier électronique ou via le Service.

8. Transferts hors Union européenne

ProdFlow privilégie systématiquement l'hébergement des données au sein de l'Union européenne.

Les sous-traitants Vercel Inc., Railway Corp. et Supabase Inc. sont des sociétés ayant leur siège hors UE (États-Unis et Singapour pour Supabase) mais déploient effectivement les données du Service dans des régions situées au sein de l'Union européenne. À ce titre, les données utilisateurs ne quittent pas l'UE dans le cadre de l'exécution du Service.

L'accès distant ponctuel par leurs équipes techniques (notamment de support), s'il a lieu, est encadré par des clauses contractuelles types (Standard Contractual Clauses — SCC) adoptées par la Commission européenne, et par des mesures supplémentaires (chiffrement au repos et en transit, contrôles d'accès stricts, journalisation).

Les paiements gérés par Stripe le sont depuis l'entité européenne Stripe Payments Europe Ltd ; tout transfert vers Stripe Inc. (US) est encadré par les clauses contractuelles types.

9. Droits des personnes

Conformément aux articles 15 à 22 du RGPD, l'utilisateur dispose des droits suivants sur ses données :

droit d'accès : obtenir confirmation que des données le concernant sont traitées et en obtenir copie ;
droit de rectification : faire rectifier des données inexactes ou incomplètes ;
droit à l'effacement (« droit à l'oubli ») : demander la suppression de ses données, dans les limites permises par la loi ;
droit à la limitation du traitement ;
droit à la portabilité : recevoir ses données dans un format structuré, couramment utilisé et lisible par machine ;
droit d'opposition : s'opposer au traitement, notamment pour les communications marketing ;
droit de retirer son consentement à tout moment, lorsque le traitement est fondé sur le consentement ;
droit de définir des directives relatives au sort de ses données après son décès (article 85 de la loi n° 78-17 modifiée).

10. Comment exercer ses droits

Toute demande relative à l'exercice de ces droits peut être adressée :

par courrier électronique à : dpo@prodflow.fr
par voie postale à : Sami AMHAND — ProdFlow, 93 avenue Teycheney, 33370 Artigues-près-Bordeaux, France (à l'attention du référent données personnelles)

Une copie d'une pièce d'identité pourra être demandée en cas de doute raisonnable sur l'identité du demandeur, conformément à l'article 12 du RGPD.

ProdFlow s'engage à répondre à toute demande dans un délai d'un (1) mois à compter de sa réception, prorogeable de deux (2) mois en cas de demande complexe ou nombreuse.

En cas de réponse insatisfaisante, l'utilisateur dispose du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

en ligne : cnil.fr/fr/plaintes
par courrier : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

11. Sécurité

ProdFlow met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données, notamment :

chiffrement des communications par TLS 1.2 ou supérieur ;
chiffrement des données au repos au niveau de l'hébergeur ;
hachage des mots de passe via algorithme moderne (bcrypt ou argon2), sans stockage en clair ;
authentification des sessions via jetons signés (JWT) à durée de vie limitée ;
protection contre les attaques CSRF, XSS et injection SQL ;
contrôle d'accès basé sur les rôles (RBAC) au sein du Service ;
accès limité aux données par les équipes ProdFlow, sur la base du principe du moindre privilège, avec journalisation ;
sauvegardes régulières et chiffrées ;
supervision des journaux de sécurité.

En cas de violation de données présentant un risque pour les droits et libertés des personnes, ProdFlow notifiera la CNIL dans un délai de 72 heures conformément à l'article 33 du RGPD, et informera les personnes concernées si le risque est élevé.

12. Cookies

Le Service utilise uniquement des cookies strictement nécessaires à son fonctionnement, à savoir :

cookie de session d'authentification ;
cookie de protection contre la falsification de requête (CSRF).

Ces cookies ne nécessitent pas de consentement préalable conformément à l'article 82 de la loi n° 78-17 modifiée et aux lignes directrices de la CNIL.

ProdFlow pourra, à l'avenir, mettre en œuvre des outils de mesure d'audience respectueux de la vie privée (par exemple Plausible Analytics ou PostHog en instance UE) avec anonymisation des adresses IP. Le cas échéant, la présente politique sera mise à jour et les conditions de consentement applicables seront respectées.

13. Mineurs

Le Service est strictement destiné à un usage professionnel B2B. Il n'est pas conçu pour des personnes mineures et ProdFlow ne collecte pas sciemment de données de mineurs. Si un utilisateur estime qu'un mineur a fourni des données via le Service, il est invité à contacter le DPO afin de procéder aux suppressions nécessaires.

14. Modifications de la politique

ProdFlow se réserve le droit de modifier la présente politique de confidentialité afin de l'adapter aux évolutions du Service ou de la réglementation. Toute modification substantielle sera notifiée par courrier électronique aux utilisateurs et fera l'objet d'une mise à jour de la date figurant en tête du présent document.

Ce document est un modèle de démarrage. Il doit être validé par un avocat avant mise en production commerciale.