Politique de confidentialité — EquiFreelance

Brouillon (v0). Ce texte est une version initiale, à faire relire par un juriste avant mise en production large échelle.

EquiFreelance (le « service ») est exploité en tant que plateforme SaaS de gestion de prestations équestres et de facturation, destinée aux professionnels indépendants en France. La présente politique décrit comment les données personnelles sont collectées, utilisées et protégées.

1. Responsable du traitement

Le responsable du traitement est l'exploitant d'EquiFreelance. Pour toute question relative à tes données ou à l'exercice de tes droits, contacte : contact@equifreelance.com.

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

Compte tenant : adresse email (identifiant Cognito), mot de passe (haché côté Cognito).
Profil professionnel : prénom, nom, adresse postale, téléphone, email professionnel, SIRET (optionnel), raison sociale (optionnel), délai de paiement.
Clients enregistrés : nom, email, téléphone, adresse, notes. Ces données sont saisies par toi (le tenant) ; tu es responsable de leur exactitude et de leur licéité.
Prestations et paiements : dates, montants, type de prestation, notes, mode de paiement.
Paiements par carte (si activés) : traités par Stripe via Stripe Connect Express. Nous ne stockons jamais les données de carte. Stripe collecte les informations KYC nécessaires à l'ouverture d'un compte connecté (identité, justificatifs, IBAN).
Données techniques : logs serveur, journaux d'accès API, état du service worker PWA. Pas de cookies de suivi tiers.

3. Bases légales

Exécution du contrat : la majorité des traitements (compte, prestations, factures) repose sur l'exécution des conditions générales d'utilisation que tu acceptes à l'inscription.
Obligation légale : conservation des factures pour la durée légale (10 ans en France, article L102B du Livre des procédures fiscales) ; déclaration DAC7/DGFiP pour les transactions encaissées via la plateforme.
Intérêt légitime : sécurité, prévention de la fraude, amélioration du service (mesures internes, jamais partagées).

4. Sous-traitants et transferts

Toutes les données applicatives sont hébergées en région eu-west-3 (Paris, France) sur AWS. Les sous-traitants suivants sont utilisés :

Amazon Web Services EMEA SARL — hébergement (Cognito, Lambda, DynamoDB, S3, CloudFront, SES). DPA AWS : signé.
Stripe Payments Europe Limited — traitement des paiements par carte (si activés). DPA Stripe : accepté lors de l'onboarding Connect.

Aucun transfert hors UE n'est effectué pour les données de prestation. CloudFront sert des ressources statiques (HTML, JS, CSS, images) en périphérie mondiale, sans données personnelles dans le contenu servi.

5. Durée de conservation

Compte actif : tant que ton compte existe.
Compte supprimé : suppression immédiate des données applicatives, sauf les pièces nécessaires aux obligations comptables et fiscales (factures PDF : 10 ans).
Logs techniques : 90 jours.
Données Stripe : régies par les conditions de Stripe et la réglementation des prestataires de services de paiement.

6. Tes droits

Conformément au RGPD, tu disposes des droits d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition. Tu peux :

Accéder à tes données : via GET /me/export (à venir) ou en nous contactant.
Effacer ton compte : via la « zone dangereuse » de ton profil. L'effacement est immédiat et irréversible.
Modifier ton profil : via la page Profil.
Réclamer auprès de la CNIL : si tu estimes que tes droits ne sont pas respectés (cnil.fr).

7. Sécurité

Tous les échanges sont chiffrés (HTTPS/TLS).
Authentification multi-facteurs disponible (à venir).
Isolation stricte par tenant : aucun tenant ne voit les données d'un autre.
Sauvegardes automatiques DynamoDB (point-in-time recovery).

8. Cookies et technologies similaires

EquiFreelance n'utilise pas de cookies de suivi tiers ni d'analyse comportementale. Les seules données stockées localement sont :

Ta session d'authentification (localStorage).
Tes préférences (thème clair/sombre).
Le cache du service worker PWA (pour le mode hors-ligne).

Ces stockages sont strictement nécessaires au fonctionnement du service ; aucun consentement cookie supplémentaire n'est requis (directive ePrivacy, exemption fonctionnelle).

9. Modifications

Cette politique peut évoluer. Les modifications substantielles te seront notifiées par email avec un préavis de 30 jours. La date de dernière mise à jour figure en tête de page.