Cleavr - Libérez vous des impayés

Politique de Sécurité et de Confidentialité des Données

Version 1.1 - Août 2025

0. Définitions

Pour assurer une compréhension claire, les termes suivants sont définis conformément au RGPD et aux lois applicables sur la protection des données :
- Données Personnelles : Toute information relative à une personne physique identifiée ou identifiable (ex. : nom, email, informations financières).
- Traitement : Toute opération sur des Données Personnelles, automatisée ou non (ex. : collecte, stockage, suppression).
- Incident de Sécurité : Toute violation confirmée entraînant la destruction, perte, altération, divulgation non autorisée ou accès non autorisé aux Données Personnelles (excluant les tentatives mineures sans impact).
- Données Sensibles : Données révélant l'origine raciale/ethnique, opinions politiques, convictions religieuses, données de santé, ou relatives à des infractions pénales.
- Sous-Traitant : Toute entité autorisée par Cleavr à traiter des Données Personnelles.
- Responsable de Traitement : Le client qui détermine les finalités et moyens du traitement.

1. Introduction et Engagement

Cleavr est une solution technologique d’assistance au recouvrement conçue pour les entreprises souhaitant sécuriser leur poste client tout en respectant les plus hauts standards de conformité, de sécurité et de confidentialité. Nous traitons les données de nos clients avec un strict respect des obligations légales, en particulier le Règlement Général sur la Protection des Données (RGPD), et nous nous engageons à une transparence totale sur leur traitement.

1.1 Types de Données Traitées et Bases Légales

Cleavr traite, sur instruction du client, des données personnelles telles que les identités (nom, prénom), coordonnées (adresse, email, téléphone), informations financières (factures, montants dus) et pièces justificatives (comme la carte nationale d'identité via Stripe) des débiteurs. Les bases légales reposent sur l'exécution du contrat avec le client (responsable de traitement) et le respect des obligations légales en matière de recouvrement, en application des principes de minimisation, de limitation des finalités et de proportionnalité.

2. Localisation et Hébergement des Données

Toutes les données traitées par Cleavr sont hébergées sur les infrastructures de notre partenaire Supabase, utilisant des régions AWS situées exclusivement en Union Européenne : eu-west-1 (Irlande), eu-west-3 (Paris) et eu-central-1 (Francfort). Le client peut décider d’une région spécifique pour le stockage et le traitement primaire, sous réserve de conformité aux lois ; Cleavr s'engage à respecter ce choix. Ces régions respectent les exigences de l’Union Européenne en matière de protection des données personnelles. Les infrastructures utilisées sont certifiées conformes aux normes de sécurité les plus strictes (ISO 27001, SOC 2, etc.).

3. Sous-Traitants et Tiers Autorisés

Dans le cadre de nos opérations, nous faisons appel aux sous-traitants suivants :
- Stripe : pour la gestion des paiements, la vérification d'identité et la collecte de pièces justificatives (comme la carte nationale d'identité). Ces données sont directement transmises à Stripe, sans que Cleavr n'y ait accès. Stripe est certifié PCI DSS et conforme au RGPD.

- Brevo : pour l'envoi d'e-mails transactionnels et de notifications. Brevo est établi en France et pleinement conforme au RGPD.

- Vercel : pour l'hébergement et le déploiement de nos applications front-end, offrant une infrastructure scalable et sécurisée conforme au RGPD via son Data Processing Agreement (DPA) pré-signé, avec chiffrement AES-256, certifications ISO 27001 et SOC 2, et absence de transferts hors UE sans clauses contractuelles types.

StackAuth : pour la gestion sécurisée de l'authentification utilisateur, utilisant JWT ou cookies chiffrés, supportant plus de 60 fournisseurs OAuth/SAML, et assurant une conformité RGPD en minimisant la collecte de données sensibles sans stockage permanent des identifiants.

Tous nos sous-traitants sont établis dans l'Union Européenne ou respectent les clauses contractuelles types établies par la Commission Européenne pour garantir un niveau de protection équivalent. Le client accorde une autorisation générale pour ces sous-traitants ; Cleavr notifie tout changement au moins 30 jours à l'avance. Le client peut objecter dans les 5 jours ; en cas de désaccord, Cleavr résout de bonne foi ou permet la terminaison des services affectés. Cleavr reste pleinement responsable des actes de ses sous-traitants. affectés.

4. Sécurité des Données

L'accès aux données est strictement contrôlé via des systèmes d'authentification sécurisés et une gestion des rôles. Seules les personnes autorisées au sein de Cleavr peuvent accéder à certaines catégories de données, selon leur fonction.

Les données sont systématiquement chiffrées :
- En transit, via HTTPS/TLS 1.2+ ;
- Au repos, via AES-256 sur les serveurs de notre hébergeur.
- Un cloisonnement logique entre clients est en place pour empêcher tout accès non autorisé aux données d'autres comptes.
- Un système de monitoring des logs de sécurité et d'alerting est en place pour détecter en temps réel les anomalies, les tentatives d'accès non autorisées ou les incidents potentiels. Les logs sont conservés pendant une période minimale de 6 à 12 mois, conformément aux recommandations de la CNIL, et protégés contre toute altération.

4.1 Authentification et Gestion des Accès Détailée

L'authentification utilise des identifiants uniques et des mots de passe complexes (minimum 12 caractères, incluant majuscules, minuscules, chiffres et caractères spéciaux, avec authentification multi-facteurs - MFA - obligatoire, non basée sur SMS). Les accès sont revus annuellement et révoqués immédiatement en cas de départ ou de changement de rôle. Le Principe du "Least Privilege" est appliqué.

4.2 Sensibilisation et Formation des Employés

Tout le personnel de Cleavr est formé annuellement à la sécurité des données et au RGPD. Une charte informatique interne, signée par chaque employé, définit les règles d'usage (non-partage de mots de passe, reporting d'incidents) et inclut des simulations de phishing pour renforcer la vigilance contre les risques humains.

4.3 Sécurité Physique et des Locaux

Les infrastructures d'hébergement (via Supabase/AWS) incluent des mesures de sécurité physique : alarmes, contrôles d'accès zonés, surveillance vidéo et redondance contre les sinistres (incendie, inondation).

Pour plus d’informations :

- https://docs.aws.amazon.com/fr_fr/whitepapers/latest/aws-overview/security-and-compliance.html

4.4 Mesures contre les Données Sensibles

Aucune Donnée Sensible n'est traitée par défaut, sauf si spécifié par le client. Des mesures supplémentaires comme la pseudonymisation sont appliquées pour minimiser les risques.

5. Durées de Conservation et Suppression des Données

Les données sont conservées uniquement pour la durée nécessaire à la fourniture du service, sur instruction du client. À la fin du contrat ou sur demande, elles sont effacées de manière sécurisée (suppression irréversible, avec confirmation fournie au client). Par défaut, les données actives sont conservées pendant la durée du contrat, et les backups sont retenus pendant 30 jours avant effacement définitif. Une copie peut être fournie sur demande pendant cette période.

6. Sauvegardes et Continuité de Service

Des sauvegardes logiques automatiques et chiffrées sont effectuées quotidiennement afin d’assurer la continuité de service. Ces sauvegardes sont stockées sur des serveurs sécurisés et répliqués, garantissant leur disponibilité en cas de défaillance (cible : 99.99%). Nous réalisons régulièrement des tests de restauration pour garantir l’intégrité et la résilience de notre infrastructure.

7. Conformité Réglementaire (RGPD)

Cleavr agit en qualité de sous-traitant au sens du RGPD. Nous nous engageons à :
- Ne traiter les données que sur instruction documentée du client (responsable de traitement) ;
- Respecter les principes de minimisation, de limitation des finalités et de proportionnalité ;
- Garantir aux utilisateurs leurs droits d’accès, de rectification, d’opposition, de portabilité et d’effacement ;
- Fournir un registre des traitements à jour sur demande ;
- Coopérer pleinement avec les autorités de contrôle compétentes, y compris la CNIL.

Un Délégué à la Protection des Données (DPO) est joignable pour toute demande ou clarification.

7.1 Exercice des Droits des Personnes

Les demandes d'exercice de droits (accès, rectification, etc.) sont transmises au client (responsable de traitement) dans les 72 heures. Cleavr assiste le client pour y répondre, via notre DPO, en fournissant les informations nécessaires de manière sécurisée.

7.2 Gestion des Risques et Audits

Cleavr réalise un recensement des traitements de données et évalue les risques (accès illégitime, perte, modification).

8. Gestion des Incidents de Sécurité

En cas de violation avérée ou suspectée des données personnelles, Cleavr s’engage à :
- Informer dans les meilleurs délais ses clients concernés ;
- Documenter l’incident (date, nature, impact, mesures prises) ;
- Mettre en œuvre immédiatement les actions correctives nécessaires ;
- Informer la CNIL dans les 72 heures si l’incident présente un risque élevé pour les droits et libertés des personnes concernées.

9. Contact Sécurité & DPO

Pour toute question relative à la sécurité, à la confidentialité ou au traitement des données, merci de contacter notre DPO : baptiste.nassoy@cleavr.fr