Politique de confidentialité

Dernière mise à jour : 15/05/2026

La présente politique a pour objet d'informer les utilisateurs de FireProcess sur la collecte et le traitement de leurs données personnelles, conformément au Règlement Général sur la Protection des Données (UE) 2016/679 (« RGPD ») et à la loi française « Informatique et Libertés » modifiée.

1. Responsable du traitement

FPH — SARL à associé unique (EURL)
2 rue percheronne, 28000 Chartres, France
RCS Chartres 932 293 129 — SIRET 93229312900015
Représentant légal : François Petit, gérant
Contact général : contact@fireprocess.com

2. Délégué à la protection des données (DPO)

FPH n'est pas légalement tenue de désigner un DPO au sens de l'article 37 du RGPD. Toutefois, la société a désigné un point de contact dédié « protection des données » pour traiter toute demande relative au traitement des données personnelles :

Contact protection des données : contact@fireprocess.com
Représentant : François Petit, gérant

3. Rôle de FireProcess (responsable / sous-traitant)

FPH agit en qualité de :

  • Responsable de traitement pour les données des utilisateurs ayant créé un compte sur FireProcess (création de compte, facturation, authentification, support, etc.) ;
  • Sous-traitant au sens de l'article 28 du RGPD pour les données saisies par ses utilisateurs dans la plateforme (contacts, modèles de process, intervenants notifiés, contenu des étapes). Dans ce cas, l'utilisateur (le client professionnel) reste le responsable de traitement.

Un accord de sous-traitance (DPA) est consultable et téléchargeable depuis votre espace personnel (/app/dpa), ou disponible sur demande à l'adresse contact@fireprocess.com.

4. Données collectées

4.1 Données fournies par l'utilisateur

  • Lors de l'inscription : email, prénom, nom (facultatif)
  • Profil utilisateur : téléphone (facultatif), photo de profil (facultatif), langue préférée, préférences de notifications
  • Contacts : noms, emails et téléphones des contacts ajoutés par l'utilisateur
  • Contenu créé : modèles de process, process lancés, photos, signatures, saisies textuelles
  • Données de facturation : raison sociale, adresse, numéro de TVA (pour les achats payants)
  • Connexion via Google : identifiant Google (« sub »), email vérifié, prénom, nom, photo de profil, si l'utilisateur choisit la connexion OAuth Google

4.2 Données collectées automatiquement

  • Adresse IP de connexion
  • Type d'appareil et navigateur (User-Agent)
  • Dates et heures de connexion
  • Pages consultées sur la plateforme (logs techniques)
  • Événements applicatifs (lancement de process, validation d'étape, etc.) pour les besoins du service et le débogage

4.3 Données collectées par des tiers

Les données de paiement (numéro de carte, cryptogramme, date d'expiration) sont collectées et traitées directement par Stripe Payments Europe, Ltd. et ne sont jamais stockées sur les serveurs de FireProcess.

5. Finalités du traitement et bases légales

Finalité Base légale
Authentification et accès au service Exécution du contrat (art. 6.1.b)
Délivrance du service (notifications aux intervenants par email/SMS) Exécution du contrat (art. 6.1.b)
Facturation et obligations comptables Obligation légale (art. 6.1.c)
Sécurité du service et lutte contre les abus Intérêt légitime (art. 6.1.f)
Information des utilisateurs sur les évolutions importantes Intérêt légitime (art. 6.1.f)
Statistiques d'usage agrégées et anonymisées Intérêt légitime (art. 6.1.f)
Newsletters et communications commerciales Consentement (art. 6.1.a) — opt-in explicite

6. Destinataires des données

Vos données sont accessibles à :

  • Les équipes de FPH dans le strict cadre de leurs missions ;
  • Nos sous-traitants techniques listés au § 7 ci-après ;
  • Les autorités administratives ou judiciaires sur réquisition légale uniquement.

Vos données ne sont jamais vendues, louées ou cédées à des tiers à des fins commerciales.

7. Sous-traitants

Sous-traitant Finalité Localisation
OVH Hébergement web et base de données France (UE)
Amazon Web Services — SES Envoi des emails transactionnels (magic link, notifications, factures) UE (région eu-west-3, Paris)
Stripe Payments Europe, Ltd. (SEPE) Paiement en ligne par carte bancaire et facturation Irlande (UE)
SMS Box Envoi des SMS aux intervenants France (UE)
Google (LLC / Ireland Ltd.) Authentification OAuth (uniquement si l'utilisateur choisit ce mode de connexion) UE / USA (clauses contractuelles types)

Cette liste peut évoluer en fonction des prestataires utilisés par FireProcess. Les modifications substantielles seront notifiées par email.

8. Durées de conservation

  • Données de compte (profil, contacts, modèles, process en cours) : conservées tant que le compte est actif, puis supprimées dans les 30 jours suivant la suppression du compte ;
  • Photos uploadées dans les étapes : conservées 12 mois après upload, puis automatiquement supprimées (cf. configuration photo_retention_months) ;
  • Factures et données comptables : conservées 10 ans, conformément à l'article L.123-22 du Code de commerce ;
  • Logs techniques (IP, sessions, User-Agent) : conservés 12 mois maximum ;
  • Historique des SMS envoyés : conservé 12 mois ;
  • Liens magiques (magic link) : supprimés dès consommation ou expiration (15 minutes).

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie des données qui vous concernent ;
  • Droit de rectification (art. 16) : corriger des données inexactes ou incomplètes ;
  • Droit à l'effacement (art. 17) : obtenir la suppression de vos données (sauf obligations légales de conservation) ;
  • Droit à la portabilité (art. 20) : récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (export ZIP/JSON depuis votre espace personnel) ;
  • Droit à la limitation (art. 18) : demander la limitation du traitement ;
  • Droit d'opposition (art. 21) : vous opposer au traitement pour motif légitime ;
  • Droit de retirer votre consentement (art. 7.3) à tout moment, sans que cela n'affecte la licéité du traitement effectué avant ce retrait ;
  • Droit de définir des directives post-mortem conformément à la loi française.

Pour exercer ces droits, contactez-nous à contact@fireprocess.com. Une réponse vous sera apportée dans un délai maximum d'un mois (art. 12.3 RGPD).

Vous disposez également du droit de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

10. Cookies et traceurs

FireProcess utilise un nombre minimal de cookies et applique la règle du consentement préalable conformément à l'article 82 de la loi Informatique et Libertés et aux recommandations de la CNIL.

10.1 Cookies strictement nécessaires (sans consentement)

Ces cookies sont indispensables au fonctionnement du service et ne nécessitent pas de consentement :

  • PHPSESSID — cookie de session (authentification, durée de la session) ;
  • fp_remember — cookie « rester connecté » (durée 1 an, désactivable depuis l'interface) ;
  • fp_cookie_consent — mémorisation de votre choix concernant les cookies (durée 6 mois).

10.2 Cookies de mesure d'audience et marketing (avec consentement)

À ce jour, FireProcess n'utilise aucun cookie de mesure d'audience ni de marketing. Si de tels cookies venaient à être déployés à l'avenir (par exemple Google Analytics ou pixel Meta pour la publicité), ils ne seraient déposés qu'après votre consentement explicite via notre bandeau cookies.

10.3 Gestion du consentement

Vous pouvez à tout moment retirer ou modifier votre consentement en cliquant sur le lien « Gérer mes cookies » en pied de page, ou en supprimant le cookie fp_cookie_consent depuis votre navigateur.

11. Sécurité

FPH met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre l'accès non autorisé, la modification, la divulgation ou la destruction :

  • Chiffrement TLS/HTTPS de toutes les communications (TLS 1.2+ uniquement) ;
  • Authentification par lien magique unique ou OAuth Google (pas de mot de passe stocké) ;
  • Tokens de session hashés en base de données ;
  • Sauvegardes régulières de la base de données ;
  • Accès aux données limité au strict nécessaire pour les équipes ;
  • Sous-traitants sélectionnés pour leurs garanties de sécurité (ISO 27001, SOC 2, etc.) ;
  • Journalisation des accès administrateurs.

En cas de violation de données présentant un risque pour les droits et libertés des personnes, FPH s'engage à notifier la CNIL dans les 72 heures et à informer les personnes concernées dans les meilleurs délais (art. 33 et 34 RGPD).

12. Transferts hors UE

Par défaut, l'ensemble des données est stocké et traité au sein de l'Union européenne.

Certains sous-traitants peuvent toutefois opérer des transferts ponctuels vers les États-Unis dans le cadre de la maintenance de leurs services (Stripe, Google OAuth). Ces transferts sont alors encadrés par :

  • L'adhésion à l'EU-US Data Privacy Framework lorsque applicable ;
  • Les clauses contractuelles types (CCT) adoptées par la Commission européenne ;
  • Des mesures techniques complémentaires (chiffrement, pseudonymisation).

13. Modification de la politique

La présente politique peut être modifiée à tout moment pour refléter les évolutions du service ou de la réglementation. Les utilisateurs seront informés par email des modifications substantielles au moins 15 jours avant leur entrée en vigueur.

14. Contact

Pour toute question relative à la protection de vos données : contact@fireprocess.com