Politique de confidentialité
Dernière mise à jour : 3 juillet 2026
1. Introduction
La présente politique décrit la manière dont NOVAPEAK (« nous ») collecte et traite vos données à caractère personnel dans le cadre du service Duerpio (duerpio.fr), conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).
2. Responsable du traitement
Le responsable du traitement est NOVAPEAK, société par actions simplifiée à associé unique (SASU), 60 rue François 1er, 75008 Paris, 101 061 455 R.C.S. Paris (voir mentions légales).
Pour toute question relative à vos données ou à l'exercice de vos droits, vous pouvez contacter notre référent à la protection des données à l'adresse tc@novapeak.pro.
3. Données collectées
Nous collectons les catégories de données suivantes :
- Compte : adresse email, mot de passe (stocké sous forme chiffrée / haché), et le cas échéant nom et fonction.
- Entreprise / établissement: raison sociale, SIRET, code APE, adresse, effectif, convention collective, forme juridique — informations que vous saisissez ou qui sont pré-remplies depuis l'annuaire public des entreprises.
- Contenu du DUERP : unités de travail, risques, cotations, mesures de prévention et autres informations que vous renseignez pour produire votre document.
- Paiement: les données de paiement sont collectées et traitées directement par Stripe ; nous n'avons pas accès au numéro complet de votre carte. Nous conservons les informations de facturation et l'historique des abonnements.
- Données techniques : journaux de connexion, adresse IP, données de navigation strictement nécessaires au fonctionnement et à la sécurité du service.
4. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Création et gestion du compte, fourniture du service (génération, archivage et mise à jour du DUERP) | Exécution du contrat (art. 6.1.b) |
| Gestion des abonnements, paiement et facturation | Exécution du contrat et obligation légale comptable (art. 6.1.b et 6.1.c) |
| Envoi d'emails de service (compte, rappels de mise à jour) | Exécution du contrat (art. 6.1.b) |
| Sécurité, prévention de la fraude, amélioration et bon fonctionnement du service | Intérêt légitime (art. 6.1.f) |
| Réponse à vos demandes (support) et information commerciale éventuelle | Intérêt légitime ou consentement (art. 6.1.f / 6.1.a) |
| Respect des obligations légales et réponses aux autorités | Obligation légale (art. 6.1.c) |
5. Destinataires et sous-traitants
Vos données sont destinées à NOVAPEAKet à ses sous-traitants, sélectionnés pour leurs garanties de sécurité et liés par contrat conformément à l'article 28 du RGPD :
- Supabase— base de données et authentification (hébergement au sein de l'Union européenne) ;
- Netlify, Inc.— hébergement de l'application (États-Unis) ;
- Stripe — traitement des paiements ;
- Resend — acheminement des emails transactionnels.
Nous ne vendons ni ne louons vos données personnelles à des tiers.
6. Transferts hors de l'Union européenne
Nous privilégions un hébergement des données au sein de l'Union européenne. Certains sous-traitants (notamment Netlify et Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD (clauses contractuelles types de la Commission européenne et/ou certification au Data Privacy Framework).
7. Durées de conservation
- Compte et contenu du DUERP: pendant toute la durée de la relation contractuelle, puis supprimés ou anonymisés dans un délai de douze (12) mois après la clôture du compte, sauf demande contraire de votre part (l'employeur devant conserver ses DUERP successifs pendant 40 ans, art. R. 4121-1-1 du Code du travail) ou obligation légale.
- Documents comptables et factures : dix (10) ans (art. L. 123-22 du Code de commerce).
- Prospects (contacts non clients) : trois (3) ans à compter du dernier contact.
- Journaux techniques : de six (6) à douze (12) mois.
8. Sécurité
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement des mots de passe et des échanges (HTTPS/TLS), cloisonnement des accès, hébergement auprès de prestataires conformes à l'état de l'art. Aucun système n'étant infaillible, nous ne pouvons garantir une sécurité absolue.
9. Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité et d'opposition, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès. Lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment.
Pour exercer ces droits, écrivez à tc@novapeak.pro. Nous pourrons vous demander un justificatif d'identité et nous vous répondrons dans un délai d'un mois.
10. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
11. Cookies
Duerpion'utilise que des cookies strictement nécessaires à son fonctionnement (session, authentification), qui ne requièrent pas de consentement en application de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ni traceur tiers à des fins de suivi n'est déposé sans votre consentement préalable.
12. Modifications
La présente politique peut être mise à jour pour tenir compte des évolutions légales ou du service. La date de dernière mise à jour figure en tête de page ; nous vous invitons à la consulter régulièrement.
13. Contact
Pour toute question relative à la protection de vos données : tc@novapeak.pro.