Politique de confidentialité

Dernière mise à jour : 3 juillet 2026

1. Introduction

La présente politique décrit la manière dont NOVAPEAK (« nous ») collecte et traite vos données à caractère personnel dans le cadre du service Duerpio (duerpio.fr), conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

2. Responsable du traitement

Le responsable du traitement est NOVAPEAK, société par actions simplifiée à associé unique (SASU), 60 rue François 1er, 75008 Paris, 101 061 455 R.C.S. Paris (voir mentions légales).

Pour toute question relative à vos données ou à l'exercice de vos droits, vous pouvez contacter notre référent à la protection des données à l'adresse tc@novapeak.pro.

3. Données collectées

Nous collectons les catégories de données suivantes :

  • Compte : adresse email, mot de passe (stocké sous forme chiffrée / haché), et le cas échéant nom et fonction.
  • Entreprise / établissement: raison sociale, SIRET, code APE, adresse, effectif, convention collective, forme juridique — informations que vous saisissez ou qui sont pré-remplies depuis l'annuaire public des entreprises.
  • Contenu du DUERP : unités de travail, risques, cotations, mesures de prévention et autres informations que vous renseignez pour produire votre document.
  • Paiement: les données de paiement sont collectées et traitées directement par Stripe ; nous n'avons pas accès au numéro complet de votre carte. Nous conservons les informations de facturation et l'historique des abonnements.
  • Données techniques : journaux de connexion, adresse IP, données de navigation strictement nécessaires au fonctionnement et à la sécurité du service.

4. Finalités et bases légales

FinalitéBase légale
Création et gestion du compte, fourniture du service (génération, archivage et mise à jour du DUERP)Exécution du contrat (art. 6.1.b)
Gestion des abonnements, paiement et facturationExécution du contrat et obligation légale comptable (art. 6.1.b et 6.1.c)
Envoi d'emails de service (compte, rappels de mise à jour)Exécution du contrat (art. 6.1.b)
Sécurité, prévention de la fraude, amélioration et bon fonctionnement du serviceIntérêt légitime (art. 6.1.f)
Réponse à vos demandes (support) et information commerciale éventuelleIntérêt légitime ou consentement (art. 6.1.f / 6.1.a)
Respect des obligations légales et réponses aux autoritésObligation légale (art. 6.1.c)

5. Destinataires et sous-traitants

Vos données sont destinées à NOVAPEAKet à ses sous-traitants, sélectionnés pour leurs garanties de sécurité et liés par contrat conformément à l'article 28 du RGPD :

  • Supabase— base de données et authentification (hébergement au sein de l'Union européenne) ;
  • Netlify, Inc.— hébergement de l'application (États-Unis) ;
  • Stripe — traitement des paiements ;
  • Resend — acheminement des emails transactionnels.

Nous ne vendons ni ne louons vos données personnelles à des tiers.

6. Transferts hors de l'Union européenne

Nous privilégions un hébergement des données au sein de l'Union européenne. Certains sous-traitants (notamment Netlify et Stripe) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par des garanties appropriées au sens des articles 44 et suivants du RGPD (clauses contractuelles types de la Commission européenne et/ou certification au Data Privacy Framework).

7. Durées de conservation

  • Compte et contenu du DUERP: pendant toute la durée de la relation contractuelle, puis supprimés ou anonymisés dans un délai de douze (12) mois après la clôture du compte, sauf demande contraire de votre part (l'employeur devant conserver ses DUERP successifs pendant 40 ans, art. R. 4121-1-1 du Code du travail) ou obligation légale.
  • Documents comptables et factures : dix (10) ans (art. L. 123-22 du Code de commerce).
  • Prospects (contacts non clients) : trois (3) ans à compter du dernier contact.
  • Journaux techniques : de six (6) à douze (12) mois.

8. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement des mots de passe et des échanges (HTTPS/TLS), cloisonnement des accès, hébergement auprès de prestataires conformes à l'état de l'art. Aucun système n'étant infaillible, nous ne pouvons garantir une sécurité absolue.

9. Vos droits

Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité et d'opposition, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès. Lorsque le traitement repose sur le consentement, vous pouvez le retirer à tout moment.

Pour exercer ces droits, écrivez à tc@novapeak.pro. Nous pourrons vous demander un justificatif d'identité et nous vous répondrons dans un délai d'un mois.

10. Réclamation auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) : www.cnil.fr — 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

11. Cookies

Duerpion'utilise que des cookies strictement nécessaires à son fonctionnement (session, authentification), qui ne requièrent pas de consentement en application de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ni traceur tiers à des fins de suivi n'est déposé sans votre consentement préalable.

12. Modifications

La présente politique peut être mise à jour pour tenir compte des évolutions légales ou du service. La date de dernière mise à jour figure en tête de page ; nous vous invitons à la consulter régulièrement.

13. Contact

Pour toute question relative à la protection de vos données : tc@novapeak.pro.