Politique de Sécurité et de Confidentialité des Données

Pour assurer une compréhension claire, les termes suivants sont définis conformément au RGPD et aux lois applicables sur la protection des données : • Données Personnelles : Toute information relative à une personne physique identifiée ou identifiable (ex. : nom, email, informations financières). • Traitement : Toute opération sur des Données Personnelles, automatisée ou non (ex. : collecte, stockage, suppression). • Incident de Sécurité : Toute violation confirmée entraînant la destruction, perte, altération, divulgation non autorisée ou accès non autorisé aux Données Personnelles (excluant les tentatives mineures sans impact). • Données Sensibles : Données révélant l'origine raciale/ethnique, opinions politiques, convictions religieuses, données de santé, ou relatives à des infractions pénales. • Sous-Traitant : Toute entité autorisée par Cleavr à traiter des Données Personnelles. • Responsable de Traitement : Le client qui détermine les finalités et moyens du traitement.

Cleavr est une solution technologique d'assistance au recouvrement conçue pour les entreprises souhaitant sécuriser leur poste client tout en respectant les plus hauts standards de conformité, de sécurité et de confidentialité. Nous traitons les données de nos clients avec un strict respect des obligations légales, en particulier le Règlement Général sur la Protection des Données (RGPD), et nous nous engageons à une transparence totale sur leur traitement.

Toutes les données traitées par Cleavr sont hébergées sur les infrastructures de notre partenaire Supabase, utilisant des régions AWS situées exclusivement en Union Européenne : eu-west-1 (Irlande), eu-west-3 (Paris) et eu-central-1 (Francfort). Le client peut décider d'une région spécifique pour le stockage et le traitement primaire, sous réserve de conformité aux lois ; Cleavr s'engage à respecter ce choix. Ces régions respectent les exigences de l'Union Européenne en matière de protection des données personnelles. Les infrastructures utilisées sont certifiées conformes aux normes de sécurité les plus strictes (ISO 27001, SOC 2, etc.).

Dans le cadre de nos opérations, nous faisons appel aux sous-traitants suivants : • Stripe : pour la gestion des paiements, la vérification d'identité et la collecte de pièces justificatives (comme la carte nationale d'identité). Ces données sont directement transmises à Stripe, sans que Cleavr n'y ait accès. Stripe est certifié PCI DSS et conforme au RGPD. • Brevo : pour l'envoi d'e-mails transactionnels et de notifications. Brevo est établi en France et pleinement conforme au RGPD. • Vercel : pour l'hébergement et le déploiement de nos applications front-end, offrant une infrastructure scalable et sécurisée conforme au RGPD via son Data Processing Agreement (DPA) pré-signé, avec chiffrement AES-256, certifications ISO 27001 et SOC 2, et absence de transferts hors UE sans clauses contractuelles types. • StackAuth : pour la gestion sécurisée de l'authentification utilisateur, utilisant JWT ou cookies chiffrés, supportant plus de 60 fournisseurs OAuth/SAML, et assurant une conformité RGPD en minimisant la collecte de données sensibles sans stockage permanent des identifiants. Tous nos sous-traitants sont établis dans l'Union Européenne ou respectent les clauses contractuelles types établies par la Commission Européenne pour garantir un niveau de protection équivalent. Le client accorde une autorisation générale pour ces sous-traitants ; Cleavr notifie tout changement au moins 30 jours à l'avance. Le client peut objecter dans les 5 jours ; en cas de désaccord, Cleavr résout de bonne foi ou permet la terminaison des services affectés. Cleavr reste pleinement responsable des actes de ses sous-traitants.

L'accès aux données est strictement contrôlé via des systèmes d'authentification sécurisés et une gestion des rôles. Seules les personnes autorisées au sein de Cleavr peuvent accéder à certaines catégories de données, selon leur fonction. Les données sont systématiquement chiffrées : • En transit, via HTTPS/TLS 1.2+ ; • Au repos, via AES-256 sur les serveurs de notre hébergeur. • Un cloisonnement logique entre clients est en place pour empêcher tout accès non autorisé aux données d'autres comptes. • Un système de monitoring des logs de sécurité et d'alerting est en place pour détecter en temps réel les anomalies, les tentatives d'accès non autorisées ou les incidents potentiels. Les logs sont conservés pendant une période minimale de 6 à 12 mois, conformément aux recommandations de la CNIL, et protégés contre toute altération.

Les données sont conservées uniquement pour la durée nécessaire à la fourniture du service, sur instruction du client. À la fin du contrat ou sur demande, elles sont effacées de manière sécurisée (suppression irréversible, avec confirmation fournie au client). Par défaut, les données actives sont conservées pendant la durée du contrat, et les backups sont retenus pendant 30 jours avant effacement définitif. Une copie peut être fournie sur demande pendant cette période.

Des sauvegardes logiques automatiques et chiffrées sont effectuées quotidiennement afin d'assurer la continuité de service. Ces sauvegardes sont stockées sur des serveurs sécurisés et répliqués, garantissant leur disponibilité en cas de défaillance (cible : 99.99%). Nous réalisons régulièrement des tests de restauration pour garantir l'intégrité et la résilience de notre infrastructure.

Cleavr agit en qualité de sous-traitant au sens du RGPD. Nous nous engageons à : • Ne traiter les données que sur instruction documentée du client (responsable de traitement) ; • Respecter les principes de minimisation, de limitation des finalités et de proportionnalité ; • Garantir aux utilisateurs leurs droits d'accès, de rectification, d'opposition, de portabilité et d'effacement ; • Fournir un registre des traitements à jour sur demande ; • Coopérer pleinement avec les autorités de contrôle compétentes, y compris la CNIL. Un Délégué à la Protection des Données (DPO) est joignable pour toute demande ou clarification.

En cas de violation avérée ou suspectée des données personnelles, Cleavr s'engage à : • Informer dans les meilleurs délais ses clients concernés ; • Documenter l'incident (date, nature, impact, mesures prises) ; • Mettre en œuvre immédiatement les actions correctives nécessaires ; • Informer la CNIL dans les 72 heures si l'incident présente un risque élevé pour les droits et libertés des personnes concernées.

Pour toute question relative à la sécurité, à la confidentialité ou au traitement des données, merci de contacter notre DPO : baptiste.nassoy@cleavr.fr