Politique de Confidentialité

Dernière mise à jour : 21/05/2026

1. Responsable du traitement

Le responsable du traitement des données collectées sur la plateforme Veridian est :

  • Veridian (Entreprise individuelle)
  • SIREN : 980 837 660
  • SIRET : 980 837 660 00011
  • Adresse : 29 Rue Lanterne, 69001 Lyon, France
  • Contact : robert.brunon@veridian.site

2. Données collectées

2.1. Données fournies par l'utilisateur

  • Email professionnel (création de compte, communications transactionnelles)
  • Nom et prénom (affichage dans le tableau de bord et les emails)
  • Mot de passe (hashé via bcrypt, jamais stocké en clair — uniquement si signup par email/mot de passe)
  • Informations de paiement (traitées exclusivement par Stripe, jamais stockées sur nos serveurs)

2.2. Données collectées via OAuth Google

Lorsque vous vous connectez avec votre compte Google, Veridian collecte uniquement :

  • Votre email vérifié Google (scope email)
  • Votre nom et prénom (scope profile)
  • Votre photo de profil publique (scope profile)
  • Votre identifiant Google unique (scope openid) pour reconnecter votre compte aux futures sessions

Veridian n'accède PAS à votre Gmail, Drive, Calendar, Contacts ou tout autre service Google. Les scopes demandés sont strictement limités aux informations d'identification publiques (openid email profile).

2.3. Données collectées via OAuth Microsoft

Lorsque vous vous connectez avec votre compte Microsoft (Outlook, Hotmail, Live, ou Microsoft 365 Work/School), Veridian collecte :

  • Votre email vérifié Microsoft
  • Votre nom complet
  • Votre identifiant Microsoft Entra (Object ID) pour reconnecter votre compte

Veridian n'accède PAS à votre Outlook, OneDrive, Teams, SharePoint ou tout autre service Microsoft. Aucun scope étendu n'est demandé.

2.4. Données collectées automatiquement

  • Adresse IP (logs sécurité, anti-abuse, audit)
  • Horodatage des connexions et actions sensibles (audit forensics)
  • User-Agent du navigateur (compatibilité et stats anonymisées)
  • Cookies de session strictement nécessaires (Auth.js JWT, durée 90 jours)

3. Finalités du traitement

Vos données sont traitées exclusivement pour :

  • Créer et gérer votre compte Veridian (identification, authentification, récupération de mot de passe)
  • Fournir les services SaaS souscrits (Notifuse, Prospection, Analytics, CMS, et leurs intégrations)
  • Traiter les paiements et facturations (via Stripe uniquement)
  • Envoyer les emails transactionnels (vérification, magic link, notifications produit) — JAMAIS de marketing sans consentement explicite séparé
  • Sécuriser la plateforme (détection d'abus, audit forensics, rate-limiting)
  • Respecter nos obligations légales (comptabilité, réquisitions judiciaires)

Vos données ne sont JAMAIS revendues, JAMAIS partagées avec des tiers à des fins publicitaires.

4. Base légale (RGPD article 6)

  • Exécution du contrat (art. 6.1.b) : fourniture des services SaaS souscrits, gestion de votre compte, traitement des paiements
  • Consentement (art. 6.1.a) : signup OAuth Google/Microsoft (vous autorisez explicitement le partage de votre profil), envoi d'emails marketing optionnels
  • Intérêt légitime (art. 6.1.f) : sécurité de la plateforme (logs, audit, anti-abuse), amélioration des services
  • Obligation légale (art. 6.1.c) : conservation des données de facturation (10 ans, Code de commerce art. L123-22), réponse aux réquisitions judiciaires

5. Durée de conservation

  • Compte utilisateur actif : tant que le compte existe
  • Compte supprimé : suppression effective sous 30 jours (sauf données conservées pour obligations légales)
  • Données de facturation : 10 ans (Code de commerce)
  • Logs de connexion : 12 mois (LCEN art. L34-1 du Code des postes et communications électroniques)
  • Logs d'audit (actions admin) : 36 mois
  • Cookies session : 90 jours maximum

6. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir copie de toutes les données vous concernant
  • Droit de rectification (art. 16) : corriger une donnée inexacte
  • Droit à l'effacement (art. 17, "droit à l'oubli") : supprimer votre compte et vos données
  • Droit à la portabilité (art. 20) : récupérer vos données dans un format machine-readable (JSON)
  • Droit d'opposition (art. 21) : refuser un traitement basé sur l'intérêt légitime
  • Droit à la limitation (art. 18)
  • Droit de retirer votre consentement à tout moment (sans effet rétroactif)
  • Droit d'introduire une réclamation auprès de la CNIL (cnil.fr/fr/plaintes)

Pour exercer ces droits, contactez-nous à : robert.brunon@veridian.site. Réponse sous 30 jours maximum.

7. Sous-traitants

Veridian fait appel aux sous-traitants suivants pour fournir ses services. Chaque sous-traitant est lié par un accord de traitement de données (DPA) conforme RGPD.

  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements. Certifié PCI-DSS Level 1. DPA : stripe.com/legal/dpa
  • Google LLC (USA) — authentification OAuth Google. Clauses Contractuelles Types UE + EU-US Data Privacy Framework
  • Microsoft Corporation (USA) — authentification OAuth Microsoft Entra. Clauses Contractuelles Types UE + EU-US Data Privacy Framework
  • Cloudflare, Inc. (USA) — protection DDoS, DNS, CDN. Clauses Contractuelles Types UE
  • OVH SAS (France) — hébergement des serveurs de production (datacenter UE)
  • Notifuse (auto-hébergé chez OVH) — envoi d'emails transactionnels (fork open source)

Tous les sous-traitants sont soit situés dans l'Union Européenne, soit liés par des Clauses Contractuelles Types approuvées par la Commission Européenne pour garantir un niveau de protection adéquat.

8. Transferts hors UE

Certaines données peuvent être transférées vers les États-Unis dans le cadre de l'authentification OAuth (Google, Microsoft) ou de la protection DDoS (Cloudflare). Ces transferts sont encadrés par :

  • Les Clauses Contractuelles Types (CCT) approuvées par la Commission Européenne (décision 2021/914/UE)
  • Le EU-US Data Privacy Framework (adéquation Commission Européenne du 10 juillet 2023) pour les sous-traitants américains certifiés (Google, Microsoft, Cloudflare)

9. Sécurité

Veridian met en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement TLS 1.3 de toutes les communications (HSTS forcé 6 mois)
  • Chiffrement des mots de passe (bcrypt cost 12, jamais en clair)
  • Authentification à 2 facteurs optionnelle (code email, durée 10 min)
  • Headers HTTP de sécurité (CSP, X-Frame-Options, Referrer Policy strict-origin)
  • Audit de sécurité automatisé en CI (CVE, secrets, OWASP Top 10)
  • Rate-limiting sur les routes d'authentification et d'inscription (anti brute-force)
  • Backup quotidien chiffré des bases de données
  • Logs d'audit immutables des actions sensibles (création de compte, modification de permissions, paiements)

10. Cookies

Veridian utilise uniquement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie de tracking publicitaire, aucun cookie tiers à des fins marketing.

  • authjs.session-token : cookie de session (HTTPOnly, Secure, SameSite=Lax, 90 jours)
  • authjs.csrf-token : protection CSRF (HTTPOnly, Secure)
  • authjs.callback-url : URL de redirection post-login (HTTPOnly)

Aucun bandeau cookies n'est requis car nous n'utilisons aucun cookie soumis au consentement (RGPD art. 7 + Délibération CNIL 2020-091).

11. Modifications de la politique

Cette politique peut être mise à jour pour refléter des évolutions légales ou des changements dans nos services. La date de "Dernière mise à jour" en haut de page indique la version courante. Les modifications substantielles vous seront notifiées par email avant prise d'effet.

Pages associées : Conditions d'utilisation · Mentions légales

© 2026 Veridian — Tous droits réservés