Politique de confidentialité

Dernière mise à jour : 12 mai 2026 — Conforme RGPD (UE 2016/679)

En résumé : Nous collectons uniquement les données nécessaires au fonctionnement du service. Nous ne vendons jamais vos données. Vous pouvez accéder à vos données, les corriger ou les supprimer à tout moment.

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via portaly.fr est :

  • [NOM DE LA SOCIÉTÉ / Prénom NOM]
  • SIRET : [000 000 000 00000]
  • Adresse : [Numéro, Rue, Code postal, Ville]
  • E-mail DPO : privacy@portaly.fr

2. Données collectées

Nous collectons les données suivantes :

Données de compte
  • Adresse e-mail
  • Nom et prénom
  • Nom de société / SIRET (facultatif)
  • Mot de passe (hashé — jamais en clair)
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Données professionnelles
  • Informations clients (noms, e-mails, adresses)
  • Devis et factures émis
  • Projets et tâches
  • Entrées de temps
Base légale : Exécution du contrat (art. 6.1.b RGPD)
Données de facturation
  • Historique des abonnements
  • Montants facturés
  • Informations de paiement gérées exclusivement par Stripe (nous n'y avons pas accès)
Base légale : Obligation légale et exécution du contrat
Données techniques
  • Adresse IP (connexion)
  • Navigateur et système d'exploitation
  • Logs d'accès (30 jours)
  • Cookies de session (authentification)
Base légale : Intérêt légitime — sécurité du service (art. 6.1.f RGPD)

3. Finalités du traitement

  • Fournir et améliorer le service Portaly
  • Gérer votre compte et votre abonnement
  • Envoyer les communications liées au service (factures, relances, alertes)
  • Assurer la sécurité du service et prévenir les fraudes
  • Respecter nos obligations légales (comptabilité, fiscalité)
  • Vous envoyer des communications marketing (avec votre consentement séparé, désactivable à tout moment)

4. Sous-traitants et transferts

Nous faisons appel aux sous-traitants suivants, tous soumis à des garanties contractuelles RGPD :

Sous-traitantRôleLocalisation
Supabase Inc.Base de données, authentificationAWS eu-west-3 (Paris)
Vercel Inc.Hébergement, CDNUE (iad1 — Washington DC)
Stripe Inc.Paiement en ligneUE (Ireland)
Resend Inc.Envoi d'e-mails transactionnelsÉtats-Unis (SCC)

Les transferts hors UE (Vercel, Resend) sont encadrés par des Clauses Contractuelles Types (CCT) approuvées par la Commission européenne.

5. Durée de conservation

  • Données de compte actif : durée de l'abonnement + 30 jours après résiliation
  • Factures et données comptables : 10 ans (obligation légale française)
  • Logs de connexion : 30 jours glissants
  • Cookies de session : durée de la session + 7 jours (remember me)
  • Données marketing : jusqu'au retrait du consentement ou 3 ans après le dernier contact

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès — obtenir une copie de vos données personnelles
  • Droit de rectification — corriger des données inexactes
  • Droit à l'effacement — demander la suppression de vos données (« droit à l'oubli »)
  • Droit à la portabilité — recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition — vous opposer au traitement fondé sur l'intérêt légitime ou à des fins marketing
  • Droit à la limitation — demander la suspension temporaire d'un traitement
  • Droit de retrait du consentement — pour les traitements basés sur le consentement

Pour exercer vos droits, contactez-nous à privacy@portaly.fr. Nous répondrons dans un délai d'un mois. En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).

7. Cookies

Portaly utilise uniquement les cookies strictement nécessaires :

  • sb-access-token — jeton d'authentification Supabase (session)
  • sb-refresh-token — renouvellement automatique de session

Nous n'utilisons aucun cookie publicitaire, analytique tiers (Google Analytics, Meta Pixel…) ou de traçage. Aucun consentement n'est requis pour les cookies techniques nécessaires.

8. Sécurité

Nous mettons en œuvre les mesures de sécurité suivantes :

  • Chiffrement en transit (TLS 1.3)
  • Chiffrement au repos des bases de données (AES-256, Supabase)
  • Authentification via Supabase Auth avec tokens JWT
  • Row Level Security (RLS) activé sur toutes les tables
  • Isolation des données par workspace (multi-tenant strict)
  • Accès aux données de production limité et journalisé

9. Contact et réclamations

Pour toute question relative à cette politique ou pour exercer vos droits : privacy@portaly.fr

Vous pouvez également contacter la CNIL (Commission Nationale de l'Informatique et des Libertés) : cnil.fr · 3 Place de Fontenoy, 75007 Paris

← Retour à l'accueil