YelloowPlan

Politique de confidentialité

En vigueur depuis le 15 mai 2026

La présente politique décrit comment Yelloow SAS (« nous ») traite les données personnelles dans le cadre du service YelloowPlan, en conformité avec le Règlement (UE) 2016/679 (« RGPD ») et la loi Informatique et Libertés modifiée.

1. Responsable de traitement

Yelloow SAS est responsable de traitement pour les données qu'elle collecte directement (visiteurs, prospects, comptes utilisateurs).

Pour les données saisies par un Client dans son espace YelloowPlan (employés, clients, plannings, etc.), Yelloow SAS agit comme sous-traitant au sens de l'article 28 du RGPD. Le Client est alors le responsable de traitement de ses propres données. Les engagements de l'Éditeur sur ces données figurent dans le contrat de sous-traitance (DPA).

2. Données collectées et finalités

2.1 Création et gestion de compte

  • Données : nom, prénom, email professionnel, rôle au sein du tenant.
  • Finalité : identification, authentification, communications opérationnelles.
  • Base légale : exécution du contrat (art. 6.1.b RGPD).
  • Durée : pendant toute la durée du compte, puis 3 ans après suppression à des fins de preuve.

2.2 Facturation et paiement

  • Données : raison sociale, adresse, SIREN, email facturation, historique des paiements.
  • Finalité : facturation, gestion comptable, recouvrement.
  • Base légale : exécution du contrat + obligation légale (art. 6.1.b et 6.1.c RGPD).
  • Durée : 10 ans (art. L. 123-22 du Code de commerce) pour les pièces comptables.
  • Note : les coordonnées bancaires ne sont jamais stockées sur nos serveurs. Le traitement est confié à Stripe Payments Europe Ltd (cf. liste des sous-traitants).

2.3 Données métier saisies dans l'espace Client

  • Données : informations sur les employés du Client (nom, contact, contrat), sur ses clients et chantiers, plannings, pointages, géolocalisation des interventions, photos terrain.
  • Finalité : permettre au Client d'exploiter le Service.
  • Base légale : définie par le Client en sa qualité de responsable de traitement (intérêt légitime, contrat, consentement selon le cas).
  • Durée : tant que le Client le décide, dans la limite de la durée contractuelle. À la fin du contrat, les Données sont conservées 90 jours puis supprimées (cf. CGV § 11).

2.4 Logs techniques et sécurité

  • Données : adresse IP, user-agent, date et heure de connexion, actions sensibles (audit logs).
  • Finalité : sécurité, détection d'intrusion, traçabilité.
  • Base légale : intérêt légitime (art. 6.1.f RGPD).
  • Durée : 12 mois (logs serveurs), 5 ans (audit logs métier).

2.5 Mesure d'audience

  • Données : événements applicatifs anonymisés ou pseudonymisés (pages vues, fonctionnalités utilisées).
  • Finalité : amélioration du Service.
  • Base légale : intérêt légitime, ou consentement le cas échéant (cf. politique de cookies).
  • Durée : 13 mois maximum.

3. Destinataires et sous-traitants

Les données sont accessibles aux salariés et prestataires de Yelloow SAS habilités, dans la limite de leurs missions. Nous faisons appel à des sous-traitants techniques (article 28 RGPD) listés ci-dessous, dont la conformité est encadrée par des clauses contractuelles spécifiques :

  • Supabase Inc.Base de données PostgreSQL, authentification, stockage de fichiers. Localisation : Singapour (siège) — données hébergées en UE (Paris, France). Encadrement : Clauses contractuelles types EU (SCC) + EU-U.S. Data Privacy Framework.
  • Vercel Inc.Hébergement et exécution de l'application web. Localisation : États-Unis — edge networks mondiaux. Encadrement : EU-U.S. Data Privacy Framework + SCC.
  • Stripe Payments Europe LtdTraitement des paiements par carte bancaire. Localisation : Irlande (UE). Encadrement : Aucun transfert hors UE pour les opérations courantes.
  • Resend Inc.Envoi des emails transactionnels (magic link, notifications). Localisation : États-Unis. Encadrement : SCC + EU-U.S. Data Privacy Framework.
  • Sentry (Functional Software, Inc.)Suivi des erreurs applicatives (logs techniques). Localisation : États-Unis. Encadrement : SCC + EU-U.S. Data Privacy Framework.
  • PostHog Inc.Mesure d'audience produit (events anonymisés). Localisation : États-Unis — option self-hosted UE disponible. Encadrement : SCC + EU-U.S. Data Privacy Framework.
  • Inngest Inc.Exécution de jobs asynchrones (rappels, crons applicatifs). Localisation : États-Unis. Encadrement : SCC + EU-U.S. Data Privacy Framework.

La liste à jour des sous-traitants est notifiée aux Clients au moins 30 jours avant tout changement substantiel (cf. DPA).

4. Transferts hors UE

Certains sous-traitants (Vercel, Resend, Sentry, PostHog) sont situés aux États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne (décision 2021/914) et, le cas échéant, par l'adhésion au EU-U.S. Data Privacy Framework. Une analyse d'impact sur les transferts (TIA) est tenue à disposition des Clients qui en font la demande.

5. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles adaptées :

  • Chiffrement TLS 1.3 pour toutes les communications ;
  • Chiffrement au repos de la base PostgreSQL et des fichiers (AES-256) ;
  • Isolation logique des données par tenant via Row Level Security au niveau PostgreSQL, vérifiée par tests automatisés en CI ;
  • Contrôle d'accès par rôles (RBAC) avec principe du moindre privilège, journalisation des actions sensibles ;
  • Sauvegardes quotidiennes avec rétention de 35 jours ;
  • Suivi des erreurs et incidents par Sentry, monitoring 24/7 ;
  • Revue régulière des dépendances et des CVE.

6. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Accès aux données vous concernant ;
  • Rectification des données inexactes ou incomplètes ;
  • Effacement (« droit à l'oubli ») dans les cas prévus par la loi ;
  • Limitation du traitement ;
  • Portabilité dans un format structuré et lisible par machine ;
  • Opposition au traitement fondé sur l'intérêt légitime ;
  • Définir des directives sur le sort de vos données après votre décès.

Pour exercer ces droits, contactez-nous à privacy@yelloowplan.com. Une réponse vous sera adressée dans un délai d'un mois, prolongeable de deux mois si nécessaire compte tenu de la complexité de la demande.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris — cnil.fr).

7. Cookies

L'utilisation des cookies fait l'objet d'une politique dédiée qui précise leur nature, leur finalité et les modalités de gestion de votre consentement.

8. Contact

Pour toute question relative à la protection des données personnelles, contactez-nous à privacy@yelloowplan.com.

9. Modification

La présente politique peut évoluer. Toute modification substantielle est notifiée aux Utilisateurs par email ou via une notification dans le Service.