Politique de Confidentialité
MileoApp — Dernière mise à jour : 21 mars 2026
La présente Politique de confidentialité décrit la manière dont MILEO TECHNOLOGY, société par actions simplifiée unipersonnelle (SASU), RCS Paris 980 529 481, collecte, utilise, stocke et protège vos données personnelles dans le cadre de l'utilisation de la plateforme MileoApp, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi n°78-17 du 6 janvier 1978 modifiée dite Informatique et Libertés.
1. Responsable du traitement
| Responsable | MILEO TECHNOLOGY (SASU) |
| Représentant légal | Nathan Lafontaine, Président |
| Adresse | 47 Boulevard de Courcelles, 75008 Paris, France |
| RCS | Paris 980 529 481 |
| TVA | FR17980529481 |
| hello@mileoapp.fr | |
| Téléphone | 01 89 71 47 99 |
| DPO | dpo@mileoapp.fr |
2. Données collectées
Nous collectons les catégories de données suivantes :
2.1 — Données d'identification
- Nom complet
- Adresse email professionnelle
- Nom de l'entreprise
- Rôle au sein de l'organisation
2.2 — Données de connexion et de sécurité
- Mot de passe (stocké sous forme de hachage Argon2id — jamais en clair)
- Secret MFA TOTP (chiffré)
- Adresse IP de connexion
- Agent utilisateur (navigateur)
- Empreinte de l'appareil (hash anonymisé)
- Historique des connexions et tentatives échouées
2.3 — Données d'usage
- Actions effectuées dans la plateforme (journal d'audit)
- Date et heure des actions
- Modules utilisés
2.4 — Données métier
- Plans de sécurité, rapports d'intervention, documents techniques et tout autre contenu créé par l'Utilisateur dans le cadre du Service
3. Finalités et bases légales du traitement
| Finalité | Base légale (RGPD Art. 6) | Durée de conservation |
|---|---|---|
| Fourniture du Service et gestion du compte | Exécution du contrat (Art. 6.1.b) | Durée de la relation contractuelle + 3 ans |
| Authentification et sécurité du compte | Intérêt légitime (Art. 6.1.f) | Durée de la session + 30 jours (refresh tokens) |
| Journalisation et audit de sécurité | Obligation légale NIS 2 / ANSSI (Art. 6.1.c) | 1 an glissant |
| Détection de fuites de données (HIBP) | Intérêt légitime (Art. 6.1.f) | Résultat conservé 90 jours |
| Communications marketing | Consentement (Art. 6.1.a) | Jusqu'au retrait du consentement |
| Analytiques d'usage | Consentement (Art. 6.1.a) | Jusqu'au retrait du consentement |
| Facturation et comptabilité | Obligation légale (Art. 6.1.c) | 10 ans (obligation comptable française) |
4. Consentements
Lors de votre inscription, vous consentez explicitement au traitement de vos données pour les finalités décrites ci-dessus. Les consentements obligatoires sont :
- Conditions générales d'utilisation — nécessaire pour accéder au Service.
- Politique de confidentialité — nécessaire pour le traitement de vos données.
Les consentements optionnels sont :
- Communications marketing — actualités et offres MileoApp.
- Analytiques — données d'usage anonymisées pour améliorer le produit.
- Partage avec des tiers — partage de données avec nos partenaires.
Vous pouvez retirer vos consentements à tout moment depuis la page « Mon compte » de la plateforme. Le retrait du consentement n'affecte pas la licéité du traitement effectué avant le retrait.
5. Vos droits (RGPD Art. 12 à 23)
Conformément au RGPD, vous disposez des droits suivants :
| Droit | Article RGPD | Comment l'exercer |
|---|---|---|
| Droit d'accès | Art. 15 | Page « Mon compte » → Exporter mes données |
| Droit de rectification | Art. 16 | Contacter dpo@mileoapp.fr |
| Droit à l'effacement | Art. 17 | Page « Mon compte » → Supprimer mon compte |
| Droit à la limitation | Art. 18 | Contacter dpo@mileoapp.fr |
| Droit à la portabilité | Art. 20 | Export JSON depuis « Mon compte » |
| Droit d'opposition | Art. 21 | Contacter dpo@mileoapp.fr |
| Retrait du consentement | Art. 7 | Page « Mon compte » → Consentements |
Pour exercer ces droits, vous pouvez utiliser les outils intégrés à la plateforme ou contacter notre DPO à dpo@mileoapp.fr. Nous répondrons dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés — www.cnil.fr).
6. Droit à l'effacement — Processus de suppression
Lorsque vous demandez la suppression de votre compte (Art. 17) :
- Votre compte est immédiatement désactivé.
- Toutes vos sessions actives sont révoquées.
- Tous vos consentements sont retirés.
- Un délai de grâce de 30 jours est appliqué, durant lequel vous pouvez annuler la demande en vous reconnectant.
- Après 30 jours, vos données personnelles sont anonymisées de manière irréversible (email, nom, mot de passe remplacés par des valeurs génériques).
- Les données d'audit liées à votre compte sont conservées sous forme anonymisée pour les obligations légales (NIS 2).
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles conformes aux référentiels ANSSI et à la directive NIS 2 :
7.1 — Mesures techniques
- Chiffrement des mots de passe : Argon2id (mémoire-hard, 64 Mo, 3 itérations) — recommandation ANSSI R29.
- Authentification JWT RS256 avec rotation des clés cryptographiques.
- MFA TOTP obligatoire pour les comptes administrateurs.
- Row-Level Security : isolation stricte des données entre organisations au niveau PostgreSQL.
- HTTPS obligatoire (TLS 1.3) avec HSTS preload.
- Headers de sécurité : CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy.
- Rate limiting : 20 req/min sur l'authentification, 120 req/min global, 600 req/min par organisation.
- Détection de brute force : verrouillage automatique après 5 tentatives échouées en 15 minutes.
- Détection de fuites : intégration Have I Been Pwned avec k-anonymity.
7.2 — Mesures organisationnelles
- Accès aux données de production limité au personnel habilité.
- Journalisation de toutes les actions administratives.
- Sauvegardes chiffrées quotidiennes avec rétention configurable.
- Plan de réponse aux incidents conforme au RGPD Art. 33/34.
8. Hébergement et transferts de données
| Hébergeur SaaS | OVHcloud, Roubaix, France |
| Localisation des données | Union européenne (France) |
| Transferts hors UE | Aucun transfert de données personnelles hors de l'Union européenne |
Pour les déploiements on-premise, les données sont hébergées sur l'infrastructure du client. Mileo Technology n'a pas accès aux données dans ce cas de figure.
9. Sous-traitants
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| OVHcloud | Hébergement serveurs et base de données | France (UE) |
| Have I Been Pwned | Vérification de compromission d'email (k-anonymity — aucun email transmis en clair) | Australie — données transmises : 5 premiers caractères du hash SHA-1 |
10. Cookies
MileoApp utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du Service :
| Cookie | Finalité | Durée | Type |
|---|---|---|---|
mileo_refresh | Maintien de session (refresh token) | 30 jours | HttpOnly, Secure, SameSite=Strict |
Aucun cookie de tracking, de publicité ou d'analyse n'est déposé. Aucun consentement cookie n'est donc requis au titre de la directive ePrivacy.
11. Notification de violation de données
En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à :
- Notifier la CNIL dans un délai maximum de 72 heures (RGPD Art. 33).
- Vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vos droits (RGPD Art. 34).
12. Durée de conservation
| Donnée | Durée |
|---|---|
| Compte utilisateur actif | Durée de la relation contractuelle |
| Compte après résiliation | Anonymisé 30 jours après la demande |
| Refresh tokens | 30 jours (suppression automatique) |
| Tentatives de connexion | 24 heures (purge automatique) |
| Journal d'audit | 1 an glissant |
| Vérifications HIBP | 90 jours |
| Données de facturation | 10 ans (obligation légale) |
13. Modification de la politique
Nous nous réservons le droit de modifier la présente Politique de confidentialité. En cas de modification substantielle, vous serez informé par notification dans l'interface ou par email au moins 30 jours avant l'entrée en vigueur des modifications.
14. Contact
Pour toute question relative à la protection de vos données :
- DPO : dpo@mileoapp.fr
- MILEO TECHNOLOGY (SASU) — RCS Paris 980 529 481
- 47 Boulevard de Courcelles, 75008 Paris — Tél. 01 89 71 47 99
- CNIL : www.cnil.fr — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07