Privacy by design, privacy by default. Chaque fonctionnalite est concue avec la protection des donnees personnelles comme principe fondateur — pas comme un ajout posteriori.
13/13
articles RGPD implementes nativement
Le RGPD n'est pas une contrainte, c'est un droit fondamental. Chaque article applicable est implemente dans le code, verifiable techniquement et auditable par un DPO.
Art. 5 — Principes
Minimisation des donnees, limitation des finalites, limitation de la conservation.
Art. 6/7 — Consentement
Consentement granulaire, horodate, preuve cryptographique, revocable a tout instant.
Art. 13/14 — Information
Politique de confidentialite complete, accessible et comprehensible.
Art. 15 — Acces
Export JSON complet des donnees personnelles en 1 clic depuis Mon Compte.
Modification des donnees en self-service via Mon Compte. Le DPO peut intervenir sur demande.
30 jours de grace apres la demande, puis anonymisation irreversible. Aucune donnee personnelle residuelle.
Export JSON machine-readable conforme. Toutes les donnees personnelles dans un format structure et reutilisable.
Argon2id pour les mots de passe, RLS PostgreSQL pour l'isolation, MFA obligatoire administrateurs.
DPA (Data Processing Agreement) complet, signe electroniquement, conforme aux clauses types.
Registre genere dynamiquement via API. Toujours a jour, exportable en JSON.
Chiffrement AES-256 au repos, TLS 1.3 en transit, audit log avec chaine SHA-256.
Detection automatique via HIBP (k-anonymity), notification CNIL sous 72h, alerte utilisateurs concernees.
DPIA complete realisee et documentee. Risques evalues, mesures d'attenuation implementees.
Transparence totale sur les donnees collectees, les bases legales utilisees et les durees de conservation appliquees.
Nom, prenom, email professionnel, telephone, organisation, role
Hash Argon2id du mot de passe, secrets MFA (TOTP/FIDO2), sessions JWT
Adresse IP, user-agent, geolocalisation approximative (ville), horodatage
Actions effectuees, ressources accedees, modifications, horodatage
Type de consentement, version du document, horodatage, adresse IP, preuve
Donnees saisies dans les modules (sites, equipements, interventions, documents)
Execution du contrat (Art. 6.1.b)
Identification, authentification, donnees metier — necessaires a la fourniture du service SaaS.
Interet legitime (Art. 6.1.f)
Logs de connexion, audit trail, detection de fraude — securite du systeme et des utilisateurs.
Obligation legale (Art. 6.1.c)
Conservation des logs de connexion (1 an, LCEN), facturation (10 ans, Code de commerce).
Consentement (Art. 6.1.a)
Communications marketing, analytics optionnels, partage avec tiers — revocable a tout moment.
| Categorie de donnees | Duree active | Apres suppression | Base legale |
|---|---|---|---|
| Donnees de compte | Duree du contrat | 30 jours puis anonymisation | Contrat |
| Logs de connexion | 1 an | Suppression definitive | LCEN (obligation legale) |
| Audit trail | 1 an | Anonymisation | Interet legitime |
| Consentements (preuves) | 5 ans apres revocation | Suppression | Obligation legale (eIDAS) |
| Donnees de facturation | 10 ans | Archivage legal | Code de commerce |
| Donnees metier | Duree du contrat | 30 jours puis suppression | Contrat |
| Sauvegardes chiffrees | 30 jours glissants | Rotation automatique | Interet legitime |
Donnees de compte
Logs de connexion
Audit trail
Consentements
Facturation
Donnees metier
Sauvegardes
Les droits RGPD sont exercables par trois canaux distincts, selon la nature du droit. Articles 15-17 couverts nativement.
Via Mon Compte, sans intervention du DPO.
Droit d'acces (export JSON)
Droit de portabilite (export JSON)
Droit d'effacement (demande + 30j)
Gestion des consentements
Droit de rectification
Par email a dpo@mileoapp.fr, reponse sous 30 jours.
Droit de limitation du traitement
Droit d'opposition
Demandes complexes
Exercice pour le compte d'un tiers
Questions sur les traitements
Si vous estimez que vos droits ne sont pas respectes.
Commission Nationale de l'Informatique et des Libertes
3 Place de Fontenoy, TSA 80715
75334 Paris Cedex 07
www.cnil.fr
Systeme de consentement granulaire conforme au RGPD et au reglement eIDAS. Chaque consentement est horodate, l'adresse IP est enregistree, et une preuve cryptographique est generee.
Scroll
to accept obligatoire
eIDAS
convention de preuve
IP
enregistree
SHA-256
preuve integrite
Communications marketing
Analytics d'usage (telemetrie)
Partage avec services tiers
Desactivables a tout moment depuis Mon Compte. Aucun impact sur le service.
Liste exhaustive des sous-traitants au sens de l'article 28 du RGPD. Aucun transfert de donnees personnelles hors Union europeenne.
| Sous-traitant | Pays | Finalite | Donnees traitees | Transfert hors UE |
|---|---|---|---|---|
| OVHcloud | France (Paris, Strasbourg) | Hebergement infrastructure | Toutes les donnees (chiffrees) | Non |
| HIBP (Troy Hunt) | Australie | Verification compromission | Hash k-anonymity (5 chars SHA-1) | Non* |
OVHcloud
UEFrance | Hebergement infrastructure | Toutes donnees (chiffrees)
HIBP (Troy Hunt)
k-anonAustralie | Verification compromission | Hash k-anonymity uniquement
* HIBP utilise le protocole k-anonymity : seuls les 5 premiers caracteres du hash SHA-1 de l'email sont transmis. Aucune donnee personnelle identifiable ne quitte nos serveurs.
Tous les documents de conformite sont accessibles en ligne, a jour et versiones.
Notre DPO est disponible pour repondre a vos questions sur la conformite RGPD, fournir des documents complementaires ou organiser un echange.
dpo@mileoapp.fr — Delai de reponse : 30 jours maximum (Art. 12.3 RGPD)