Politique de
Confidentialité
Version
2.0 – Mars 2026
Dernière révision
19 avril 2026
Référence
EU-RGPD-2016/679
La présente Politique de Confidentialité décrit de manière exhaustive la façon dont FLUXA SAS, en qualité de responsable de traitement, collecte, utilise, conserve et protège les données à caractère personnel des personnes physiques avec lesquelles elle est en relation, conformément au Règlement Général sur la Protection des Données (RGPD – Règlement UE 2016/679) et à la loi n° 78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).
Identité du responsable de traitement
Dénomination sociale
FLUXA SAS
Représentant légal
Matis Geneix et Marc-Antoine Chesneau
Siège social
7 Boulevard du 8 Mai 1945, 16000 ANGOULEME
SIRET
EN COURS D'IMATRICULATION
Tribunal compétent (RCS)
ANGOULEME
Site web
fluxaweb.fr
Contact données personnelles
Pour toute question relative à la protection de vos données ou pour exercer vos droits, vous pouvez contacter le responsable de traitement à l'adresse suivante : [email protected]. Toute demande fera l'objet d'un accusé de réception et d'une réponse dans un délai d'un (1) mois, extensible à trois (3) mois en cas de demande complexe (Art. 12 §3 RGPD).
Registre des traitements et finalités
Conformément à l'article 30 du RGPD, le tableau ci-dessous constitue une synthèse du registre des traitements de données à caractère personnel mis en œuvre par FLUXA SAS. Chaque traitement est documenté avec sa finalité, sa base légale, les catégories de données impliquées, les destinataires et les durées de conservation applicables.
| Traitement | Catégories de données | Finalité | Base légale | Conservation | Destinataires |
|---|---|---|---|---|---|
| Gestion relation client | Nom, email, téléphone, adresse, SIRET, notes projet | Exécution du contrat, facturation, suivi commercial | Art. 6.1.b | Durée du contrat + 3 ans (prescription civile) | Agence, Supabase, Stripe |
| Facturation & comptabilité | Nom, adresse, données de facturation, montants | Obligation légale comptable et fiscale | Art. 6.1.c | 10 ans (Art. L.123-22 C. com.) | Agence, Stripe, expert-comptable éventuel |
| Formulaire de contact | Nom, email, téléphone, budget, description projet | Réponse à une demande de contact, prospection commerciale | Art. 6.1.a | 3 ans à compter du dernier contact | Agence, Supabase |
| Authentification portail client | Email, code de vérification, sessions sécurisées, tentatives de connexion | Accès sécurisé au portail client, prévention brute-force | Art. 6.1.f | Tokens : 1h (access) / 7j (refresh). Tentatives login : 15 jours | Agence, Supabase |
| Paiements en ligne | Identifiants Stripe (customer_id, payment_intent_id, subscription_id), montants | Encaissement des acomptes et abonnements récurrents | Art. 6.1.b | Durée du contrat + 5 ans (PCI-DSS) / 10 ans (comptable) | Stripe (sous-traitant PCI-DSS) |
| Support & tickets | Nom, email, contenu des messages, sujet, priorité | Traitement des demandes d'assistance client | Art. 6.1.b | Durée du contrat + 3 ans | Agence, Supabase |
| Envoi d'emails (devis, communications) | Nom, email, contenu personnalisé | Envoi de documents contractuels et communications professionnelles | Art. 6.1.b | Logs Brevo : 30 jours. Données source : selon traitement parent | Brevo (Sendinblue SAS) |
| Leads entrants (sites clients via n8n) | Nom, téléphone, message du prospect, IP source, user-agent | Capture de leads pour le compte des clients de l'agence (sous-traitance). Gestion du quota SMS | Art. 6.1.f | 3 ans à compter de l'enregistrement | Agence (lecture seule), client concerné, n8n GmbH |
| Journal d'audit (logs) | Identifiant utilisateur, action, IP source, user-agent, horodatage, métadonnées | Traçabilité des opérations administratives, sécurité informatique, preuve en cas de litige | Art. 6.1.f | 12 mois glissants | Agence uniquement, Supabase |
| Médias & uploads | Fichiers images téléversés (nom de fichier UUID anonymisé) | Gestion de contenus visuels liés aux projets | Art. 6.1.b | Durée du contrat | Agence, hébergeur VPS (OVH) |
Cookies et traceurs techniques
FLUXA SAS n'utilise aucun cookie publicitaire, aucun traceur de profilage, aucun outil d'analyse d'audience (Google Analytics, Hotjar, Mixpanel, etc.). Aucun pixel de retargeting n'est déposé. Seuls les cookies strictement nécessaires au fonctionnement technique du site et à la sécurité des sessions sont utilisés.
| Nom du cookie | Émetteur | Finalité | Durée de vie | Consentement requis |
|---|---|---|---|---|
| sb-access-token | Supabase | Jeton d'authentification de session (JWT). Permet l'accès sécurisé au portail client et au dashboard agence. | 1 heure | Non – Strictement nécessaire |
| sb-refresh-token | Supabase | Jeton de renouvellement de session. Permet de maintenir la connexion sans ressaisie d'identifiant. | 7 jours | Non – Strictement nécessaire |
| csrf_token | FLUXA SAS (middleware) | Jeton de protection contre les attaques CSRF (Cross-Site Request Forgery). Valeur UUID aléatoire, HttpOnly, Secure. | 1 heure | Non – Sécurité technique |
Sous-traitants et destinataires des données
FLUXA SAS fait appel à des prestataires techniques (sous-traitants au sens de l'article 28 RGPD) pour l'hébergement, les paiements et les communications. Chacun a été sélectionné pour ses garanties de conformité RGPD. Les données ne sont jamais cédées ni vendues à des tiers à des fins commerciales.
Supabase Inc.
Base de données, authentification, stockage
Localisation
Siège social : États-Unis (San Francisco, CA) — Données hébergées exclusivement sur serveurs AWS eu-central-1 (Frankfurt, Allemagne) — Transfert encadré par les Clauses Contractuelles Types (CCT UE, décision 2021/914)
Données transmises
Toutes les données applicatives (clients, devis, tickets, logs, sessions)
Garantie de conformité
Contrat DPA Art. 28 RGPD — Données stockées intra-EEE — CCT signées
Stripe Inc.
Passerelle de paiement et gestion des abonnements
Localisation
Irlande (UE, pour les clients EEE) — Stripe Payments Europe Ltd
Données transmises
Identifiants de paiement, montants, session checkout. Les données de carte bancaire ne transitent JAMAIS par nos serveurs.
Garantie de conformité
Certifié PCI-DSS Level 1 — DPA Art. 28 RGPD
Brevo (Sendinblue SAS)
Envoi d'emails transactionnels (devis, codes de vérification, communications groupées)
Localisation
France (UE) — Siège : Paris
Données transmises
Nom, email des destinataires, contenu HTML des emails, logs d'envoi (30 jours)
Garantie de conformité
Société française — DPA Art. 28 RGPD — Certification ISO 27001
OVH SAS
Hébergement du serveur VPS (infrastructure technique mutualisée)
Localisation
France (UE) — Siège : Roubaix (59100)
Données transmises
Données hébergées sur le VPS (médias, fichiers statiques). OVH n'accède pas aux données applicatives.
Garantie de conformité
Société française — Certifications ISO 27001, HDS
n8n GmbH
Plateforme d'automatisation de workflows (réception leads via API)
Localisation
Allemagne (UE) — Siège : Berlin
Données transmises
Données de leads entrants transmises par les formulaires des sites clients (nom, téléphone, message)
Garantie de conformité
Instance auto-hébergée sur VPS OVH — DPA disponible sur demande
Cloudflare Inc.
Proxy DNS, protection DDoS, certificats SSL/TLS
Localisation
USA — Transfert encadré par les Clauses Contractuelles Types (CCT) de la Commission Européenne
Données transmises
Logs de requêtes HTTP (IP, user-agent, URL), métadonnées réseau. Cloudflare ne voit pas le contenu chiffré.
Garantie de conformité
Clauses Contractuelles Types CE — Certification ISO 27001, SOC 2 Type II
Telegram Messenger (optionnel)
Notifications internes (alertes leads, alertes techniques) — usage strictement interne agence
Localisation
Siège social : Émirats Arabes Unis (Dubaï) — Transfert hors EEE sans CCT formelles disponibles. Risque résiduel accepté sur la base de l'intérêt légitime (Art. 6.1.f) et de la minimisation des données.
Données transmises
Résumé anonymisé des alertes internes (ex : « nouveau lead reçu »). Aucune donnée personnelle identifiante de client final n'est transmise à Telegram.
Garantie de conformité
Aucun DPA Art. 28 disponible. Usage limité aux notifications d'alerte interne, sans données personnelles sensibles. Peut être désactivé sans impact sur le service client.
Transferts de données hors Espace Économique Européen
FLUXA SAS privilégie le recours à des prestataires établis dans l'Espace Économique Européen (EEE). Certains prestataires ont toutefois leur siège hors de l'EEE :
- Cloudflare Inc. (USA) — Les transferts vers Cloudflare sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne. Cloudflare dispose en outre de la certification DPF (Data Privacy Framework, successeur du Privacy Shield).
- Telegram Messenger Inc. — Usage limité aux notifications internes de l'agence. Aucune donnée personnelle client n'est transmise à Telegram sans base légale appropriée.
Les principaux prestataires (Supabase, Stripe Ireland, Brevo, OVH, n8n) sont établis dans l'UE/EEE et ne génèrent pas de transferts hors EEE nécessitant de garanties supplémentaires.
Mesures de sécurité techniques et organisationnelles
Conformément à l'article 32 du RGPD, FLUXA SAS a mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque :
Authentification sécurisée par email (Code unique)
Les clients s'authentifient via un code unique de vérification reçu par email. Aucun mot de passe n'est stocké. Protection brute-force : blocage après 3 tentatives échouées en 15 minutes.
Chiffrement des données au repos
Les bases de données Supabase (PostgreSQL sur AWS Frankfurt) utilisent le chiffrement AES-256 au repos. Les fichiers hébergés sur VPS OVH bénéficient du chiffrement du stockage physique.
Chiffrement des données en transit (TLS 1.3)
Toutes les communications entre le navigateur et les serveurs sont chiffrées via HTTPS/TLS 1.3 minimum. Les certificats SSL sont gérés automatiquement via Cloudflare.
Row Level Security (RLS) — Isolation des données
La base de données Supabase applique des politiques de sécurité au niveau des lignes (RLS). Chaque client ne peut accéder qu'à ses propres données. Le service role (admin) est exclusivement utilisé côté serveur.
Protection CSRF (Cross-Site Request Forgery)
Un jeton CSRF aléatoire (UUID, HttpOnly, Secure, SameSite=Lax) est généré par request. Les mutations sensibles (authentification) le valident explicitement. Les Server Actions Next.js bénéficient d'une protection CSRF native via l'en-tête Next-Action et les cookies SameSite=Lax.
Content Security Policy (CSP) stricte
Des en-têtes HTTP de sécurité (CSP, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy) sont appliqués sur toutes les réponses pour limiter les vecteurs d'attaque.
Authentification par clé API (intégrations externes)
L'API externe (n8n) est protégée par une clé secrète comparée en temps constant (timing-safe comparison) pour prévenir les attaques par timing. La clé est stockée exclusivement en variable d'environnement serveur.
Vérification de signature des webhooks Stripe
Chaque événement webhook Stripe est vérifié cryptographiquement via la signature HMAC-SHA256 (stripe.webhooks.constructEvent) avant tout traitement.
Journalisation et traçabilité (audit log)
Toutes les actions administratives significatives (créations, modifications, suppressions, envois d'emails, connexions) sont enregistrées dans un journal d'audit horodaté, accessible uniquement au personnel authentifié de l'agence.
Validation et assainissement des entrées (Zod)
Toutes les données reçues des formulaires et API sont validées côté serveur avec des schémas stricts (Zod). Les types de fichiers uploadés sont vérifiés par MIME type et extension pour prévenir l'injection de fichiers malveillants.
Durées de conservation
Conformément au principe de limitation de la conservation (Art. 5.1.e RGPD), les données ne sont pas conservées au-delà de ce qui est nécessaire à la finalité pour laquelle elles ont été collectées. Les durées ci-dessous sont applicables à compter de la fin de la relation contractuelle ou du dernier contact actif, sauf obligation légale contraire.
| Catégorie de données | Durée de conservation | Fondement |
|---|---|---|
| Données clients (identité, contact, contrat) | Durée du contrat + 3 ans | Art. 2224 C. civ. (prescription de droit commun) |
| Données comptables et factures | 10 ans à compter de la clôture de l'exercice | Art. L. 123-22 C. com. |
| Données de paiement (identifiants Stripe) | Durée du contrat + 5 ans (obligations PCI-DSS) | PCI-DSS v4.0 ; Art. L. 123-22 C. com. |
| Prospects (formulaire de contact) | 3 ans à compter du dernier contact | Recommandation CNIL — Prospection commerciale |
| Leads entrants via sites clients (leads_history) | 3 ans à compter de l'enregistrement | Intérêt légitime ; durée de prescription civile |
| Sessions d'authentification (access token) | 1 heure | Sécurité technique — renouvellement automatique |
| Sessions d'authentification (refresh token) | 7 jours | Sécurité technique |
| Tentatives de connexion (brute-force log) | 15 jours | Intérêt légitime — durée minimale nécessaire à la protection |
| Journal d'audit (logs administratifs) | 12 mois glissants | Intérêt légitime ; bonnes pratiques ANSSI |
| Messages de support (tickets) | Durée du contrat + 3 ans | Art. 2224 C. civ. |
| Cookie csrf_token | 1 heure (session) | Strictement nécessaire — exemption Art. 82 LIL |
| Fichiers média uploadés | Durée du contrat | Obligation contractuelle |
Droits des personnes concernées
Conformément aux articles 15 à 22 du RGPD, toute personne dont les données sont traitées par FLUXA SAS dispose des droits suivants. Ces droits s'exercent par écrit à l'adresse [email protected], accompagnés d'une copie d'un justificatif d'identité en cas de doute raisonnable.
Droit d'accès
Obtenir confirmation que des données vous concernant sont traitées et en obtenir une copie, ainsi que des informations sur les modalités du traitement.
Droit de rectification
Faire corriger des données inexactes ou incomplètes vous concernant, sans délai injustifié.
Droit à l'effacement (« droit à l'oubli »)
Obtenir la suppression de vos données dans les cas prévus par le RGPD (consentement retiré, données non nécessaires, opposition fondée, etc.), sous réserve des obligations légales de conservation.
Droit à la limitation du traitement
Obtenir la restriction du traitement de vos données dans certaines circonstances (contestation de l'exactitude, traitement illicite, besoin de conservation pour un recours).
Droit à la portabilité
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement (applicable aux traitements fondés sur le consentement ou le contrat).
Droit d'opposition
S'opposer à tout moment au traitement de vos données fondé sur l'intérêt légitime (Art. 6.1.f), pour des raisons tenant à votre situation particulière. Le droit d'opposition est absolu pour le traitement à des fins de prospection commerciale.
Droit relatif à la décision automatisée
Ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques significatifs. {legalName} n'effectue aucun profilage automatisé à des fins décisionnelles.
Droit de retrait du consentement
Retirer à tout moment votre consentement lorsque le traitement est fondé sur celui-ci (Art. 6.1.a), sans que ce retrait n'affecte la licéité du traitement antérieur.
Exercer vos droits
Adressez votre demande à [email protected]
Objet de l'email : « Exercice de mes droits RGPD ». Réponse garantie dans un délai d'un (1) mois (extensible à trois (3) mois pour les demandes complexes, Art. 12 §3 RGPD). Une copie d'un justificatif d'identité pourra être demandée.
Délai de réponse
1 mois (Art. 12 §3)
Recours CNIL
Plainte en ligne UE
Violation de données personnelles
En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, FLUXA SAS s'engage à :
- Notifier la violation à la CNIL dans un délai de 72 heures à compter du moment où l'agence en a connaissance (Art. 33 RGPD), sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés ;
- Communiquer, sans délai injustifié, aux personnes concernées toute violation susceptible d'engendrer un risque élevé pour leurs droits et libertés (Art. 34 RGPD), afin qu'elles puissent prendre les précautions nécessaires ;
- Documenter toute violation, même non notifiée, dans un registre interne des violations (Art. 33.5 RGPD).
Les sous-traitants (notamment Supabase) sont contractuellement tenus d'informer FLUXA SAS de toute violation dans un délai de 48 heures (conformément à l'article 10.4 des CGV).
Modifications de la politique de confidentialité
FLUXA SAS se réserve le droit de modifier la présente Politique de Confidentialité à tout moment, notamment pour s'adapter à l'évolution de la réglementation, des technologies employées ou des pratiques de traitement.
En cas de modification substantielle affectant les droits des personnes concernées, une information sera communiquée par e-mail aux utilisateurs du portail client au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.
La version en vigueur est celle accessible sur le site fluxaweb.fr. La date de dernière révision figure en haut de ce document. Les versions antérieures peuvent être obtenues sur demande.