Politique de confidentialité

Dernière mise à jour : 3 mai 2026

⚠️ Cette politique a été rédigée comme première base de travail. Elle doit être validée par un avocat ou un DPO avant l'ouverture aux paiements réels. Les champs marqués « [À COMPLÉTER] » sont à remplir avec les informations de l'éditeur.

1. Préambule

La présente politique de confidentialité décrit la manière dont Mon Dashboard (ci-après « nous » ou « le Service ») collecte, utilise, partage et protège les données à caractère personnel des utilisateurs de la plateforme accessible à l'adresse https://mondashboard.eu.

Nous nous engageons à respecter le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) ainsi que la loi française n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

2. Responsable de traitement

Le responsable de traitement des données personnelles collectées via le Service est :

  • [À COMPLÉTER — raison sociale]
  • [À COMPLÉTER — adresse du siège social]
  • SIREN : [À COMPLÉTER]
  • Email : privacy@mondashboard.eu

Pour toute question relative au traitement de vos données, vous pouvez nous écrire à privacy@mondashboard.eu.

3. Données collectées

3.1. Données fournies par vous

  • Compte utilisateur : nom complet, adresse email, mot de passe (chiffré), photo de profil (si fournie via Google).
  • Société : nom de la société, secteur d'activité, taille de l'équipe.
  • Indicateurs (KPIs) et objectifs : données que vous importez ou saisissez manuellement (libellés, valeurs, périodes).
  • Tâches et commentaires : contenu textuel, dates, assignations.
  • Paiement : les informations de carte bancaire ne transitent jamais par nos serveurs. Elles sont collectées et stockées directement par Stripe (voir §6).

3.2. Données collectées automatiquement

  • Logs techniques : adresse IP, type de navigateur, pages consultées, date et heure de connexion.
  • Cookies de session : strictement nécessaires au fonctionnement de l'authentification (pas de cookie publicitaire ni de tracking tiers à ce jour).
  • Erreurs applicatives : via Sentry (région UE), pour détecter et corriger les bugs.

3.3. Données issues d'intégrations tierces (optionnelles)

Lorsque vous connectez une intégration depuis Réglages → Sources :

  • Stripe Connect : avec votre autorisation expresse, nous accédons en lecture seule aux données agrégées de votre compte Stripe (chiffre d'affaires, abonnements, clients, transactions) afin de calculer vos KPIs.
  • Google Sheets : avec votre autorisation expresse, nous lisons le contenu des feuilles que vous importez. Nous ne modifions jamais vos sheets.

Vous pouvez à tout moment révoquer ces autorisations depuis Réglages → Sources, ou directement depuis votre compte Stripe ou Google.

4. Finalités et bases légales

FinalitéBase légale
Fournir le Service (création de compte, dashboards, rapports)Exécution du contrat (art. 6.1.b RGPD)
Facturation et gestion des abonnementsExécution du contrat + obligation légale (art. 6.1.b et 6.1.c RGPD)
Génération de rapports IA (envoi des KPIs vers OpenAI)Exécution du contrat (art. 6.1.b RGPD)
Sécurité, prévention de la fraude, logsIntérêt légitime (art. 6.1.f RGPD)
Emails transactionnels (confirmation, reset mot de passe, rapports hebdo)Exécution du contrat (art. 6.1.b RGPD)
Amélioration du produit (analyse anonymisée)Intérêt légitime (art. 6.1.f RGPD)

5. Durée de conservation

  • Données de compte : pendant toute la durée de votre abonnement, puis pendant 3 ans à compter de la dernière connexion (pour permettre une réactivation), sauf demande de suppression.
  • Données business (KPIs, objectifs, tâches) : supprimées dans les 30 jours suivant la suppression du compte.
  • Données de facturation : 10 ans à compter de la fin de l'exercice comptable concerné (obligation fiscale française).
  • Logs techniques et erreurs : 90 jours maximum.

6. Sous-traitants et destinataires

Pour fournir le Service, nous faisons appel aux sous-traitants suivants. Chacun est lié par un contrat (DPA — Data Processing Agreement) imposant des obligations équivalentes aux nôtres en matière de protection des données.

Sous-traitantRôleHébergement / pays
Vercel Inc.Hébergement de l'application webÉtats-Unis
Supabase Inc.Base de données et authentificationUnion européenne (Francfort)
Stripe Inc.Traitement des paiements + lecture des données Stripe ConnectÉtats-Unis et Irlande (filiale UE)
OpenAI Ireland LtdGénération des rapports stratégiques (modèle GPT-4o)Irlande / États-Unis
Resend Inc.Envoi des emails transactionnelsÉtats-Unis
Google Ireland LtdAuthentification Google et lecture optionnelle des SheetsIrlande
Functional Software Inc. (Sentry)Surveillance des erreurs applicativesUnion européenne (Francfort)

Nous ne vendons jamais vos données. Nous ne les partageons avec d'autres tiers que sur réquisition d'une autorité publique compétente conformément au droit applicable.

7. Transferts hors Union européenne

Certains de nos sous-traitants (Vercel, Stripe US, OpenAI, Resend) traitent des données depuis les États-Unis. Ces transferts sont encadrés par :

  • Le EU-US Data Privacy Framework pour les sous-traitants certifiés (notamment Stripe et Google).
  • Des Clauses Contractuelles Types (CCT) adoptées par la Commission européenne pour les autres.

Vous pouvez nous demander une copie des garanties à privacy@mondashboard.eu.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Accès : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
  • Rectification : faire corriger des données inexactes ou incomplètes.
  • Effacement : demander la suppression de vos données (« droit à l'oubli »). La fonction « Supprimer mon compte » disponible dans Réglages déclenche cette suppression.
  • Limitation : demander la suspension d'un traitement.
  • Opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
  • Portabilité : recevoir vos données dans un format structuré et lisible par machine, et les transmettre à un autre responsable de traitement.
  • Directives post-mortem : définir le sort de vos données après votre décès.

Pour exercer ces droits, écrivez-nous à privacy@mondashboard.eu. Nous vous répondrons dans un délai d'un mois.

9. Sécurité

Nous mettons en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement TLS 1.3 en transit, chiffrement au repos par Supabase, isolation par utilisateur via Row-Level Security (RLS) PostgreSQL, hashage des mots de passe (bcrypt), authentification par OAuth pour les intégrations tierces, journalisation des accès, sauvegardes régulières.

10. Cookies

Le Service utilise uniquement des cookies strictement nécessaires au fonctionnement de l'authentification (cookie de session Supabase). Aucun cookie publicitaire ni cookie de mesure d'audience tiers n'est déposé. Le consentement n'est donc pas requis pour ces cookies (article 82 de la loi Informatique et Libertés).

Si nous ajoutons à l'avenir des cookies non nécessaires (ex. outil d'analytics), un bandeau de consentement vous sera proposé.

11. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la CNIL :

12. Évolution de la politique

La présente politique peut évoluer pour s'adapter aux évolutions légales et fonctionnelles du Service. La date de dernière mise à jour figure en haut de cette page. En cas de modification substantielle, nous vous en informerons par email au moins 15 jours avant l'entrée en vigueur.