Politique de Confidentialite
Protection de vos donnees personnelles - Conforme RGPD
Nous nous engageons a proteger vos donnees personnelles et a respecter le Reglement General sur la Protection des Donnees (RGPD). Cette politique explique comment nous collectons, utilisons et protegeons vos informations.
Cette politique de confidentialite s'applique a tous les utilisateurs de Time Is Money.
1. Responsable du traitement des donnees
Le responsable du traitement de vos donnees personnelles est :
Siege social : 113 Boulevard Eugene Decros, 93260 Les Lilas, France
SIREN : 940 163 496
Email : contact@timeismoney.fr
2. Donnees personnelles collectees
Donnees de compte utilisateur
- Identite : nom, prenom, email, telephone
- Connexion : mot de passe (hashe), adresse IP, dates de connexion
- Professionnelles : fonction, departement, taux horaire
- Preferences : langue, fuseau horaire, theme, notifications
Donnees metier
- Clients : noms, coordonnees, SIRET, numero TVA
- Facturation : factures, devis, avoirs, montants, TVA
- Temps : entrees de temps, durees, descriptions, projets
- Projets et taches : noms, descriptions, assignations
- Depenses : montants, categories, justificatifs
Donnees sensibles (module RH)
- NIR (numero de securite sociale) - chiffre AES-256
- IBAN (coordonnees bancaires) - chiffre AES-256
- Donnees RH : dates de naissance, adresses, contrats de travail
- Documents de sante : arrets de travail, certificats medicaux
Ces donnees sensibles sont chiffrees et protegees par blind indexing
Hebergement des Donnees de Sante (HDS)
Les documents de sante (arrets de travail, certificats medicaux) sont des donnees de sante a caractere personnel au sens de l'Article L.1111-8 du Code de la sante publique.
Conformement a la reglementation francaise, ces donnees sont hebergees chez un prestataire certifie HDS (Hebergeur de Donnees de Sante).
Controle d'acces strict et tracabilite de tous les acces aux documents de sante
Base legale : Article L.1111-8 du Code de la sante publique et decrets R1111-8-8 a R1111-11
Conservation : 5 ans apres la fin du contrat de travail (obligation URSSAF)
3. Finalites du traitement
Gestion de votre compte, facturation, suivi du temps, gestion de projets, catalogue produits, assistant IA
Comptabilite (conservation 10 ans), declarations fiscales, declarations sociales (DPAE, URSSAF)
Prevention de la fraude, logs d'audit, tracabilite des operations
Notifications systeme, emails transactionnels, support client
4. Bases legales du traitement
- Execution du contrat : Donnees necessaires a la fourniture du service (compte, facturation, temps)
- Obligation legale : Facturation, comptabilite, declarations sociales et fiscales
- Consentement : Connexion bancaire (Open Banking), integrations tierces (Google Calendar), notifications push
- Interet legitime : Securite, prevention de la fraude, amelioration du service
5. Destinataires des donnees
Acces interne
Seuls les membres de votre organisation (tenant) ont acces a vos donnees. Isolation stricte multi-tenant.
Sous-traitants (Article 28 RGPD)
| Service | Finalite | Localisation |
|---|---|---|
| Hetzner Cloud | Hebergement et infrastructure cloud | Allemagne (UE) |
| Stripe | Traitement des paiements | USA/UE (CCT) |
| Google (OAuth) | Authentification OAuth et synchronisation calendrier (optionnel) | USA/UE (CCT) |
| Plaid | Open Banking (AISP/PISP) | USA/UE (CCT) |
| Qonto | Compte bancaire professionnel integre (partenaire officiel) | France / Union Europeenne |
Time Is Money est partenaire officiel de Qonto, la neobanque des entreprises. Ce partenariat permet une integration native et securisee de vos comptes Qonto, avec synchronisation en temps reel et conformite totale RGPD/DSP2.
7. Durees de conservation
| Type de donnees | Duree de conservation |
|---|---|
| Compte actif | Duree de l'abonnement |
| Compte resilie | 90 jours (puis suppression definitive) |
| Factures et donnees comptables | 10 ans (obligation legale - Art. L123-22 Code de commerce) |
| Donnees RH (NIR, IBAN, paie) | 5 ans apres fin de contrat (obligation URSSAF) |
| Logs techniques et d'audit | 12 mois (audit factures : 10 ans) |
| Tokens d'acces bancaire / Transactions bancaires | Suppression immediate sur revocation du consentement |
| Suppression du compte utilisateur | 90 jours de retention avant suppression definitive |
8. Mesures de securite
Chiffrement
- HTTPS/TLS 1.3 pour toutes les communications
- Chiffrement AES-256 au repos pour toutes les donnees sensibles
- Mots de passe hashes avec bcrypt
Controle d'acces
- Authentification a deux facteurs (2FA)
- Gestion des roles et permissions
- Isolation multi-tenant stricte
Gestion des cles (HSM)
Scaleway Secret Manager
Les cles de chiffrement sont gerees via Scaleway Secret Manager, une solution cloud souveraine certifiee SecNumCloud.
Rotation des cles
Les cles de chiffrement sont renouvelees automatiquement tous les 90 jours pour garantir une securite optimale.
Donnees chiffrees au repos et en transit
Les donnees suivantes sont systematiquement chiffrees (AES-256 au repos, TLS 1.3 en transit) :
- Donnees utilisateur : nom, prenom, email
- Donnees RH : nom, prenom, email, telephone, adresse complete, contacts d'urgence, numeros d'identification (NIR, RQTH, permis de travail)
- Donnees clients : nom, contact, email
- Donnees entreprise : IBAN, BIC, nom de banque, cles API Stripe
9. Vos droits RGPD
Vous pouvez demander une copie de toutes vos donnees personnelles
Vous pouvez modifier vos donnees dans vos parametres
Vous pouvez supprimer votre compte (conservation 90 jours puis suppression definitive)
Vous pouvez exporter vos donnees aux formats CSV, Excel ou JSON
Vous pouvez vous opposer a certains traitements (notifications, etc.)
Contactez-nous a contact@timeismoney.fr
Pour toute question relative a vos donnees personnelles, vous pouvez contacter notre DPO.
Email : dpo@timeismoney.fr
10. Cookies
Cookies strictement necessaires (pas de consentement requis)
Ces cookies sont indispensables au fonctionnement du service :
- Cookie de session : maintien de votre connexion
- Token CSRF : protection contre les attaques
- Langue : memorisation de votre langue preferee
11. Open Banking et Acces aux Donnees Bancaires
Time Is Money propose un service d'Open Banking vous permettant de connecter vos comptes bancaires professionnels pour automatiser certaines operations. Ce service est entierement optionnel et necessite votre consentement explicite.
Ce service est encadre par la Directive europeenne sur les Services de Paiement (DSP2/PSD2) et le Reglement General sur la Protection des Donnees (RGPD).
Donnees bancaires collectees
- Informations de compte : titulaire, IBAN, type de compte, nom de la banque
- Historique des transactions : date, montant, libelle, categorie
- Soldes de compte en temps reel
Nous n'accedons JAMAIS a vos identifiants bancaires (login/mot de passe). L'authentification se fait directement aupres de votre banque via une connexion securisee.
Finalites du traitement
Rapprochement automatique des paiements clients recus
Rapprochement bancaire pour la comptabilite
Analyse et prevision de tresorerie
Verification des virements de salaire
Verification des paiements fournisseurs
Base legale
Consentement explicite (Article 94(2) DSP2 + Article 6(1)(a) RGPD)
L'acces a vos donnees bancaires repose exclusivement sur votre consentement explicite, que vous pouvez revoquer a tout moment.
Fournisseur de services Open Banking
Nous utilisons un prestataire agree pour acceder a vos donnees bancaires de maniere securisee :
Donnees hebergees exclusivement en France et dans l'Union Europeenne
Etablissement de paiement agree par l'ACPR (Autorite de Controle Prudentiel et de Resolution)
Donnees hebergees exclusivement en France et dans l'Union Europeenne
Durees de conservation des donnees bancaires
| Type de donnees | Duree de conservation |
|---|---|
| Tokens d'acces bancaire / Transactions bancaires | Suppression immediate sur revocation du consentement |
| Suppression du compte utilisateur | 90 jours de retention avant suppression definitive |
| Donnees comptables liees aux transactions | 10 ans (Art. L123-22 Code de commerce) |
| Logs d'acces aux comptes | 12 mois (securite / audit) |
En cas de suppression de votre compte utilisateur (et non simple revocation Open Banking), la politique de retention de 90 jours s'applique avant suppression definitive de toutes vos donnees.
Securite des donnees bancaires
- Communication via API certifiees DSP2
- Aucun stockage de vos identifiants bancaires
- Chiffrement AES-256 des donnees sensibles
- Authentification forte (SCA) requise tous les 90 jours conformement a la DSP2
- Isolation multi-tenant stricte de vos donnees
Revocation du consentement
Vous pouvez revoquer votre consentement a tout moment depuis les parametres de votre compte, section "Connexions bancaires".
La revocation prend effet immediatement : l'acces a vos comptes bancaires est coupe instantanement.
Toutes vos donnees bancaires (transactions, soldes, informations de compte) sont supprimees immediatement.
Consequences : les fonctionnalites de rapprochement automatique et d'analyse de tresorerie ne seront plus disponibles.
Note : la revocation du consentement Open Banking est distincte de la suppression de votre compte. Vous conservez l'acces a toutes les autres fonctionnalites de Time Is Money.
13. Contact et reclamation
Pour toute question concernant vos donnees personnelles ou pour exercer vos droits :
Email : contact@timeismoney.fr
Droit de reclamation aupres de la CNIL : Vous disposez du droit d'introduire une reclamation aupres de la Commission Nationale de l'Informatique et des Libertes (CNIL).
Des questions sur vos donnees ?
Notre equipe est a votre disposition pour repondre a toutes vos questions
Contacter le DPO