Politique de Confidentialité

Protection de vos données personnelles - Conforme RGPD

🔒 Votre vie privée est importante pour nous

Nous nous engageons à protéger vos données personnelles et à respecter le Règlement Général sur la Protection des Données (RGPD). Cette politique explique comment nous collectons, utilisons et protégeons vos informations.

Date d'entrée en vigueur : 11/01/2026

Cette politique de confidentialité s'applique à tous les utilisateurs de Time Is Money.

1. Responsable du traitement des données

Le responsable du traitement de vos données personnelles est :

QR COMMUNICATION Société par Actions Simplifiée (SAS)
Siège social : 113 Boulevard Eugène Decros, 93260 Les Lilas, France
SIREN : 940 163 496
Email : contact@timeismoney.fr

2. Données personnelles collectées

Données de compte utilisateur

  • Identité : nom, prénom, email, téléphone
  • Connexion : mot de passe (hashé), adresse IP, dates de connexion
  • Professionnelles : fonction, département, taux horaire
  • Préférences : langue, fuseau horaire, thème, notifications

Données métier

  • Clients : noms, coordonnées, SIRET, numéro TVA
  • Facturation : factures, devis, avoirs, montants, TVA
  • Temps : entrées de temps, durées, descriptions, projets
  • Projets et tâches : noms, descriptions, assignations
  • Dépenses : montants, catégories, justificatifs

🔐 Données sensibles (module RH)

  • NIR (numéro de sécurité sociale) - chiffré AES-256
  • IBAN (coordonnées bancaires) - chiffré AES-256
  • Données RH : dates de naissance, adresses, contrats de travail
  • Documents de santé : arrêts de travail, certificats médicaux

🔒 Ces données sensibles sont chiffrées et protégées par blind indexing

🏥 Hébergement des Données de Santé (HDS)

Les documents de santé (arrêts de travail, certificats médicaux) sont des données de santé à caractère personnel au sens de l'Article L.1111-8 du Code de la santé publique.

Conformément à la réglementation française, ces données sont hébergées chez un prestataire certifié HDS (Hébergeur de Données de Santé).

🔒 Contrôle d'accès strict et traçabilité de tous les accès aux documents de santé

⚖️ Base légale : Article L.1111-8 du Code de la santé publique et décrets R1111-8-8 à R1111-11

📅 Conservation : 5 ans après la fin du contrat de travail (obligation URSSAF)

3. Finalités du traitement

Fourniture du service

Gestion de votre compte, facturation, suivi du temps, gestion de projets, catalogue produits, assistant IA

Obligations légales

Comptabilité (conservation 10 ans), déclarations fiscales, déclarations sociales (DPAE, URSSAF)

Sécurité

Prévention de la fraude, logs d'audit, traçabilité des opérations

Communication

Notifications système, emails transactionnels, support client

4. Bases légales du traitement

  • Exécution du contrat : Données nécessaires à la fourniture du service
  • Obligation légale : Facturation, comptabilité, déclarations sociales et fiscales
  • Consentement : Intégrations tierces (Google Calendar), notifications push
  • Intérêt légitime : Sécurité, prévention de la fraude, amélioration du service

5. Destinataires des données

Accès interne

Seuls les membres de votre organisation (tenant) ont accès à vos données. Isolation stricte multi-tenant.

Sous-traitants (Article 28 RGPD)

Service Finalité Localisation
Hetzner Cloud Hébergement et infrastructure 🇪🇺 Allemagne (UE)
Stripe Traitement des paiements 🌍 USA/UE (CCT)
Google (OAuth) Authentification OAuth et synchronisation calendrier (optionnel) 🌍 USA/UE (CCT)
Plaid Open Banking (AISP/PISP) 🌍 USA/UE (CCT)

6. Durées de conservation

Type de données Durée de conservation
Compte actif Durée de l'abonnement
Compte résilié 90 jours (puis suppression définitive)
Factures et données comptables 10 ans (obligation légale)
Données RH (NIR, IBAN, paie) 5 ans après fin de contrat (obligation URSSAF)
Logs techniques et d'audit 12 mois (audit factures : 10 ans)
🏦 Tokens d'accès bancaire / Transactions bancaires Suppression immédiate sur révocation du consentement
🏦 Suppression du compte utilisateur 90 jours de rétention avant suppression définitive

7. Mesures de sécurité

🔐 Chiffrement

  • HTTPS/TLS 1.3 pour toutes les communications
  • Chiffrement AES-256 au repos pour toutes les données sensibles
  • Mots de passe hashés avec bcrypt

🛡️ Contrôle d'accès

  • Authentification à deux facteurs (2FA)
  • Gestion des rôles et permissions
  • Isolation multi-tenant stricte

🔑 Gestion des clés (HSM)

Scaleway Secret Manager

Les clés de chiffrement sont gérées via Scaleway Secret Manager, une solution cloud souveraine certifiée SecNumCloud.

🔄 Rotation des clés

Les clés de chiffrement sont renouvelées automatiquement tous les 90 jours pour garantir une sécurité optimale.

🔒 Données chiffrées au repos et en transit

Les données suivantes sont systématiquement chiffrées (AES-256 au repos, TLS 1.3 en transit) :

  • Données utilisateur : nom, prénom, email
  • Données RH : nom, prénom, email, téléphone, adresse complète, contacts d'urgence, numéros d'identification (NIR, RQTH, permis de travail)
  • Données clients : nom, contact, email
  • Données entreprise : IBAN, BIC, nom de banque, clés API Stripe

8. Vos droits RGPD

📥
Droit d'accès

Vous pouvez demander une copie de toutes vos données personnelles

✏️
Droit de rectification

Vous pouvez modifier vos données dans vos paramètres

🗑️
Droit à l'effacement

Vous pouvez supprimer votre compte (conservation 90 jours puis suppression définitive)

📤
Droit à la portabilité

Vous pouvez exporter vos données aux formats CSV, Excel ou JSON

🚫
Droit d'opposition

Vous pouvez vous opposer à certains traitements (notifications, etc.)

Pour exercer vos droits

Contactez-nous à contact@timeismoney.fr

9. Cookies

Cookies strictement nécessaires (pas de consentement requis)

Ces cookies sont indispensables au fonctionnement du service :

  • Cookie de session : maintien de votre connexion
  • Token CSRF : protection contre les attaques
  • Langue : mémorisation de votre langue préférée

10. Open Banking et Accès aux Données Bancaires

🏦 Service optionnel avec votre consentement

Time Is Money propose un service d'Open Banking vous permettant de connecter vos comptes bancaires pour automatiser certaines opérations. Ce service est entièrement optionnel et nécessite votre consentement explicite.

Ce service est encadré par la Directive européenne sur les Services de Paiement (DSP2/PSD2) et le Règlement Général sur la Protection des Données (RGPD).

Données bancaires collectées

  • Informations de compte : titulaire, IBAN, type de compte
  • Historique des transactions : date, montant, libellé, catégorie
  • Soldes de compte en temps réel

🔒 Nous n'accédons JAMAIS à vos identifiants bancaires (login/mot de passe). L'authentification se fait directement auprès de votre banque via une connexion sécurisée.

Finalités du traitement

📥 Réconciliation automatique des paiements clients reçus

📊 Rapprochement bancaire pour la comptabilité

💹 Analyse et prévision de trésorerie

💳 Paiement des salaires (initiation de virements)

🧾 Paiement des factures fournisseurs (initiation de virements)

Base légale

⚖️ Consentement explicite (Article 94(2) DSP2 + Article 6(1)(a) RGPD)

L'accès à vos données bancaires repose exclusivement sur votre consentement explicite, que vous pouvez révoquer à tout moment.

Fournisseur de services Open Banking

Nous utilisons un prestataire agréé pour accéder à vos données bancaires de manière sécurisée :

Plaid Prestataire de Services de Paiement agréé AISP/PISP (FCA réf: 804718), opérant en Europe via le passeport européen
📍 Union Européenne (avec clauses contractuelles types pour les transferts USA si applicable)

Durées de conservation des données bancaires

Type de données Durée de conservation
Tokens d'accès bancaire / Transactions bancaires Suppression immédiate sur révocation du consentement
Suppression du compte utilisateur 90 jours de rétention avant suppression définitive
Données comptables liées aux transactions 10 ans (Art. L123-22 Code de commerce)
Logs d'accès aux comptes 12 mois (sécurité / audit)

⚠️ En cas de suppression de votre compte utilisateur (et non simple révocation Open Banking), la politique de rétention de 90 jours s'applique avant suppression définitive de toutes vos données.

Sécurité des données bancaires

  • Communication via API certifiées DSP2
  • Aucun stockage de vos identifiants bancaires
  • Chiffrement AES-256 des données sensibles
  • Authentification forte (SCA) requise tous les 90 jours conformément à la DSP2
  • Isolation multi-tenant stricte de vos données

Révocation du consentement

⚙️

Vous pouvez révoquer votre consentement à tout moment depuis les paramètres de votre compte, section "Connexions bancaires".

La révocation prend effet immédiatement : l'accès à vos comptes bancaires est coupé instantanément.

🗑️

Toutes vos données bancaires (transactions, soldes, informations de compte) sont supprimées immédiatement.

⚠️

Conséquences : les fonctionnalités de réconciliation automatique, d'analyse de trésorerie et d'initiation de paiements ne seront plus disponibles.

💡 Note : la révocation du consentement Open Banking est distincte de la suppression de votre compte. Vous conservez l'accès à toutes les autres fonctionnalités de Time Is Money.

11. Contact et réclamation

Pour toute question concernant vos données personnelles ou pour exercer vos droits :

Email : contact@timeismoney.fr

Droit de réclamation auprès de la CNIL : Vous disposez du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Des questions sur vos données ?

Notre équipe est à votre disposition pour répondre à toutes vos questions

Nous contacter