Politique de confidentialité
Version du
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le site docrh.fr est TECH IT REAL, éditeur du service docrh.
Pour toute question relative à la présente politique ou pour exercer vos droits, vous pouvez écrire directement à l'adresse privacy@docrh.fr. Nous nous engageons à répondre dans un délai d'un mois à compter de la réception de votre demande, conformément à l'article 12 du RGPD.
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service :
- Adresse e-mail— pour l'envoi du document généré, si le Client choisit de le recevoir par e-mail.
- Numéro SIRET de l'entreprise— pour pré-remplir les documents RH et identifier l'employeur via l'API publique INSEE.
- Données de paiement— collectées et traitées directement par Stripe. L'éditeur ne stocke aucune donnée bancaire.
- Journaux techniques— adresse IP, user-agent et horodatage des requêtes vers nos API, conservés à des fins de sécurité (rate limiting, détection d'abus).
Données salariés — traitement stateless.Les données relatives aux salariés (noms, prénoms, salaires, dates d'entrée, etc.) saisies ou importées via le fichier Excel sont traitées exclusivement le temps de la génération du document. Elles ne sont jamais stockées en base par l'éditeur. Le fichier Excel est uniquement parsé en mémoire côté serveur le temps de la requête. Vous restez seul responsable de ces données au sens du RGPD.
3. Finalités et bases légales
Les traitements reposent sur les bases légales suivantes :
- Article 6.1.b RGPD (exécution du contrat) — envoi par e-mail du document généré, traitement du paiement Stripe, pré-remplissage du document à partir du SIRET.
- Article 6.1.f RGPD (intérêt légitime) — journalisation technique des requêtes API à des fins de sécurité et de prévention des abus (rate limiting).
- Article 6.1.c RGPD (obligation légale) — conservation des pièces comptables liées aux paiements pendant dix ans.
4. Sous-traitants et destinataires
Vos données peuvent être transmises aux sous-traitants suivants, dans les limites strictement nécessaires à leurs missions :
Stripe Payments Europe Ltd. (Irlande) — Stripe Inc. (États-Unis)
Traitement des paiements en ligne. Données transmises : adresse e-mail, montant, devise, métadonnées de la commande. Pas de donnée bancaire reçue ni stockée par l'éditeur.
Politique de confidentialité Stripe
Resend, Inc. (États-Unis)
Service d'envoi d'e-mails transactionnels. Données transmises : adresse e-mail du destinataire, document généré en pièce jointe.
Politique de confidentialité Resend
Railway Corp. (États-Unis)
Hébergement de l'infrastructure applicative en région europe-west4 (Pays-Bas). Les données en transit sont chiffrées via TLS 1.2/1.3.
Politique de confidentialité Railway
Cloudflare, Inc. (États-Unis)
Service DNS uniquement (DNS-only mode), sans proxy CDN. Voit transiter les requêtes DNS pour la résolution de docrh.fr.
Politique de confidentialité Cloudflare
Fastly, Inc. (États-Unis) — sous-traitant indirect via Railway
Réseau de diffusion de contenu (CDN) opéré par Railway en frontal de l'infrastructure applicative depuis le PoP de Paris. Voit transiter les requêtes HTTP des visiteurs (URL, adresse IP, user-agent) à des fins de mise en cache et de sécurité périmètre. Fastly est sous-traitant de Railway, lequel est sous-traitant direct de l'éditeur ; les garanties s'appliquent en cascade conformément à l'article 28.4 du RGPD.
Politique de confidentialité Fastly
Aucune donnée personnelle n'est vendue ou transmise à des tiers à des fins commerciales. Aucune régie publicitaire ni plateforme d'analytics n'a accès à vos données.
5. Transferts hors Union européenne
Plusieurs de nos sous-traitants sont établis aux États-Unis (Stripe Inc., Resend, Railway Corp., Cloudflare ainsi que Fastly en sous-traitance indirecte via Railway). Les transferts de données personnelles vers ces destinataires sont encadrés conformément aux articles 44 à 49 du RGPD :
- EU-US Data Privacy Framework (DPF)— Stripe, Resend, Cloudflare, Railway et Fastly figurent à l'actuelle liste publique du DPF ou ont des mécanismes équivalents. Le cadre d'adéquation UE-États-Unis adopté par la Commission européenne le 10 juillet 2023 (décision 2023/1795) constitue une garantie appropriée au sens de l'article 45 du RGPD.
- Clauses contractuelles types (CCT)version 2021/914 — utilisées en complément ou en substitution lorsque le sous-traitant n'est pas certifié DPF, conformément à l'article 46.2.c du RGPD.
- Évaluation post-Schrems II— pour chaque transfert vers les États-Unis, nous nous appuyons sur les déclarations publiques de nos sous-traitants concernant les demandes des autorités américaines (FISA 702, EO 12333) et leur capacité à les contester. Aucune donnée bancaire ni donnée salariée n'est transmise hors UE.
Vous pouvez obtenir une copie des garanties applicables (CCT, certificat DPF) sur simple demande à privacy@docrh.fr.
6. Durées de conservation
| Donnée | Durée | Fondement |
|---|---|---|
| SIRET et raison sociale | Le temps de la session | Exécution du contrat |
| Adresse e-mail destinataire | 12 mois (Resend) | Acheminement, résolution incidents |
| Données salariés (Excel) | Le temps de la génération | Stateless — non stockées |
| Pièces comptables Stripe | 10 ans | Art. L123-22 Code de commerce |
| Journaux techniques (logs) | 12 mois | Art. L34-1 CPCE, intérêt légitime |
| Journaux d'erreurs serveur | 90 jours | Sécurité, intérêt légitime |
7. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès — obtenir une copie des données vous concernant.
- Droit de rectification — faire corriger des données inexactes.
- Droit à l'effacement — demander la suppression de vos données.
- Droit à la limitation — restreindre le traitement dans certains cas.
- Droit d'opposition — vous opposer au traitement pour motif légitime.
- Droit à la portabilité — recevoir vos données dans un format structuré, couramment utilisé et lisible par machine.
- Droit de définir des directives post-mortem — article 85 de la loi Informatique et Libertés.
Pour exercer ces droits, écrivez directement à privacy@docrh.fr. Nous répondrons dans un délai d'un mois (prorogeable de deux mois en cas de complexité, conformément à l'article 12.3 du RGPD).
En cas de réponse insatisfaisante, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).
8. Cookies et traceurs
Le site docrh.fr n'utilise aucun cookie de tracking, aucun outil d'analytics tiers, et aucun pixel publicitaire. Aucune donnée de navigation n'est partagée avec des régies publicitaires ou des plateformes tierces.
Les seuls cookies susceptibles d'être déposés sont des cookies de session strictement fonctionnels, nécessaires au bon fonctionnement du parcours de paiement Stripe et à la protection des requêtes API contre les abus. Ces cookies sont exemptés de consentement au titre de l'article 82 de la loi Informatique et Libertés.
9. Nature du moteur de génération
docrh. utilise un moteur de génération déterministe : à entrée identique, sortie identique. Aucun modèle d'intelligence artificielle générative (LLM) n'intervient dans la rédaction des documents. Le texte produit résulte de templates rédigés par l'éditeur et de calculs algorithmiques fondés sur le Code du travail (préavis, indemnités). Cette précision répond aux exigences de transparence prévues à l'article 50 du Règlement (UE) 2024/1689 (EU AI Act).
10. Sécurité
Toutes les communications avec docrh.fr sont chiffrées via TLS 1.2/1.3. Les requêtes mutantes vers nos API sont protégées par un contrôle d'origine (CSRF) et un rate limiting par IP. En cas de violation de données, l'éditeur se conformera aux obligations de notification prévues aux articles 33 et 34 du RGPD. Les vulnérabilités peuvent être signalées à security@docrh.fr (cf. /.well-known/security.txt).
11. Droit applicable
La présente politique est soumise au droit français et au Règlement (UE) 2016/679 (RGPD). Tout litige relatif à son application sera soumis aux tribunaux français compétents.