Politique de confidentialité
UNIVILE SAS, éditeur de la plateforme MAFATE, s'engage à protéger vos données personnelles conformément au Règlement Général sur la Protection des Données (RGPD : Règlement UE 2016/679) et à la loi Informatique et Libertés.
1. Identité du responsable de traitement
- Dénomination
- UNIVILE SAS
- SIREN
- 891 146 490
- Siège social
- 62 Rue Pente Nicole, 97421 La Rivière, La Réunion, France
- contact@mafate.io
- DPO
- dpo@mafate.io
- Autorité de contrôle
- CNIL : www.cnil.fr
2. Données personnelles collectées
2.1 Données d'inscription et de compte
- Nom, prénom, adresse email (obligatoires)
- Nom de l'organisation / entreprise
- Mot de passe (stocké haché via bcrypt, jamais en clair)
- Clés d'authentification à deux facteurs (TOTP/WebAuthn)
2.2 Données d'utilisation du service
- Journaux d'opérations cryptographiques (dates, types, statuts), les données chiffrées elles-mêmes ne sont pas accessibles par MAFATE
- Clés d'encryption metadata (identifiants, noms, dates de rotation), les matières clés ne quittent pas le HSM
- Adresses IP de connexion et d'appels API
- Données de session (cookies de session sécurisés)
2.3 Données de facturation
- Informations de facturation (nom, adresse, pays, numéro TVA)
- Aucune donnée de carte bancaire n'est stockée chez MAFATE, traitement délégué à Stripe (PCI DSS Level 1)
2.4 Cookies et traceurs
Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du service :
| Cookie | Finalité | Durée |
|---|---|---|
| adonis_session | Session d'authentification | Session navigateur |
| remember_me | Connexion persistante (opt-in) | 30 jours |
| locale | Préférence de langue | 1 an |
Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
3. Finalités et bases légales (Art. 6 RGPD)
| Finalité | Base légale | Article RGPD |
|---|---|---|
| Fourniture du service (compte, authentification) | Exécution du contrat | Art. 6(1)(b) |
| Facturation et comptabilité | Obligation légale | Art. 6(1)(c) |
| Sécurité et prévention de la fraude | Intérêt légitime | Art. 6(1)(f) |
| Amélioration du service (analytics anonymisés) | Intérêt légitime | Art. 6(1)(f) |
| Communications marketing (avec consentement) | Consentement | Art. 6(1)(a) |
| Conformité aux obligations réglementaires | Obligation légale | Art. 6(1)(c) |
4. Destinataires des données
MAFATE ne vend pas vos données. Les données sont partagées uniquement avec les sous-traitants techniques nécessaires à la fourniture du service :
Scaleway SAS
Hébergement cloud principal
France (Paris)
Droit français
OVH SAS
Sauvegarde et backup
France (Roubaix)
Droit français
Stripe, Inc.
Traitement des paiements
UE (Stripe Payments Europe)
SCC approuvées
5. Transferts hors Union européenne
Aucun transfert hors UE
L'ensemble des données traitées par MAFATE reste en France ou dans l'Union européenne. Ni Scaleway, ni OVH n'effectuent de transferts vers des pays tiers. Le traitement des paiements par Stripe est opéré depuis l'entité européenne Stripe Payments Europe Ltd (Irlande), soumise au droit de l'UE.
6. Durée de conservation
| Catégorie de données | Durée de conservation |
|---|---|
| Données de compte actif | Durée du contrat + 3 ans après résiliation |
| Journaux d'audit cryptographique | 18 mois (NIS2 CIR 2024/2690) |
| Données de facturation | 10 ans (obligation comptable L.123-22 Code de commerce) |
| Logs de connexion et sécurité | 1 an (LCEN Art. 6) |
| Données marketing (avec consentement) | Jusqu'au retrait du consentement ou 3 ans sans activité |
7. Vos droits (Art. 15 à 22 RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art.15)
Obtenir une copie de vos données personnelles
Droit de rectification (Art.16)
Corriger des données inexactes ou incomplètes
Droit à l'effacement (Art.17)
Demander la suppression de vos données sous conditions
Droit à la portabilité (Art.20)
Recevoir vos données dans un format structuré
Droit d'opposition (Art.21)
Vous opposer aux traitements sur base d'intérêt légitime
Droit de limitation (Art.18)
Restreindre le traitement dans certains cas
Exercice de vos droits : Envoyez votre demande par email à dpo@mafate.io en joignant une copie de votre pièce d'identité. Réponse sous 30 jours (Art.12 RGPD).
Réclamation CNIL : Vous pouvez également déposer une plainte auprès de la CNIL (3 Place de Fontenoy, 75007 Paris, www.cnil.fr).
8. Sécurité des données
UNIVILE SAS met en œuvre les mesures techniques et organisationnelles suivantes conformément à l'Art.32 RGPD : chiffrement AES-256-GCM au repos, TLS 1.3 en transit, gestion des clés par HSM, authentification à deux facteurs, journaux d'audit HMAC, hébergement exclusivement en France, accès aux données sur la base du principe du moindre privilège, et tests de sécurité réguliers.
9. Modifications de la présente politique
UNIVILE SAS se réserve le droit de modifier cette politique à tout moment. En cas de modification substantielle, les utilisateurs seront notifiés par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions. La date de dernière mise à jour figure en haut de ce document.