Politique de Confidentialité

Dernière mise à jour : 2 juin 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Nomi est :

ShipFast Syndicate
Email :contact@shipfast.syndicate

2. Données collectées

Nous collectons les données personnelles suivantes :

  • Informations de compte : nom, adresse e-mail, mot de passe (haché)
  • Données de l'entreprise : raison sociale, SIRET, adresse
  • Données des salariés : nom, e-mail, poste, salaire, date de naissance, coordonnées bancaires (IBAN/BIC pour le versement du salaire)
  • Données sensibles / particulières : numéro de sécurité sociale (NIR), ainsi que les données de complémentaire santé (mutuelle) et d'incapacité de travail (arrêts maladie / IJSS) nécessaires à l'établissement des bulletins de paie et des déclarations sociales
  • Données de connexion : horodatages, adresse IP

Le NIR est traité dans les conditions strictes décrites à la section 4.3 ci-dessous.

3. Finalités du traitement

Vos données sont traitées pour les finalités suivantes :

  • Gestion de la paie et calcul des cotisations sociales
  • Déclarations sociales nominatives (DSN) auprès de l'URSSAF et des autres organismes sociaux
  • Facturation et gestion des abonnements
  • Gestion des congés et absences
  • Suivi du temps de travail
  • Authentification des comptes et contrôle d'accès
  • Sécurité, prévention de la fraude et journalisation d'audit

4. Base légale

4.1 Base légale par activité de traitement (RGPD art. 6)

Chaque traitement repose sur une base légale spécifique :

Paie, bulletins, DSN et déclarations sociales :Art. 6.1.b exécution d'un contrat, et art. 6.1.c respect d'une obligation légale (Code du travail, Code de la sécurité sociale)
Authentification et gestion des accès :Art. 6.1.b exécution d'un contrat
Facturation et gestion des abonnements :Art. 6.1.b exécution d'un contrat, et art. 6.1.c obligations légales et comptables
Sécurité, prévention de la fraude et journalisation d'audit :Art. 6.1.f intérêt légitime à sécuriser le service et les données qu'il contient
Supervision des erreurs sur les environnements internes / de pré-production :Art. 6.1.f intérêt légitime au maintien de la fiabilité du service (non actif sur la surface de production destinée aux utilisateurs — voir section 6)

4.2 Données particulières (RGPD art. 9)

Les données de santé (arrêts maladie, incapacité de travail / IJSS et données de mutuelle) constituent des données particulières au sens de l'art. 9.1. Elles sont traitées sur le seul fondement de l'art. 9.2.b — traitement nécessaire à l'exécution des obligations et à l'exercice des droits en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans les conditions autorisées par le droit français.

4.3 Numéro de sécurité sociale (NIR)

Le NIR (numéro d'inscription au répertoire) relève du régime spécifique de l'article 30 de la loi Informatique et Libertés et du décret n° 2019-341. Nomi traite le NIR exclusivement pour les finalités restreintes autorisées par la CNIL — la gestion de la paie et des déclarations sociales (DSN) — conformément au cadre juridique applicable aux employeurs et à leurs prestataires de paie. Le NIR n'est jamais utilisé comme identifiant général, son accès est restreint, il est masqué dans l'interface et il est exclu des données transmises à la supervision des erreurs.

5. Durée de conservation

Les données ne sont conservées que le temps nécessaire à chaque finalité. Durées concrètes par type de donnée :

Bulletins de paie :50 ans (ou jusqu'aux 75 ans du salarié), conformément à l'art. L3243-4 du Code du travail / règles du bulletin électronique
Registres de paie, déclarations sociales (DSN), justificatifs de cotisations :5 ans (Code du travail ; art. L243-12 du Code de la sécurité sociale)
Relevés de temps de travail :5 ans
Congés / absences (y compris arrêts maladie) :5 ans ; le détail de santé est minimisé et non conservé au-delà de la durée nécessaire à la déclaration
Documents comptables et de facturation :10 ans (art. L123-22 du Code de commerce)
NIR et données d'identité des salariés :Conservés pendant la relation de travail active ; archivés avec le dossier de paie puis supprimés à l'expiration des durées ci-dessus
Données de compte / authentification :Durée du contrat, puis suppression sous 30 jours après clôture du compte
Journaux de connexion et journaux d'audit (IP, user-agent) :12 mois
Événements de supervision des erreurs (interne / pré-production uniquement) :90 jours (valeur par défaut Sentry), expurgés des données personnelles avant transmission

À la résiliation du contrat, le client peut exporter ses données pendant 30 jours ; ensuite les données des systèmes actifs sont supprimées et seules les archives légales ci-dessus sont conservées.

6. Destinataires et sous-traitants des données

Vos données peuvent être transmises aux destinataires et sous-traitants suivants :

  • Hébergement / calcul serverless : Vercel Inc. (États-Unis)
  • Base de données : Turso / libSQL (hébergée dans l'UE, eu-west-1)
  • Paiement : Stripe Inc.
  • E-mails transactionnels : Resend
  • Organismes sociaux : URSSAF, CPAM, CARCDSF, Agirc-Arrco (via la DSN)

Chaque sous-traitant agit dans le cadre d'un accord de sous-traitance (RGPD art. 28). Le NIR et les données de santé ne sont transmis à aucun sous-traitant d'analyse d'audience.

La supervision des erreurs (Sentry) est désactivée sur la surface de production destinée aux utilisateurs et ne fonctionne que sur des environnements internes de pré-production à accès restreint ; elle ne reçoit donc pas vos données personnelles et n'agit pas en tant que sous-traitant de celles-ci. Lorsqu'elle est utilisée en interne, les charges utiles sont expurgées des données personnelles et l'enregistrement de session (Session Replay) est désactivé.

7. Transferts hors UE

Vos données sont hébergées principalement en Europe. Tout transfert hors de l'Union Européenne n'intervient qu'avec des garanties appropriées conformément au RGPD.

8. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès à vos données personnelles
  • Droit de rectification des données inexactes
  • Droit à l'effacement (« droit à l'oubli »)
  • Droit à la portabilité de vos données
  • Droit d'opposition au traitement

Pour exercer vos droits, contactez-nous à : contact@shipfast.syndicate

Vous avez également le droit d'introduire une réclamation auprès de la CNIL : cnil.fr/pyramide

9. Sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, modification, destruction ou perte.