Politique de Confidentialité
Dernière mise à jour : 2 juin 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via Nomi est :
2. Données collectées
Nous collectons les données personnelles suivantes :
- Informations de compte : nom, adresse e-mail, mot de passe (haché)
- Données de l'entreprise : raison sociale, SIRET, adresse
- Données des salariés : nom, e-mail, poste, salaire, date de naissance, coordonnées bancaires (IBAN/BIC pour le versement du salaire)
- Données sensibles / particulières : numéro de sécurité sociale (NIR), ainsi que les données de complémentaire santé (mutuelle) et d'incapacité de travail (arrêts maladie / IJSS) nécessaires à l'établissement des bulletins de paie et des déclarations sociales
- Données de connexion : horodatages, adresse IP
Le NIR est traité dans les conditions strictes décrites à la section 4.3 ci-dessous.
3. Finalités du traitement
Vos données sont traitées pour les finalités suivantes :
- Gestion de la paie et calcul des cotisations sociales
- Déclarations sociales nominatives (DSN) auprès de l'URSSAF et des autres organismes sociaux
- Facturation et gestion des abonnements
- Gestion des congés et absences
- Suivi du temps de travail
- Authentification des comptes et contrôle d'accès
- Sécurité, prévention de la fraude et journalisation d'audit
4. Base légale
4.1 Base légale par activité de traitement (RGPD art. 6)
Chaque traitement repose sur une base légale spécifique :
4.2 Données particulières (RGPD art. 9)
Les données de santé (arrêts maladie, incapacité de travail / IJSS et données de mutuelle) constituent des données particulières au sens de l'art. 9.1. Elles sont traitées sur le seul fondement de l'art. 9.2.b — traitement nécessaire à l'exécution des obligations et à l'exercice des droits en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans les conditions autorisées par le droit français.
4.3 Numéro de sécurité sociale (NIR)
Le NIR (numéro d'inscription au répertoire) relève du régime spécifique de l'article 30 de la loi Informatique et Libertés et du décret n° 2019-341. Nomi traite le NIR exclusivement pour les finalités restreintes autorisées par la CNIL — la gestion de la paie et des déclarations sociales (DSN) — conformément au cadre juridique applicable aux employeurs et à leurs prestataires de paie. Le NIR n'est jamais utilisé comme identifiant général, son accès est restreint, il est masqué dans l'interface et il est exclu des données transmises à la supervision des erreurs.
5. Durée de conservation
Les données ne sont conservées que le temps nécessaire à chaque finalité. Durées concrètes par type de donnée :
À la résiliation du contrat, le client peut exporter ses données pendant 30 jours ; ensuite les données des systèmes actifs sont supprimées et seules les archives légales ci-dessus sont conservées.
6. Destinataires et sous-traitants des données
Vos données peuvent être transmises aux destinataires et sous-traitants suivants :
- Hébergement / calcul serverless : Vercel Inc. (États-Unis)
- Base de données : Turso / libSQL (hébergée dans l'UE, eu-west-1)
- Paiement : Stripe Inc.
- E-mails transactionnels : Resend
- Organismes sociaux : URSSAF, CPAM, CARCDSF, Agirc-Arrco (via la DSN)
Chaque sous-traitant agit dans le cadre d'un accord de sous-traitance (RGPD art. 28). Le NIR et les données de santé ne sont transmis à aucun sous-traitant d'analyse d'audience.
La supervision des erreurs (Sentry) est désactivée sur la surface de production destinée aux utilisateurs et ne fonctionne que sur des environnements internes de pré-production à accès restreint ; elle ne reçoit donc pas vos données personnelles et n'agit pas en tant que sous-traitant de celles-ci. Lorsqu'elle est utilisée en interne, les charges utiles sont expurgées des données personnelles et l'enregistrement de session (Session Replay) est désactivé.
7. Transferts hors UE
Vos données sont hébergées principalement en Europe. Tout transfert hors de l'Union Européenne n'intervient qu'avec des garanties appropriées conformément au RGPD.
8. Vos droits
Conformément au RGPD, vous disposez des droits suivants :
- Droit d'accès à vos données personnelles
- Droit de rectification des données inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la portabilité de vos données
- Droit d'opposition au traitement
Pour exercer vos droits, contactez-nous à : contact@shipfast.syndicate
Vous avez également le droit d'introduire une réclamation auprès de la CNIL : cnil.fr/pyramide
9. Sécurité
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, modification, destruction ou perte.