Politique de Confidentialité
Protection et traitement de vos données personnelles conformément au RGPD
Dernière mise à jour : 5 mai 2026
1. Introduction
La présente politique de confidentialité (ci-après « la Politique ») décrit comment Gaether Inc. (ci-après « nous », « notre », « l'Éditeur »), exploitant la plateforme FLUX Manufacturing, collecte, utilise, stocke et protège les données personnelles des utilisateurs de la plateforme FLUX Manufacturing (ci-après « la Plateforme »).
Cette Politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD), à la loi n°78-17 du 6 janvier 1978 modifiée (loi Informatique et Libertés), et à la directive 2002/58/CE (directive ePrivacy).
2. Responsable du traitement
Gaether Inc. (exploitant la marque FLUX Manufacturing)
Siège social : 9 Rue de Malabry, 92350 Le Plessis-Robinson
RCS : 104 543 830 R.C.S. Nanterre
Email : contact@flux-manufacturing.com
Téléphone : +33 6 11 38 93 94
Délégué à la Protection des Données (DPO) : dpo@flux-manufacturing.com
3. Données collectées
3.1 Données d'identification
- Nom et prénom
- Adresse email professionnelle
- Numéro de téléphone (optionnel)
- Fonction, département et rôle au sein de l'entreprise
- Photo de profil (optionnel)
3.2 Données de connexion
- Adresse IP
- Identifiant unique Firebase (UID) et jetons d'authentification
- Logs de connexion (date, heure, statut)
- Type de navigateur et système d'exploitation
- Préférences d'utilisation (langue, thème, paramètres)
3.3 Données d'utilisation
- Actions réalisées sur la Plateforme (consultation, création, modification, suppression)
- Statistiques d'utilisation et fonctionnalités utilisées
- Historique de navigation au sein de la Plateforme
3.4 Données de facturation
- Informations relatives à l'abonnement et à la facturation
- Historique des transactions (gérées par Stripe, nous ne stockons aucune donnée de carte bancaire)
- Adresse de facturation et informations fiscales
3.5 Données métier (Contenu Utilisateur)
- Données de production, produits, composants, fournisseurs, clients
- Documents et fichiers uploadés
- Données de traçabilité et de qualité
Note : Pour les données métier, l'Éditeur agit en qualité de sous-traitant au sens du RGPD. Le Client demeure responsable de traitement.
4. Finalités et bases légales du traitement
| Finalité | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion des comptes et authentification | Exécution du contrat (Art. 6.1.b) |
| Fourniture des services de la Plateforme | Exécution du contrat (Art. 6.1.b) |
| Facturation et gestion des abonnements | Exécution du contrat (Art. 6.1.b) |
| Support technique et assistance | Exécution du contrat (Art. 6.1.b) |
| Amélioration des services et statistiques | Intérêt légitime (Art. 6.1.f) |
| Sécurité, prévention des fraudes et abus | Intérêt légitime (Art. 6.1.f) |
| Conservation des logs et données comptables | Obligation légale (Art. 6.1.c) |
| Communications marketing et newsletters | Consentement (Art. 6.1.a) |
| Cookies analytiques et marketing | Consentement (Art. 6.1.a) |
5. Conservation des données
Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :
| Type de données | Durée de conservation | Fondement |
|---|---|---|
| Données de compte | Durée du contrat + 3 ans (prescription) | Art. 2224 Code civil |
| Logs de connexion | 12 mois | Décret n°2011-219 (LCEN) |
| Données de facturation | 10 ans | Art. L.123-22 Code de commerce |
| Données de support | 2 ans après résolution du ticket | Intérêt légitime |
| Données métier (Contenu Utilisateur) | Durée du contrat + 30 jours de récupération | Exécution du contrat |
| Cookies non essentiels | 13 mois maximum | Recommandation CNIL |
6. Sous-traitants et destinataires des données
Vos données peuvent être transmises aux destinataires suivants, dans le strict cadre des finalités décrites ci-dessus :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| Google Cloud Platform | Hébergement, auth, stockage fichiers | UE (Irlande) | Certifié ISO 27001, SOC 2, CCT |
| MongoDB Atlas | Base de données | UE | Certifié SOC 2, ISO 27001, CCT |
| Stripe | Paiements | UE (Irlande) | PCI-DSS Niveau 1, CCT |
| Resend | Emails transactionnels | USA | CCT (UE-USA) |
CCT = Clauses Contractuelles Types adoptées par la Commission Européenne (Décision d'exécution 2021/914)
Vos données peuvent également être communiquées aux autorités compétentes (administratives ou judiciaires) lorsque la loi l'exige.
Nous ne vendons jamais vos données personnelles.
7. Transferts internationaux de données
L'essentiel de vos données est hébergé au sein de l'Union Européenne (région europe-west1, Irlande).
Certains sous-traitants (notamment Resend pour l'envoi d'emails) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne (Décision d'exécution 2021/914 du 4 juin 2021)
- Le Data Privacy Framework UE-USA, lorsque le sous-traitant y est certifié
- Des mesures techniques complémentaires (chiffrement en transit et au repos, pseudonymisation le cas échéant)
Conformément à l'article 46 du RGPD, nous nous assurons que tout transfert hors UE bénéficie de garanties appropriées.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (Art. 15) : obtenir la confirmation que des données vous concernant sont ou non traitées et en obtenir une copie
- Droit de rectification (Art. 16) : corriger des données inexactes ou compléter des données incomplètes
- Droit à l'effacement (Art. 17) : obtenir la suppression de vos données dans les cas prévus par le RGPD (retrait du consentement, données non nécessaires, etc.)
- Droit à la limitation (Art. 18) : obtenir la limitation du traitement dans certains cas (contestation de l'exactitude, traitement illicite, etc.)
- Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV)
- Droit d'opposition (Art. 21) : vous opposer au traitement fondé sur l'intérêt légitime ou à des fins de prospection commerciale
- Droit de retrait du consentement : retirer votre consentement à tout moment, sans que cela n'affecte la licéité du traitement fondé sur le consentement effectué avant ce retrait
- Directives post-mortem : définir des directives relatives au sort de vos données après votre décès (Art. 85 loi Informatique et Libertés)
Comment exercer vos droits :
- Par email à : dpo@flux-manufacturing.com
- Via la page Protection des Données (RGPD)
Nous répondrons à votre demande dans un délai d'un mois à compter de sa réception (Art. 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de complexité, après vous en avoir informé.
Une pièce d'identité pourra être demandée pour vérifier votre identité conformément à l'article 12.6 du RGPD.
9. Sécurité des données
Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées conformément à l'article 32 du RGPD pour protéger vos données contre tout accès non autorisé, perte, altération ou divulgation :
- Chiffrement : TLS 1.2+ en transit, chiffrement au repos (AES-256 via Google Cloud et MongoDB Atlas)
- Authentification : Firebase Authentication avec support 2FA/MFA, jetons JWT signés
- Contrôle d'accès : RBAC (Role-Based Access Control) avec 44 permissions granulaires
- Isolation : architecture multi-tenant avec base de données dédiée par client
- Surveillance : monitoring en temps réel, détection d'anomalies
- Sauvegarde : sauvegardes automatiques quotidiennes avec rétention de 7 jours minimum
- Hébergement : infrastructure en région UE (europe-west1) sur Google Cloud Platform
10. Notification de violation de données
Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel :
- Notification à la CNIL : dans les 72 heures suivant la prise de connaissance de la violation (sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes)
- Notification aux personnes concernées : dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques
- Documentation : toute violation sera documentée dans un registre interne incluant les faits, les effets et les mesures prises
11. Profilage et décisions automatisées
La Plateforme n'effectue aucun profilage ni aucune décision automatisée au sens de l'article 22 du RGPD ayant un effet juridique ou similaire significatif sur les personnes concernées.
Les statistiques et tableaux de bord disponibles sur la Plateforme sont des outils d'aide à la décision qui ne produisent pas de décisions automatisées affectant les individus.
12. Cookies
La Plateforme utilise des cookies et technologies similaires. Pour une information complète sur les cookies utilisés et la gestion de vos préférences, consultez notre Politique de Cookies.
13. Modifications de la Politique
Nous nous réservons le droit de modifier la présente Politique à tout moment. Toute modification substantielle sera notifiée aux Utilisateurs par email ou via la Plateforme au moins 15 jours avant son entrée en vigueur.
La date de dernière mise à jour est indiquée en haut de cette page. Nous vous invitons à consulter régulièrement cette Politique.
14. Réclamation
Si vous estimez que le traitement de vos données n'est pas conforme à la réglementation applicable, vous pouvez :
- Nous contacter directement : dpo@flux-manufacturing.com
- Saisir la CNIL : Commission Nationale de l'Informatique et des Libertés, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr/fr/plaintes
15. Contact
Pour toute question relative à cette politique ou au traitement de vos données :
Délégué à la Protection des Données (DPO)
Email : dpo@flux-manufacturing.com
Contact général : contact@flux-manufacturing.com
Téléphone : +33 6 11 38 93 94