Aller au contenu principal

Politique de Confidentialité

Dernière mise à jour : 31/03/2026

Chez Should-r, la protection de vos données personnelles est notre priorité absolue. Cette politique détaille comment nous collectons, utilisons et protégeons vos informations.

1. Responsable du traitement

Le responsable du traitement des données est :

Should-r — Société par Actions Simplifiée (SAS)

SIRET : 924 828 874 00017

65 rue de l'amiral Mouchez, 75013 Paris, France

Email : anthony.pho@should-r.com

2. Données collectées

2.1. Données d'identification

  • Nom et prénom
  • Adresse email
  • Numéro de téléphone (optionnel)
  • Adresse postale (pour certains services)

2.2. Données relatives aux démarches

  • Notes personnelles (chiffrées de bout en bout)
  • Tâches et échéances
  • Informations sur le défunt (si applicable)
  • Cartographie patrimoniale
  • Documents stockés dans l'espace sécurisé de stockage
  • Contacts et informations de l'annuaire personnel
  • Histoire de vie

2.3. Données de connexion

  • Adresse IP
  • Logs de connexion
  • Type de navigateur
  • Pages consultées
  • Durée de visite

2.4. Données de paiement

Les données de paiement sont traitées par notre prestataire de paiement sécurisé (Stripe). Should-r ne stocke jamais vos informations bancaires complètes.

3. Finalités du traitement

Nous utilisons vos données pour :

  • Fournir nos services : création de compte, accès à la plateforme, gestion des tâches, cartographie patrimoniale, espace sécurisé de stockage, annuaire de professionnels
  • Personnaliser l'expérience : adapter les recommandations et le contenu en fonction de votre situation
  • Communiquer :envoi d'emails transactionnels (confirmation de compte, réinitialisation de mot de passe, notifications), rappels de tâches
  • Améliorer nos services :analyse du trafic, statistiques d'utilisation, détection de bugs
  • Sécurité : prévention de la fraude, respect des obligations légales
  • Support client : répondre à vos questions et résoudre les problèmes

4. Base légale du traitement

Le traitement de vos données repose sur :

  • L'exécution du contrat : fourniture des services auxquels vous avez souscrit
  • Votre consentement : pour les cookies non essentiels et les communications marketing
  • Notre intérêt légitime : amélioration des services, sécurité, statistiques
  • Obligations légales : conservation des données comptables, lutte contre la fraude

5. Destinataires des données

Vos données peuvent être partagées avec :

  • Notre équipe : personnel habilité de Should-r (accès limité au strict nécessaire)
  • Sous-traitants techniques :
    • Vercel Inc. (États-Unis) — hébergement du site web
    • Supabase Inc. (serveur hébergé en France) — hébergement de la base de données, authentification, stockage de fichiers
    • Stripe Inc. (États-Unis) — traitement des paiements sécurisés
    • Resend(États-Unis) — envoi d'emails transactionnels
    • PostHog(hébergé en Europe — eu.posthog.com) — analyse d'audience anonymisée du site vitrine
  • Autorités : sur réquisition judiciaire ou obligation légale

Nous ne vendons jamais vos données à des tiers. Chaque sous-traitant est lié par un accord de traitement des données (DPA) conforme au RGPD.

6. Transferts internationaux

Certains de nos sous-traitants sont situés hors de l'Union Européenne (notamment aux États-Unis). Les données de la base de données (Supabase) sont hébergées sur un serveur situé en France.

Pour les transferts vers les États-Unis, nos sous-traitants adhèrent au EU-US Data Privacy Framework(décision d'adéquation de la Commission européenne du 10 juillet 2023), qui garantit un niveau de protection adéquat des données personnelles.

Pour les transferts vers d'autres pays tiers, nous nous appuyons sur les Clauses Contractuelles Types (CCT)adoptées par la Commission européenne, conformément à l'article 46 du RGPD.

7. Durée de conservation

Nous conservons vos données selon les durées suivantes :

  • Compte actif :pendant toute la durée d'utilisation du service
  • Après suppression du compte : vos données sont conservées pendant une période de grâce de 90 jours durant laquelle vous pouvez demander la restauration de votre compte. Passé ce délai, vos données sont supprimées définitivement et de manière irréversible
  • Données comptables : 10 ans (obligation légale — Art. L123-22 du Code de commerce)
  • Logs de connexion : 12 mois
  • Cookies : 13 mois maximum (conformément aux recommandations de la CNIL)

Passé ces délais, vos données sont supprimées ou anonymisées de manière irréversible.

8. Sécurité des données

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :

  • Chiffrement SSL/TLS pour toutes les communications
  • Chiffrement des mots de passe (bcrypt)
  • Chiffrement de bout en bout de l'espace sécurisé de stockage et des notes sensibles (AES-256-GCM, clés RSA-4096, dérivation PBKDF2)
  • Hébergement sécurisé certifié SOC 2 Type II (Vercel, Supabase)
  • Sauvegardes quotidiennes automatiques
  • Authentification à deux facteurs (disponible pour les comptes professionnels)
  • Surveillance et détection des intrusions 24/7
  • Accès restreint aux données (principe du moindre privilège)
  • Journalisation des accès et des modifications (logs d'audit)

9. Notification en cas de violation de données

Conformément aux articles 33 et 34 du RGPD, en cas de violation de données à caractère personnel susceptible d'engendrer un risque pour vos droits et libertés :

  • Nous notifions la CNIL dans un délai de 72 heures après en avoir pris connaissance
  • Si la violation est susceptible d'engendrer un risque élevé pour vos droits et libertés, nous vous en informons dans les meilleurs délais par email et/ou via une notification sur la plateforme
  • Nous documentons toute violation dans un registre interne, incluant la nature de la violation, ses effets probables et les mesures prises pour y remédier

10. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données
  • Droit de rectification : corriger des données inexactes
  • Droit à l'effacement : supprimer vos données (sous conditions)
  • Droit à la limitation : restreindre le traitement
  • Droit à la portabilité : récupérer vos données dans un format structuré
  • Droit d'opposition : refuser certains traitements
  • Droit de retirer votre consentement : à tout moment
  • Droit de définir des directives post-mortem : gestion de vos données après votre décès

Pour exercer vos droits :

Envoyez un email à : anthony.pho@should-r.com

Nous vous répondrons dans un délai d'un mois maximum. Une pièce d'identité pourra être demandée pour vérifier votre identité.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) à l'adresse : www.cnil.fr

11. Modifications de la politique

Nous nous réservons le droit de modifier cette politique de confidentialité à tout moment.

En cas de modification substantielle, nous vous en informerons par email ou via une notification sur la plateforme au moins 30 jours avant l'entrée en vigueur des changements.

Votre utilisation continue des services après ces modifications vaut acceptation de la nouvelle politique.

12. Droit applicable

La présente Politique de Confidentialité est régie par le droit français et le Règlement (UE) 2016/679 (RGPD).

13. Contact

Pour toute question concernant cette politique de confidentialité ou le traitement de vos données :

Référent protection des données :

Anthony PHO

Email : anthony.pho@should-r.com

Téléphone : 06 37 94 78 38

Courrier : Should-r, 65 rue de l'amiral Mouchez, 75013 Paris