extralift.Espace client →

RGPD · Loi Informatique et Libertés

Politique de confidentialité

La présente politique de confidentialité a pour objet d'informer les utilisateurs du service ExtraLift sur la manière dont leurs données personnelles sont collectées, utilisées, conservées et protégées par la société NatixLab, éditrice du Service, conformément au règlement (UE) 2016/679 du 27 avril 2016 (« RGPD ») et à la loi n° 78-17 du 6 janvier 1978 modifiée (« Loi Informatique et Libertés »).

1. Responsable du traitement

Identité
NatixLab — SASU
Adresse
66 Bd Carnot, 06400 Cannes, France
SIREN
945 140 440
Représentant légal
Le Président de NatixLab
Contact protection des données
admin@extralift.fr

Pour toute question relative à vos données personnelles, vous pouvez contacter notre référent à l'adresse admin@extralift.fr.

2. Données collectées

Selon votre utilisation du Service, nous pouvons être amenés à collecter différentes catégories de données personnelles.

2.1 Lors de l'inscription

  • Nom et prénom du représentant légal
  • Adresse de courriel professionnelle
  • Numéro de téléphone (facultatif)
  • Raison sociale, SIREN, SIRET, forme juridique, adresse du siège
  • Numéro de TVA intracommunautaire (le cas échéant)
  • Identifiants de connexion (mot de passe haché ou identifiant de session magique)

2.2 Lors de l'utilisation du Service

  • Données saisies dans le Service : clients, contacts, devis, factures, planning, encaissements, fichiers téléversés (logos, photos de chantier, pièces jointes de support)
  • Données de connexion : adresse IP, type de navigateur, date et heure de connexion, pages consultées, actions effectuées
  • Données de communication : tickets de support, échanges par courriel avec l'équipe ExtraLift

2.3 Lors de la souscription à un abonnement payant

  • Données de facturation : adresse de facturation, raison sociale, TVA intracommunautaire
  • Données de paiement : les données de carte bancaire ne transitent jamais par les serveurs de NatixLab. Elles sont collectées et traitées directement par notre prestataire de paiement Stripe, qui transmet à NatixLab uniquement les éléments nécessaires à la facturation (4 derniers chiffres, marque, expiration).

3. Finalités et bases légales

Chaque traitement de données personnelles repose sur une base légale précise, conformément à l'article 6 du RGPD.

Fournir le Service
Création et gestion du compte, accès aux fonctionnalités, sauvegarde des Données du Client. Base légale : exécution du contrat (art. 6.1.b RGPD).
Gestion de la facturation
Émission des factures, encaissement, comptabilité. Base légale : exécution du contrat et obligation légale (art. 6.1.b et 6.1.c RGPD, Code de commerce).
Support technique
Réponse aux tickets de support et aux demandes par courriel. Base légale : exécution du contrat (art. 6.1.b RGPD).
Sécurité et anti-fraude
Détection des comportements anormaux, journalisation des accès, protection contre les abus. Base légale : intérêt légitime (art. 6.1.f RGPD).
Amélioration du Service
Analyse anonymisée de l'usage pour améliorer les fonctionnalités. Base légale : intérêt légitime (art. 6.1.f RGPD).
Information produit
Communication sur les évolutions du Service et nouveautés. Base légale : intérêt légitime du responsable et droit d'opposition à tout moment.
Prospection commerciale
Adressée uniquement aux contacts ayant donné leur consentement explicite. Base légale : consentement (art. 6.1.a RGPD).

4. Destinataires et sous-traitants

Vos données ne sont en aucun cas vendues, louées ou cédées à des tiers. Elles sont accessibles uniquement par les collaborateurs habilités de NatixLab et par les sous-traitants techniques strictement nécessaires à l'exécution du Service, dans la limite de leurs missions :

Vercel Inc. (États-Unis, déploiement UE)
Hébergement de l'application et du site. Déploiement régional UE (Paris/Francfort). Transfert encadré par les clauses contractuelles types de la Commission européenne (DPF / SCC).
Supabase Inc. (Singapour, données stockées UE)
Hébergement de la base de données et du stockage de fichiers. Région de stockage des données : Francfort (Allemagne, UE). Transfert encadré par SCC.
Stripe Payments Europe Ltd. (Irlande)
Traitement des paiements par carte bancaire. Données de carte traitées directement par Stripe, qui agit en qualité de responsable autonome.
Resend (États-Unis)
Envoi des courriels transactionnels (confirmation, factures, support). Transfert encadré par SCC.
myPOS (Bulgarie / UE)
Traitement des encaissements par terminal de paiement (clients utilisateurs de ce service uniquement). Responsable autonome pour les paiements.

Chaque sous-traitant est lié à NatixLab par un contrat écrit qui impose des garanties suffisantes de sécurité et de confidentialité, conformément à l'article 28 du RGPD. La liste complète et à jour des sous-traitants est disponible sur demande à admin@extralift.fr.

5. Transferts hors Union européenne

Certains sous-traitants ont leur siège en dehors de l'Union européenne (notamment Vercel, Supabase et Resend). Toutefois, les données elles-mêmes sont stockées dans des datacenters situés dans l'Union européenne. Lorsqu'un transfert hors UE est néanmoins nécessaire (par exemple, accès à des fins de support technique), il est encadré par les clauses contractuelles types de la Commission européenne (Standard Contractual Clauses — SCC) et, le cas échéant, par les mécanismes de certification reconnus tels que le Data Privacy Framework (DPF) avec les États-Unis.

6. Durée de conservation

Données de compte actif
Conservées tant que le compte est actif et pendant la durée nécessaire à l'exécution du contrat.
Données après résiliation
Conservées pendant 90 jours après la résiliation, à des fins d'export possible par le Client. Au-delà, elles sont irrévocablement supprimées.
Données comptables (factures, justificatifs)
Conservées 10 ans à compter de la clôture de l'exercice, conformément au Code de commerce (art. L.123-22).
Données de connexion (logs techniques)
Conservées 12 mois à des fins de sécurité et d'analyse d'incident.
Données de prospection commerciale
Conservées 3 ans à compter du dernier contact, ou jusqu'au retrait du consentement.
Données de support
Conservées 3 ans après la clôture du ticket.

7. Vos droits

Conformément aux articles 15 à 22 du RGPD, vous disposez à tout moment des droits suivants sur vos données :

  • Droit d'accès : obtenir confirmation que des données vous concernant sont traitées et en recevoir copie.
  • Droit de rectification : faire corriger les données inexactes ou incomplètes.
  • Droit à l'effacement(« droit à l'oubli ») : demander la suppression de vos données, dans les limites prévues par la loi.
  • Droit à la limitation : demander la suspension du traitement de vos données dans certaines situations.
  • Droit à la portabilité : recevoir vos données dans un format structuré et couramment utilisé (CSV, JSON).
  • Droit d'opposition : vous opposer au traitement de vos données pour des motifs tenant à votre situation particulière, notamment pour la prospection commerciale.
  • Droit de définir des directives post-mortem sur le sort de vos données après votre décès.
  • Droit de retirer votre consentement à tout moment lorsque le traitement repose sur celui-ci.

Comment exercer vos droits

Pour exercer ces droits, vous pouvez nous écrire à admin@extralift.fr en précisant l'objet de votre demande et en joignant, si nécessaire, un justificatif d'identité. Nous nous engageons à répondre dans un délai d'un (1) mois, susceptible d'être prolongé de deux (2) mois en cas de demande complexe (article 12.3 RGPD).

Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés ou que le traitement de vos données n'est pas conforme à la réglementation, vous avez le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) à l'adresse www.cnil.fr/fr/plaintes ou par courrier à : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.

8. Sécurité

NatixLab met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, et notamment :

  • Chiffrement des communications par TLS (HTTPS) sur l'ensemble du Service
  • Chiffrement au repos des bases de données et des fichiers stockés
  • Authentification renforcée par lien magique à usage unique (sans mot de passe à mémoriser, donc sans risque de fuite par phishing classique)
  • Isolation logique stricte des données entre tenants : chaque organisation ne peut accéder qu'à ses propres données via politiques de sécurité au niveau de la base de données (RLS)
  • Journalisation des accès et des actions sensibles
  • Sauvegardes régulières et chiffrées
  • Sensibilisation des collaborateurs habilités
  • Conventions de sous-traitance signées avec chaque prestataire technique ayant accès aux données

9. Notification en cas de violation

En cas de violation de données à caractère personnel susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, NatixLab s'engage à notifier l'incident à la CNIL dans les 72 heures suivant sa connaissance, et à informer les personnes concernées dans les meilleurs délais, conformément aux articles 33 et 34 du RGPD.

10. Cookies

L'utilisation des cookies sur le Service fait l'objet d'une politique dédiée, consultable à l'adresse /legal/cookies.

11. Modifications de la politique

NatixLab peut être amenée à modifier la présente politique de confidentialité pour tenir compte d'évolutions législatives, réglementaires, jurisprudentielles ou techniques. Toute modification substantielle sera portée à votre connaissance avant son entrée en vigueur, par courriel ou par notification dans l'application. La version applicable est celle accessible en ligne à la date de consultation.