Aller au contenu principal
Programme Founders ouvert · −50% la 1ère année sur Solo, Pro et Multi · 50 places limitéesVoir le programme →
Mise à jour du référentiel : 18 avril 2026 · Conforme à l'article R.4121-1 du Code du travailGarantie satisfait ou remboursé
ConnexionCommencer
Connexion
FonctionnementConformitéTarifsBlogContact
Métiers
RestaurantCoiffure / EsthétiqueGarage / MécaniqueBoulangerie / PâtisserieCafé / BarEsthétique / Bien-êtrePharmacieBoucherie / CharcuterieBTPTertiaire / BureauCommerce de détailÉpicerie / Alimentation
À savoir
Qu'est-ce que le DUERP ?DUERP : prix 2026DUERP gratuit : 4 optionsSanctions et amendesExemples par métier
Risques & guides
Tous les risquesGuides méthodologiquesOutils gratuitsCalculateur amendeGlossaire DUERP
Document légal · Version 4 · Mise à jour 06/05/2026

Politique de Confidentialité

Politique de Confidentialité

Dernière mise à jour : 06/05/2026

1. Introduction

DUERP Express (« DUERP Express », « nous ») s'engage à protéger votre vie privée. Cette politique explique comment nous collectons, utilisons et protégeons vos données personnelles, conformément au Règlement (UE) 2016/679 (« RGPD ») et à la loi n°78-17 du 6 janvier 1978 modifiée (« Informatique et Libertés »).

2. Responsable du traitement

Responsable du traitement : DUERP Express Adresse : 60 rue François 1er, 75008 Paris Email : contact@duerp-express.fr Délégué à la Protection des Données (DPO) : dpo@duerp-express.fr

<!-- À VALIDER AVOCAT : la désignation d'un DPO n'est obligatoire que dans les cas listés par le RGPD art. 37 (autorité publique, traitement à grande échelle de données sensibles, suivi systématique). En tant que TPE/SaaS B2B sans données de santé, DUERP Express n'est pas tenu d'en désigner un — un point de contact RGPD générique suffit. -->

3. Données collectées

3.1 Données d'identification (compte)

  • Nom et prénom
  • Email du compte (utilisé pour le login, les communications transactionnelles, les factures, les rappels de mise à jour)
  • Authentification : Google OAuth (token Google) ou lien magique (token à usage unique envoyé par email — pas de mot de passe stocké)
  • Avatar (si Google OAuth)

3.2 Données d'entreprise et d'établissement(s)

  • Raison sociale
  • Établissements (nom, adresse, profession/secteur d'activité)
  • Effectif déclaré
  • Code APE, métier sélectionné
  • Email du contact qualité/sécurité (saisi dans le formulaire DUERP — figure sur le document généré, distinct de l'email du compte)

Distinction email de compte / email de contact : l'email saisi lors de la création du compte (Magic Link ou Google) sert pour l'authentification et toutes les communications de la plateforme (factures, accès, rappels). L'email saisi dans le formulaire DUERP au champ « Contact qualité/sécurité » est un champ informatif qui apparaît sur le document généré ; aucun email transactionnel n'y est envoyé. Vous pouvez modifier ces deux emails séparément depuis votre espace client.

3.3 Données de facturation B2B

Pour les Clients souscrivant un plan facturé (Starter, Pro, Premium) :

  • Coordonnées légales par établissement (raison sociale, SIRET, TVA intracommunautaire, RCS)
  • Adresse de facturation
  • Contact comptabilité (email + téléphone, optionnel)
  • Identifiant Stripe Customer (jamais de donnée bancaire)

Ces informations alimentent les factures émises par Stripe Invoicing.

3.4 Données de commande et paiement

  • Historique des commandes et abonnements
  • Plan choisi (Starter / Pro / Premium)
  • Identifiants Stripe (customer, subscription, invoice, charge) — pas de donnée bancaire
  • Factures et avoirs (PDFs émis par Stripe)
  • Solde de crédits

3.5 Données de navigation

  • Adresse IP (hashée pour les analytics, brute pour 30 jours max en logs sécurité)
  • Pages visitées, parcours, durée
  • Appareil et navigateur (user-agent)
  • Cookies (cf. § 9)

3.6 Documents générés

  • DUERP générés (conservés tant que votre compte est actif)
  • Plans d'actions associés
  • Mises à jour annuelles
  • Form data ayant servi à la génération (effectifs, risques sélectionnés, cotations)

4. Finalités du traitement

Vos données sont utilisées pour :

  • Créer et gérer votre compte
  • Générer votre DUERP personnalisé et son plan d'actions
  • Traiter vos paiements et abonnements
  • Émettre vos factures et avoirs (Stripe Invoicing)
  • Vous envoyer le document et les communications transactionnelles
  • Vous notifier des échéances de mise à jour annuelle
  • Respecter nos obligations légales (facturation, comptabilité, archivage)
  • Améliorer nos services (analytics anonymisés)
  • Prévenir la fraude et sécuriser la plateforme

5. Bases légales du traitement (RGPD art. 6)

FinalitéBase légale
Création de compte, génération du DUERP, gestion des abonnements, paiementExécution du contrat (art. 6.1.b)
Coordonnées de facturation, émission de factures et avoirsExécution du contrat + obligation légale (art. 6.1.b et c)
Cookies analytics et marketingConsentement (art. 6.1.a)
Conservation factures, données comptables (10 ans)Obligation légale (art. 6.1.c)
Lutte contre la fraude, sécurité plateformeIntérêt légitime (art. 6.1.f)
Communications commerciales (newsletter, prospection B2B)Intérêt légitime (Client professionnel existant) ou consentement (prospects sans relation préalable)

6. Destinataires des données

Vos données sont accessibles uniquement aux personnes habilitées de DUERP Express et peuvent être transmises aux sous-traitants suivants, tous conformes RGPD :

Sous-traitantFinalitéPaysGaranties
Stripe Payments Europe LtdPaiement, abonnements, facturation (Stripe Invoicing)Irlande (UE)RGPD natif, PCI-DSS niveau 1
Hostinger International LtdHébergement webChypre (UE)RGPD natif
ResendEmails transactionnelsÉtats-UnisDPF + SCC
AnthropicGénération IA (Claude) — opt-out training activéÉtats-UnisDPF + SCC, no-training par contrat
Google (OAuth, Analytics)Connexion Google + mesure d'audience (consentement)États-UnisDPF + SCC

Aucune cession de données à des tiers à des fins commerciales propres n'est effectuée.

7. Durées de conservation

DonnéeDurée
Compte utilisateur (actif)Tant que le compte est actif
Compte utilisateur (inactif)3 ans après dernière connexion, puis suppression
Factures, avoirs et données comptables10 ans (art. L123-22 du Code de commerce)
Coordonnées de facturation B2BTant que le compte est actif + 10 ans après dernière facture
DUERP générésTant que le compte est actif, puis 30 jours en suppression douce
Logs de sécurité (IP brute)30 jours maximum
Logs analytics (IP hashée)13 mois (recommandation CNIL)
Données suite à demande de suppressionAnonymisation immédiate, effacement définitif sous 30 jours

8. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) — obtenir la confirmation que vos données sont traitées et en recevoir une copie
  • Droit de rectification (art. 16) — corriger des données inexactes
  • Droit à l'effacement / oubli (art. 17) — supprimer vos données (sous réserve des obligations légales de conservation)
  • Droit à la portabilité (art. 20) — recevoir vos données dans un format structuré (JSON)
  • Droit d'opposition (art. 21) — vous opposer au traitement
  • Droit à la limitation (art. 18) — restreindre le traitement
  • Droit de retirer votre consentement à tout moment (art. 7.3)
  • Droit de définir des directives post-mortem (loi Informatique et Libertés, art. 85)

Comment exercer vos droits

Délai de réponse : 1 mois maximum (prolongeable de 2 mois pour les demandes complexes, RGPD art. 12.3).

9. Cookies

Trois catégories de cookies sont utilisées :

9.1 Cookies strictement nécessaires (toujours actifs)

  • Session utilisateur (authentification NextAuth)
  • Token CSRF
  • Préférences de consentement
  • Base légale : intérêt légitime — exemption au consentement (CNIL délibération 2020-091)

9.2 Cookies de mesure d'audience (consentement requis)

  • Google Analytics 4 (avec anonymisation IP)
  • Suivi des conversions internes

9.3 Cookies marketing (consentement requis)

  • Retargeting publicitaire
  • Mesure d'efficacité des campagnes

Vous pouvez gérer vos préférences à tout moment depuis le Centre RGPD.

10. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement TLS 1.3 en transit
  • Chiffrement au repos (base de données + sauvegardes)
  • Authentification sans mot de passe : Google OAuth + lien magique à usage unique (pas de stockage de mot de passe client)
  • Tokens de téléchargement aléatoires 256 bits, comparaison timing-safe
  • Anonymisation des emails dans les logs applicatifs
  • Sauvegardes quotidiennes chiffrées
  • Accès restreint au principe du moindre privilège
  • Authentification à deux facteurs (TOTP) pour les administrateurs
  • Audits de sécurité périodiques (SAST, dépendances, exposition surface)

11. Transferts hors UE

Certains sous-traitants traitent vos données aux États-Unis (Resend, Anthropic, Google). Ces transferts sont encadrés par :

  • L'adhésion au Data Privacy Framework (DPF) UE-US, validé par la décision d'adéquation de la Commission européenne du 10 juillet 2023
  • Des Clauses Contractuelles Types (CCT / SCC) approuvées par la Commission européenne (décision 2021/914)

12. Mineurs

Le service n'est pas destiné aux mineurs de moins de 16 ans. Nous ne collectons pas sciemment de données concernant les mineurs.

13. Réclamation auprès de la CNIL

Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :

CNIL 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 www.cnil.fr — Téléphone : 01 53 73 22 22

14. Modifications

La présente politique peut être mise à jour pour refléter les évolutions réglementaires ou de nos pratiques. La date de dernière mise à jour figure en tête du document. En cas de modification substantielle, vous serez informé par email.

15. Contact

Pour toute question relative à cette politique : Email : contact@duerp-express.fr DPO / point de contact RGPD : dpo@duerp-express.fr Adresse postale : 60 rue François 1er, 75008 Paris