Aller au contenu principal

Politique de confidentialité

Dernière mise à jour : 2 mars 2026

Sommaire

  1. 1. Responsable du traitement
  2. 2. Données collectées
  3. 3. Finalités et bases légales
  4. 4. Durée de conservation
  5. 5. Destinataires et sous-traitants
  6. 6. Transferts hors UE
  7. 7. Cookies et traceurs
  8. 8. Vos droits
  9. 9. Sécurité des données
  10. 10. Mineurs
  11. 11. Modifications de cette politique
  12. 12. Contact

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

Twistup SAS
1233 Route de Bragot, 31470 Fonsorbes, France
SIRET : 904 094 117 00010
Représentée par Bastien Vialade, Président
Email : dpo@alma-sap.fr

2. Données collectées

Nous collectons différentes catégories de données selon le contexte :

2.1 Site vitrine (alma-sap.fr)

Donnée Source
Email professionnel Formulaire de demande de démo
Nom de l'agence Formulaire de demande de démo (optionnel)
Nombre d'intervenants Formulaire de demande de démo (optionnel)
Mode de gestion Formulaire de demande de démo (optionnel)
Données de navigation anonymisées Google Analytics (après consentement)
Choix cookies Cookie alma_cookie_consent

2.2 Plateforme Alma (application SaaS)

Lorsque vous utilisez la plateforme Alma, nous traitons des données dans le cadre de l'exécution du contrat de service. Ces données incluent notamment :

  • Données des utilisateurs : nom, prénom, email, rôle, préférences d'interface
  • Données des bénéficiaires : identité, adresse, situation médicale (GIR), contacts, plan d'aide
  • Données des intervenants : identité, coordonnées, qualifications, planning, pointages GPS
  • Données de facturation : factures, encaissements, prises en charge financeurs
  • Données techniques : logs de connexion, adresses IP, traces d'audit

Ces données sont traitées pour le compte de l'agence cliente (sous-traitant au sens du RGPD). L'agence reste responsable du traitement vis-à-vis de ses propres clients, intervenants et bénéficiaires. Un contrat de sous-traitance (DPA) est signé avec chaque agence cliente.

3. Finalités et bases légales

Finalité Base légale Données
Envoi du lien d'accès à la démo Consentement (art. 6.1.a) Email
Recontact commercial Intérêt légitime (art. 6.1.f) Email, agence, taille
Mesure d'audience Consentement (art. 6.1.a) Données de navigation
Fourniture du service SaaS Exécution du contrat (art. 6.1.b) Données plateforme
Sécurité et prévention des abus Intérêt légitime (art. 6.1.f) Logs, IP, audit

4. Durée de conservation

Catégorie Durée
Demandes de démo (prospects) 12 mois après le dernier contact
Données de la plateforme (clients actifs) Durée du contrat + 12 mois
Données de facturation 10 ans (obligation légale comptable)
Logs de connexion 12 mois (obligation LCEN)
Cookie de consentement 6 mois

À l'expiration de ces durées, les données sont supprimées ou anonymisées de manière irréversible.

5. Destinataires et sous-traitants

Vos données sont accessibles uniquement aux catégories de destinataires suivantes :

Sous-traitant Rôle Localisation
Cloudflare Pages Hébergement site vitrine USA (EU-US DPF)
Brevo Emails transactionnels France (UE)
Google Analytics Mesure d'audience Irlande / USA (EU-US DPF)
AWS (Amazon Web Services) Hébergement plateforme SaaS France (eu-west-3)
Stripe Paiement en ligne Irlande

Aucune donnée n'est vendue, louée ou transmise à des tiers à des fins publicitaires.

6. Transferts hors UE

Certains de nos sous-traitants sont établis aux États-Unis. Ces transferts sont encadrés par :

  • Le EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023) pour Cloudflare et Google
  • Brevo (Sendinblue SAS) : données hébergées en France, aucun transfert hors UE

Les données de la plateforme SaaS sont hébergées exclusivement dans la région eu-west-3 (Paris) d'AWS et ne quittent pas l'Union européenne.

7. Cookies et traceurs

7.1 Cookies strictement nécessaires

Ces cookies sont exemptés de consentement (article 82 de la loi Informatique et Libertés) :

Nom Finalité Durée
alma_cookie_consent Mémorisation du choix cookies 6 mois

7.2 Cookies de mesure d'audience (soumis à consentement)

Nom Finalité Durée
_ga Identifiant visiteur unique (Google Analytics) 2 ans
_ga_* Persistance de session (Google Analytics) 2 ans

Ces cookies ne sont déposés qu'après votre consentement explicite via le bandeau affiché lors de votre première visite. L'adresse IP est anonymisée (anonymize_ip: true).

7.3 Stockage local (localStorage)

La page de démo utilise le localStorage du navigateur pour stocker un jeton d'accès temporaire (alma_demo_access). Cette donnée reste strictement locale et n'est jamais transmise à un serveur.

7.4 Gérer vos préférences

Vous pouvez modifier votre choix de cookies à tout moment en supprimant le cookie alma_cookie_consent dans les paramètres de votre navigateur. Le bandeau de consentement réapparaîtra lors de votre prochaine visite.

8. Vos droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d'accès

Obtenir la confirmation que vos données sont traitées et en recevoir une copie.

Droit de rectification

Corriger des données inexactes ou incomplètes.

Droit à l'effacement

Demander la suppression de vos données personnelles.

Droit à la limitation

Restreindre temporairement le traitement de vos données.

Droit à la portabilité

Recevoir vos données dans un format structuré et lisible par machine.

Droit d'opposition

Vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer ces droits, envoyez un email à dpo@alma-sap.fr. Nous nous engageons à répondre dans un délai d'un mois. Ce délai peut être prolongé de deux mois en cas de demande complexe.

En cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr.

9. Sécurité des données

Nous mettons en place des mesures techniques et organisationnelles appropriées pour protéger vos données :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Authentification par JWT avec tokens à durée limitée et hachage Argon2
  • Contrôle d'accès basé sur les rôles (RBAC) avec 9 rôles et 6 scopes
  • Architecture multi-tenant avec isolation des données par schéma PostgreSQL
  • Journalisation des accès et des modifications (audit trail)
  • Hébergement sur infrastructure AWS certifiée ISO 27001, SOC 2, HDS
  • Sauvegardes automatiques quotidiennes avec rétention de 30 jours

10. Mineurs

Le site alma-sap.fr et la plateforme Alma sont destinés à un usage professionnel. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si vous êtes parent ou tuteur et pensez que votre enfant nous a fourni des données, contactez-nous à dpo@alma-sap.fr.

11. Modifications de cette politique

Nous pouvons mettre à jour cette politique de confidentialité pour refléter les évolutions de nos pratiques ou de la réglementation. En cas de modification substantielle, nous vous en informerons par email ou via un bandeau sur le site. La date de dernière mise à jour est indiquée en haut de cette page.

12. Contact

Pour toute question relative à cette politique de confidentialité ou à la protection de vos données personnelles :

Délégué à la protection des données
Twistup SAS
Email : dpo@alma-sap.fr
Adresse : 1233 Route de Bragot, 31470 Fonsorbes, France