Responsable du traitement
Le responsable du traitement des données est : Clean'B, SASU au capital social de 1 000 €, immatriculée au RCS de Montpellier sous le n° 931 887 335 (SIRET 93188733500012), dont le siège social est situé 4, rue de la chapelle, 34570 Pignan, représentée par Benjamin Mabily.
Pour toute question relative à vos données personnelles, vous pouvez nous écrire à contact@clean-b.com.
Données collectées
Selon votre parcours sur Flow by Clean'B, nous pouvons collecter les catégories de données suivantes :
- Identification et compte : nom, prénom, adresse email professionnelle, mot de passe (jamais stocké en clair, uniquement sous forme d'empreinte irréversible qui ne permet pas de retrouver le mot de passe d'origine).
- Données d'entreprise : raison sociale, secteur d'activité, employés et adresses d'intervention que vous saisissez dans l'outil pour planifier vos tournées.
- Données d'usage : interactions et actions réalisées sur la plateforme (création de missions, optimisations lancées, paramètres, etc.).
- Données de facturation : formule d'abonnement, historique de facturation, statut de l'abonnement (les données de carte bancaire ne transitent jamais par nos serveurs, voir Stripe ci-dessous).
- Données de parrainage : code de parrainage personnel et, le cas échéant, code utilisé à l'inscription pour bénéficier du programme de parrainage.
- Données du simulateur de gain : lorsque vous utilisez le simulateur public, nous enregistrons votre email, les paramètres saisis (taille d'équipe, nombre d'interventions, kilomètres), le résultat calculé, les paramètres UTM d'attribution marketing, ainsi que votre adresse IP et user-agent. Base légale : intérêt légitime (mesure de la pertinence de notre offre, lutte contre le spam).
- Données techniques de sécurité : adresse IP, conservée temporairement (24 heures maximum) pour limiter les abus, tentatives automatisées, attaques par force brute et spam sur les formulaires publics. Base légale : intérêt légitime (art. 6.1.f RGPD).
- Cookies techniques : uniquement ceux nécessaires au bon fonctionnement du site (session de connexion, sécurité).
Finalités du traitement
Les données collectées servent exclusivement à :
- Créer et gérer votre compte utilisateur ;
- Vous identifier de manière sécurisée (mot de passe ou lien de connexion envoyé par email) ;
- Fournir le service d'optimisation et de planification des tournées ;
- Générer un flux iCalendar (.ics) que vous pouvez importer dans le calendrier de votre choix ;
- Gérer la facturation et le suivi de votre abonnement ;
- Communiquer avec vous (emails transactionnels liés au service, support client) ;
- Mesurer l'audience du site de manière anonyme et améliorer l'expérience ;
- Assurer la sécurité de la plateforme et prévenir les abus.
Bases légales
Le traitement de vos données repose sur :
- L'exécution du contrat qui nous lie lorsque vous utilisez le service (art. 6.1.b RGPD) ;
- Le respect d'obligations légales, notamment la conservation des données de facturation (art. 6.1.c RGPD) ;
- Notre intérêt légitime à sécuriser la plateforme, à lutter contre la fraude et à améliorer la qualité du service (art. 6.1.f RGPD).
Authentification
L'accès à votre compte se fait par :
- Email + mot de passe : votre mot de passe n'est jamais stocké en clair. Il est immédiatement transformé en une empreinte irréversible avant d'être enregistré, ce qui rend impossible la récupération du mot de passe d'origine, même par nos équipes.
- Lien de connexion par email (lien magique) : à votre demande, nous vous envoyons un lien temporaire (valide 15 minutes) qui ouvre une session sans saisir de mot de passe.
Aucune authentification tierce (Google, Microsoft, Apple, etc.) n'est utilisée à ce jour pour accéder au service.
Cookies et mesure d'audience
- Aucun cookie publicitaire ou de tracking commercial n'est utilisé.
- Seuls des cookies techniques essentiels (session, sécurité) sont déposés.
- Pour la mesure d'audience, nous utilisons Plausible Analytics, une solution respectueuse de la vie privée qui ne dépose pas de cookies et ne collecte pas de données personnelles individuelles. Plausible est hébergée dans l'Union européenne.
Durées de conservation
Les données sont conservées le temps strictement nécessaire à la finalité poursuivie, puis archivées ou supprimées. Durées principales :
- Adresse IP (sécurité, rate-limit) : 24 heures maximum ;
- Compte utilisateur et données associées : pendant toute la durée de l'abonnement, puis 30 jours après résiliation ou suppression du compte, avant suppression définitive ;
- Leads issus du simulateur : 3 ans à compter du dernier contact, à des fins de prospection commerciale (vous pouvez vous y opposer à tout moment) ;
- Cookies techniques : durée de session ;
- Données de facturation (obligation légale comptable et fiscale) : 10 ans.
Vos droits
Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez à tout moment :
- D'un droit d'accès à vos données (art. 15 RGPD) ;
- D'un droit de rectification (art. 16 RGPD) ;
- D'un droit à l'effacement, dans les limites prévues par la loi (art. 17 RGPD) ;
- D'un droit à la limitation du traitement (art. 18 RGPD) ;
- D'un droit à la portabilité de vos données (art. 20 RGPD) ;
- D'un droit d'opposition au traitement fondé sur l'intérêt légitime (art. 21 RGPD) ;
- Du droit de définir des directives relatives au sort de vos données après votre décès.
Pour exercer ces droits, écrivez-nous à contact@clean-b.com. Une réponse vous sera apportée dans un délai maximum d'un mois.
Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que vos droits ne sont pas respectés (art. 77 RGPD).
Sous-traitants
Vos données peuvent être confiées à des sous-traitants de confiance, dans le strict cadre nécessaire à la fourniture du service. Aucun partage à des fins commerciales ou publicitaires n'est effectué. Chaque sous-traitant est lié contractuellement et tenu de respecter le RGPD :
- Infomaniak Network SA (Suisse) : hébergement de l'application et de la base de données.
- Stripe Payments Europe Ltd (Irlande, avec transferts vers Stripe Inc. aux États-Unis) : traitement sécurisé des paiements par carte bancaire. Aucune donnée de carte n'est stockée sur nos serveurs ; tout transite et reste chez Stripe (certifié PCI DSS niveau 1).
- Resend, Inc. (États-Unis) : acheminement des emails transactionnels (vérification d'email, lien de connexion, factures, notifications de compte).
- Plausible Insights OÜ (Estonie / UE) : mesure d'audience anonyme.
Ces sous-traitants n'ont accès qu'aux données strictement nécessaires à l'exécution de leur mission.
Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement des données en transit (HTTPS / TLS sur l'ensemble du site et de l'API) ;
- Stockage des mots de passe sous forme d'empreinte irréversible (jamais en clair) ;
- Limitation du nombre de tentatives de connexion et d'inscription par adresse IP (anti-bot, anti-force-brute) ;
- Sessions de connexion limitées et révocables, expiration automatique des liens de connexion sous 15 minutes ;
- Accès restreint aux données personnelles aux seules personnes autorisées et journalisation des accès sensibles ;
- Sauvegardes régulières et chiffrées de la base de données.
Pour les paiements, nous utilisons Stripe, conforme PCI DSS niveau 1. Aucune donnée de carte bancaire ne transite par nos serveurs.
Hébergement et transferts hors UE
Vos données applicatives sont principalement stockées en Suisse par notre hébergeur Infomaniak Network SA. La Suisse bénéficie d'une décision d'adéquation de la Commission européenne, garantissant un niveau de protection équivalent à celui de l'Union européenne. Cet hébergement présente également l'avantage de se situer hors de la juridiction du Cloud Act américain.
Certains sous-traitants peuvent effectuer des transferts en dehors de l'UE (Stripe, Resend). Dans ce cas, nous nous assurons que :
- Le pays destinataire bénéficie d'une décision d'adéquation de la Commission européenne, ou
- Des clauses contractuelles types de la Commission européenne sont mises en place, et
- Des garanties supplémentaires (chiffrement, contrôle d'accès) sont appliquées pour protéger vos données.
Modifications de la présente politique
Cette politique de confidentialité peut être amenée à évoluer. Toute modification substantielle vous sera notifiée par email ou via l'application, et la date de mise à jour ci-dessous sera ajustée en conséquence.
Dernière mise à jour : 21 mai 2026