Confidentialité

Politique de Confidentialité

Dernière mise à jour : 22 mars 2026

La présente Politique de Confidentialité décrit comment SprintFlow (ci-après « nous », « notre » ou « la Plateforme ») collecte, utilise, stocke et protège les données personnelles de ses utilisateurs conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés.

1. Responsable du Traitement

Le responsable du traitement des données personnelles est la société éditrice de SprintFlow, dont les coordonnées figurent dans nos Mentions Légales.

Pour toute question relative à la protection de vos données : privacy@sprintflow.app

2. Données Collectées

2.1 Données fournies directement par l'Utilisateur

Donnée Finalité Base légale
Nom complet Identification, affichage du profil Exécution du contrat
Adresse email Authentification, communication, vérification Exécution du contrat
Mot de passe (hashé) Authentification sécurisée Exécution du contrat
Photo de profil (avatar) Personnalisation du profil Consentement
Intitulé de poste Affichage dans l'équipe Consentement
Compétences Gestion des compétences d'équipe Consentement

2.2 Données collectées automatiquement

  • Données de session : adresse IP, type de navigateur, système d'exploitation, date et heure de connexion, durée de session
  • Données d'utilisation : actions effectuées (création de tâches, modifications, etc.), pages consultées, fonctionnalités utilisées
  • Données de performance : temps passé par tâche, suivi du temps enregistré, charge de travail, disponibilité déclarée
  • Tokens d'authentification : JWT stockés dans le localStorage du navigateur pour maintenir la session active

2.3 Données liées au contenu

Nous stockons le contenu que vous créez dans le cadre de l'utilisation du service : tâches, commentaires, documents, diagrammes, fichiers partagés, notes de rétrospective, objectifs. Ces données sont traitées aux seules fins de fourniture du service.

3. Finalités du Traitement

Vos données personnelles sont traitées pour les finalités suivantes :

  • Fourniture du service : gestion de votre compte, authentification, accès aux fonctionnalités de la Plateforme
  • Communication : envoi d'emails transactionnels (vérification d'email, notifications, invitations), via le service Resend
  • Collaboration : affichage de votre profil auprès des membres de vos équipes et organisations
  • Sécurité : détection d'activités suspectes, journalisation des sessions, protection contre les accès non autorisés
  • Amélioration du service : analyse statistique anonymisée de l'utilisation pour améliorer l'expérience utilisateur
  • Obligations légales : conservation des données requises par la loi

4. Sous-traitants et Transferts de Données

Nous faisons appel aux sous-traitants suivants pour le traitement de vos données :

Sous-traitant Finalité Localisation
PostgreSQL (hébergeur) Hébergement de la base de données UE
Resend Envoi d'emails transactionnels États-Unis
Paddle Traitement des paiements Royaume-Uni
Google (Gemini API) Assistant IA États-Unis

Pour les transferts hors UE, nous nous assurons que des garanties appropriées sont mises en place (clauses contractuelles types de la Commission européenne, décision d'adéquation ou consentement explicite).

5. Intégrations Tierces et Données Partagées

Lorsque vous connectez des services tiers à la Plateforme, des données sont échangées :

  • Google Calendar : accès aux événements de calendrier (via OAuth 2.0) pour la synchronisation des réunions
  • Notion : accès aux pages et bases de données (via OAuth 2.0) pour la synchronisation de contenu
  • Webhooks (GitHub, Slack, GitLab, Jira, etc.) : réception d'événements depuis vos outils pour les lier aux tâches du projet

Ces connexions sont initiées uniquement à votre demande et peuvent être révoquées à tout moment depuis les paramètres du projet. Nous ne stockons que les tokens d'accès nécessaires et les métadonnées des éléments synchronisés.

6. Durée de Conservation

Donnée Durée
Données de compte Durée du compte + 30 jours après suppression
Historique de sessions 12 mois
Tokens de vérification email 24 heures
Refresh tokens 7 jours
Contenu utilisateur (tâches, docs, etc.) Durée du compte
Données de facturation 10 ans (obligation fiscale)

7. Sécurité des Données

Nous mettons en œuvre les mesures de sécurité suivantes pour protéger vos données :

  • Chiffrement des mots de passe : hashage bcrypt avec 10 rounds de salage
  • Authentification JWT : tokens d'accès de courte durée (15 minutes) avec rotation automatique via refresh tokens
  • Validation stricte : validation des entrées côté serveur (whitelist des champs autorisés, rejet des champs inconnus)
  • Séparation des accès : système d'authentification admin totalement séparé avec secrets JWT dédiés
  • HTTPS : toutes les communications sont chiffrées via TLS
  • En-têtes de sécurité : X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Referrer-Policy
  • Contrôle d'accès par rôle : guards de permission par projet (Owner, Scrum Master, Developer, Viewer)

8. Cookies et Stockage Local

La Plateforme utilise le localStorage du navigateur pour stocker :

  • Tokens d'authentification : accessToken et refreshToken (nécessaires au fonctionnement du service)
  • Données utilisateur : profil basique pour l'affichage de l'interface
  • Préférences : organisation sélectionnée, paramètres d'affichage

Ces données sont strictement nécessaires au fonctionnement du service et ne sont pas utilisées à des fins de traçage publicitaire. Aucun cookie de suivi tiers n'est déposé.

9. Vos Droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

  • Droit d'accès (art. 15) : obtenir une copie de vos données personnelles
  • Droit de rectification (art. 16) : corriger vos données inexactes ou incomplètes (modifiable depuis votre profil)
  • Droit à l'effacement (art. 17) : demander la suppression de vos données (disponible via la suppression de compte)
  • Droit à la limitation (art. 18) : restreindre le traitement de vos données dans certaines circonstances
  • Droit à la portabilité (art. 20) : recevoir vos données dans un format structuré et lisible par machine
  • Droit d'opposition (art. 21) : vous opposer au traitement de vos données pour des motifs légitimes
  • Droit de retirer votre consentement : à tout moment, sans que cela ne compromette la licéité du traitement antérieur

Pour exercer vos droits, contactez-nous à : privacy@sprintflow.app

Nous nous engageons à répondre à votre demande dans un délai de 30 jours. En cas de réclamation, vous pouvez également saisir la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr.

10. Assistant IA et Données

Lorsque vous utilisez l'assistant IA intégré, vos requêtes sont transmises à l'API Google Gemini pour générer des réponses. Nous envoyons uniquement le contexte nécessaire à la génération de la réponse.

Nous ne stockons pas les requêtes envoyées à l'IA ni les réponses générées au-delà de la session en cours. Consultez la politique de confidentialité de Google AI pour en savoir plus sur le traitement de vos données par Google.

11. Notifications et Communications

Nous envoyons les types de communications suivants :

  • Emails transactionnels (obligatoires) : vérification d'email, réinitialisation de mot de passe, invitations à rejoindre un projet
  • Notifications in-app : alertes en temps réel via WebSocket concernant l'activité de vos projets
  • Emails de notification (configurables) : événements webhooks, alertes personnalisables via les préférences de notification

Vous pouvez gérer vos préférences de notification depuis les paramètres de votre compte et de vos projets.

12. Mineurs

La Plateforme n'est pas destinée aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si nous apprenons que des données d'un mineur ont été collectées, nous les supprimerons dans les meilleurs délais.

13. Modification de la Politique

Nous nous réservons le droit de modifier cette Politique de Confidentialité à tout moment. En cas de modification substantielle, nous vous en informerons par email ou notification in-app au moins 30 jours avant l'entrée en vigueur des changements.

La date de dernière mise à jour est indiquée en haut de cette page.

14. Contact

Pour toute question relative à cette politique ou à la protection de vos données :