Politique de confidentialité pour Hermya

Politique de confidentialité
Version : 24 Octobre 2025
Responsable du traitement : ULYSYS, SASU au capital de 500 € (Hermya), SIREN 978 896 587 — 20 avenue Laplace, 94110 Arcueil — contact@hermya.fr

Résumé : Nous collectons le strict nécessaire pour fournir Hermya : paramètres d'entreprise, transactions bancaires synchronisées via Powens, données de paiement via Stripe, et e-mails transactionnels via Resend. Nous mesurons l'audience sans cookies avec Plausible Analytics. Vous disposez de droits (accès, rectification, suppression, opposition, portabilité, etc.). Des transferts vers les États-Unis peuvent avoir lieu (Vercel, Stripe, Resend) encadrés par les Clauses Contractuelles Types (SCC) et/ou le Data Privacy Framework (DPF).

1) Données traitées, finalités et bases légales

1.1 Comptes, paramètres d'entreprise et support
Données : e-mail, identifiants de connexion, nom de l'entreprise, statut juridique (EURL, SASU, micro-entreprise, etc.), taux de charges sociales, paramètres fiscaux (assujettissement TVA, taux de TVA, fréquence de déclaration), contenus échangés avec le support client.
Finalité : création et gestion de votre compte utilisateur, personnalisation des simulations de trésorerie et des indicateurs financiers, réponses aux demandes de support.
Base légale : exécution de mesures précontractuelles et du contrat (Article 6.1.b du RGPD).

Précision importante sur les simulations : Les simulations de trésorerie, projections, calculs de charges fiscales et sociales, et indicateurs de santé financière affichés dans votre interface sont calculés en temps réel à partir de vos données et ne sont pas stockés dans nos bases de données. Ces calculs reposent sur un traitement automatisé incluant du profilage au sens de l'article 4.4 du RGPD (analyse de vos transactions pour établir des profils de dépenses, anticiper vos besoins de trésorerie, etc.).

Important : Ce profilage ne produit pas de décision automatisée ayant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD. Vous restez libre de vos décisions financières, fiscales et comptables. Les résultats affichés sont des outils d'aide à la décision, non des conseils professionnels. Vous pouvez vous opposer à ces traitements en cessant d'utiliser les fonctionnalités concernées ou en fermant votre compte.

1.2 Communication produit et prospection
Données : e-mail.
Finalité : envoi d'informations sur le produit (nouvelles fonctionnalités, conseils d'utilisation), newsletter, invitations à des programmes d'accès anticipé (bêta).
Base légale : consentement (Article 6.1.a du RGPD), révocable à tout moment.
Retrait du consentement : vous pouvez vous désinscrire à tout moment via le lien de désinscription présent dans chaque e-mail ou en contactant contact@hermya.fr.

1.3 Mesure d'audience essentielle (Plausible Analytics)
Nous utilisons Plausible Analytics, un outil de mesure d'audience respectueux de la vie privée, sans cookies, hébergé intégralement dans l'Union européenne (serveurs en Allemagne).
Données collectées : statistiques agrégées de navigation (pages visitées, durée de visite, provenance du trafic) sans collecte d'adresse IP complète ni identifiant persistant permettant un suivi inter-sites.
Finalité : obtenir des statistiques agrégées pour sécuriser, maintenir et améliorer le Site.
Base légale : intérêt légitime (Article 6.1.f du RGPD) à mesurer l'audience de manière anonymisée.
Caractéristiques de Plausible : Aucun cookie déposé sur votre navigateur, aucune donnée personnelle stockée au-delà de l'agrégation statistique, aucun profilage publicitaire ni reciblage marketing, conformité RGPD native.
Droit d'opposition : vous pouvez vous opposer à ce traitement en écrivant à contact@hermya.fr. Nous répondrons sous 1 mois maximum et supprimerons les données brutes avant agrégation vous concernant dans la mesure du possible.

1.4 Agrégation bancaire (Powens)
Sous-traitant : Powens / Budget Insight, prestataire de services d'information sur les comptes (PSPIC) agréé par l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) sous le numéro 17130, conformément à la Directive (UE) 2015/2366 sur les services de paiement (DSP2).

Données collectées via Powens : transactions bancaires (date, libellé, montant, catégorie automatique si fournie par la banque), solde actuel du compte bancaire, IBAN (uniquement pour identification du compte, jamais affiché en intégralité à l'utilisateur).

Données enrichies par vous : catégorisation manuelle des transactions (si vous souhaitez préciser ou corriger la catégorie automatique), taux de TVA applicables à certaines transactions, marquage des dépenses liées à l'URSSAF ou à d'autres charges sociales/fiscales spécifiques.

Finalité : synchronisation automatique de vos comptes bancaires pour calculer en temps réel votre trésorerie prévisionnelle, vos charges fiscales et sociales à venir (TVA, URSSAF, impôts), et vos indicateurs de santé financière (solvabilité, capacité d'épargne, etc.).

Aucun paiement n'est initié via ce service. Hermya utilise uniquement le service d'information sur les comptes (Account Information Service - AIS) de Powens, jamais le service d'initiation de paiement (Payment Initiation Service - PIS).

Base légale : consentement explicite (Article 6.1.a du RGPD et Article 67 de la Directive DSP2). Vous donnez votre consentement lors de la connexion de votre compte bancaire via l'interface sécurisée de Powens.

Protection de vos identifiants bancaires : Hermya n'a jamais accès à vos identifiants bancaires (login, mot de passe, codes). Vous les saisissez directement dans l'interface sécurisée de Powens, qui est seule habilitée à les traiter conformément à son agrément ACPR.

Data Processing Agreement (DPA) : Un DPA conforme RGPD est en place avec Powens, encadrant le traitement de vos données bancaires.

Conservation des données bancaires : Les transactions et le solde sont conservés tant que vous maintenez la connexion bancaire active dans votre compte Hermya. Vous pouvez supprimer cette connexion à tout moment depuis vos paramètres (bouton "Supprimer ma connexion bancaire"), ce qui entraîne la suppression immédiate des transactions, enrichissements et soldes associés en production. En cas de fermeture de votre compte Hermya, suppression immédiate en production. Résiduel dans les sauvegardes techniques : maximum 30 jours supplémentaires.

Retrait du consentement : vous pouvez retirer votre consentement et supprimer vos connexions bancaires à tout moment depuis les paramètres de votre compte. Les données associées sont alors supprimées immédiatement en production.

Calculs réalisés localement : Les calculs de charges sociales URSSAF sont effectués localement sur nos serveurs à l'aide de la bibliothèque officielle open-source mon-entreprise.urssaf.fr (développée par l'URSSAF et l'Incubateur de Services Numériques de l'État français), sans transfert de vos données vers des services tiers pour ces calculs.

1.5 Paiement (Stripe)
Responsable de traitement des données de paiement : Stripe, Inc. agit en tant que responsable de traitement pour les données de carte bancaire et les informations de paiement sensibles. Hermya ne stocke jamais vos données de carte bancaire.
Données partagées avec Stripe par Hermya : e-mail, nom de l'entreprise (pour l'édition des factures), montant de la transaction, devise.
Finalité : traitement sécurisé des paiements par carte bancaire, gestion des abonnements et renouvellements automatiques, prévention de la fraude, authentification forte du client (3D Secure) conformément à la réglementation DSP2.
Base légale : exécution du contrat (Article 6.1.b du RGPD) pour le traitement des paiements, obligations légales (Article 6.1.c du RGPD) pour l'authentification forte et la conservation des données de facturation, et intérêt légitime (Article 6.1.f du RGPD) à la prévention de la fraude.
Data Processing Agreement (DPA) : Stripe met à disposition un DPA et un Data Transfers Addendum conformes RGPD, accessibles dans le Stripe Privacy Center.
Cookies Stripe : Stripe peut déposer des cookies et utiliser des technologies de détection de fraude (ex : empreinte de l'appareil, analyse comportementale) strictement nécessaires au traitement sécurisé des paiements. Ces cookies sont chargés uniquement lors du parcours de paiement.

1.6 E-mails transactionnels (Resend)
Sous-traitant : Resend Labs, Inc.
Données traitées : e-mail, contenu des messages transactionnels (confirmations d'abonnement, confirmations de paiement, notifications de sécurité, alertes de trésorerie, réponses au support).
Finalité : envoi de communications essentielles liées à l'utilisation du Service (liens d'accès, confirmations d'actions, notifications de sécurité).
Base légale : exécution du contrat (Article 6.1.b du RGPD) pour les e-mails transactionnels liés au service, et intérêt légitime (Article 6.1.f du RGPD) pour les communications de sécurité.
Data Processing Agreement (DPA) : Un DPA incluant les Clauses Contractuelles Types (SCC) est en place avec Resend.

2) Où sont traitées et stockées les données ?
Base de données : Supabase Inc. — région eu-west-3 (Paris, France). Les données structurées (comptes utilisateurs, paramètres d'entreprise, transactions bancaires, soldes) sont stockées exclusivement dans cette région de l'Union européenne.

Hébergement et infrastructure : Vercel Inc. — réseau mondial de diffusion de contenu (CDN) et serveurs edge. Le traitement par Vercel est nécessaire à l'affichage rapide et au fonctionnement optimal du Service. Vercel peut traiter temporairement des données en cache dans différentes régions du monde pour des raisons de performance.

Mesure d'audience : Plausible Analytics OÜ — serveurs situés en Allemagne (Union européenne). Aucune donnée personnelle n'est transmise en dehors de l'UE pour la mesure d'audience.

3) Destinataires / sous-traitants
Les données personnelles peuvent être transmises aux sous-traitants suivants, tous liés par des Data Processing Agreements (DPA) conformes au RGPD :

Vercel Inc. (hébergement, déploiement, infrastructure) — DPA disponible sur vercel.com/legal/dpa

Supabase Inc. (base de données, authentification, stockage) — DPA disponible sur supabase.com/legal/dpa

Stripe, Inc. (traitement des paiements) — DPA et Data Transfers Addendum disponibles dans le Stripe Privacy Center

Resend Labs, Inc. (envoi d'e-mails transactionnels) — DPA avec Clauses Contractuelles Types (SCC)

Powens / Budget Insight (agrégation bancaire, PSPIC agréé ACPR n°17130) — DPA avec SCC. Hébergement France et UE.

Plausible Analytics OÜ (mesure d'audience sans cookies) — DPA intégré aux conditions d'utilisation, hébergement intégralement dans l'Union européenne (serveurs en Allemagne)

Axiom, Inc. (monitoring et logs applicatifs) — DPA disponible sur axiom.co/dpa. Les logs techniques (erreurs, événements applicatifs) sont conservés pour une durée maximale de 3 mois. Ces logs ne contiennent pas de données bancaires ni de mots de passe, uniquement des identifiants techniques anonymisés et des messages d'erreur.

La liste des sous-traitants peut évoluer pour des raisons techniques ou commerciales. Nous nous engageons à publier sur cette page les changements significatifs concernant des sous-traitants traitant des données sensibles.

Aucun partage à des fins commerciales : Vos données ne sont jamais vendues, louées ou partagées avec des tiers à des fins publicitaires ou commerciales.

4) Transferts hors UE
Certains de nos sous-traitants peuvent effectuer des traitements de données en dehors de l'Union européenne, notamment aux États-Unis (Vercel, Stripe, Resend). Ces transferts sont encadrés conformément au Chapitre V du RGPD et aux recommandations du Comité européen de la protection des données (CEPD) post-arrêt Schrems II (C-311/18).

a) Clauses Contractuelles Types (SCC)
Les transferts vers les États-Unis et autres pays hors UE sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne (décision d'exécution (UE) 2021/914). Ces clauses contractuelles imposent aux sous-traitants situés hors UE de respecter un niveau de protection des données équivalent à celui garanti par le RGPD.

b) Mesures supplémentaires
Conformément aux recommandations du CEPD, des mesures techniques et organisationnelles supplémentaires sont mises en œuvre pour renforcer la protection des données transférées : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), contrôles d'accès stricts, pseudonymisation lorsque possible, et évaluation d'impact sur les transferts (TIA).

c) Data Privacy Framework (DPF)
Certains de nos sous-traitants américains adhèrent au Data Privacy Framework (DPF) UE-États-Unis, un mécanisme d'adéquation reconnu par la Commission européenne (décision d'adéquation (UE) 2023/1795). Le DPF impose aux entreprises américaines participantes de respecter des principes de protection des données alignés sur le RGPD. Sous-traitants adhérents au DPF : Stripe, Inc., Axiom, Inc. (vérifiable sur dataprivacyframework.gov).

Le DPF est une base juridique alternative aux SCC. Nos contrats avec ces prestataires incluent néanmoins des SCC par principe de précaution.

d) Powens : Hébergement dans l'UE
Les données bancaires collectées via Powens sont hébergées exclusivement en France et dans l'Union européenne. Des transferts hors UE peuvent exceptionnellement intervenir en cas de recours par Powens à des sous-traitants techniques situés hors UE, auquel cas ils sont encadrés par des SCC.

5) Cookies & traceurs
Plausible Analytics : aucun cookie
Plausible Analytics est un outil de mesure d'audience sans cookies. Il n'utilise aucun cookie ni traceur persistant permettant un suivi inter-sites. Aucune bannière de consentement n'est donc requise pour cet outil.

Cookies strictement nécessaires
Hermya utilise des cookies strictement nécessaires au fonctionnement du Service, notamment un cookie de session pour maintenir votre connexion sécurisée pendant votre visite, et un cookie d'authentification pour vous reconnaître après connexion (géré par Supabase). Ces cookies sont exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, car ils sont indispensables à la fourniture du service expressément demandé par l'utilisateur.

Cookies Stripe (paiement uniquement)
Lors du parcours de paiement, Stripe peut déposer des cookies et utiliser des technologies de détection de fraude (empreinte de l'appareil, signaux comportementaux) strictement nécessaires au traitement sécurisé des paiements et à l'authentification forte (3D Secure). Ces cookies sont chargés uniquement lors du processus de paiement et sont couverts par l'exception des "cookies strictement nécessaires". Domaines concernés : m.stripe.com, js.stripe.com

Aucun cookie publicitaire
Hermya ne dépose aucun cookie publicitaire, de réseaux sociaux, ou de reciblage marketing.

6) Durées de conservation
Les données personnelles sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées, conformément à l'article 5.1.e du RGPD.

Prospects / liste d'attente : 3 ans après le dernier contact ou retrait du consentement (durée raisonnable pour la prospection commerciale selon recommandation CNIL)

Paramètres d'entreprise : tant que votre compte est actif. Suppression immédiate en production après fermeture du compte.

Transactions bancaires et soldes : tant que la connexion bancaire est active. Suppression immédiate en production si vous supprimez la connexion ou fermez votre compte.

Enrichissements de transactions (catégories, TVA, etc.) : liés aux transactions. Supprimés avec elles.

Comptes inactifs : suppression ou anonymisation après 2 ans d'inactivité complète (aucune connexion), sauf obligations légales

Sauvegardes techniques : maximum 30 jours après suppression en production (délai technique nécessaire à la sécurité et à la résilience du système)

Logs techniques : 3 mois maximum, ou la durée minimale rendue techniquement possible par nos prestataires, sauf obligation légale de conservation plus longue

Données de facturation (factures, paiements) : 10 ans (obligation légale comptable française - article L123-22 du Code de commerce)

Données Plausible Analytics : agrégation immédiate, aucune donnée personnelle conservée au-delà

Note sur les sauvegardes : Les données supprimées en production peuvent subsister temporairement dans les sauvegardes automatiques de nos prestataires (Supabase, Vercel) pour une durée maximale de 30 jours. Ces sauvegardes sont chiffrées et ne sont accessibles qu'en cas d'incident technique majeur nécessitant une restauration.

7) Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Article 15 RGPD) : Vous pouvez obtenir la confirmation que vos données sont traitées et demander une copie de ces données.

Droit de rectification (Article 16 RGPD) : Vous pouvez demander la correction de données inexactes ou incomplètes.

Droit à l'effacement / "droit à l'oubli" (Article 17 RGPD) : Vous pouvez demander la suppression de vos données dans les cas prévus par le RGPD (retrait du consentement, données non nécessaires, opposition au traitement, etc.). Ce droit ne s'applique pas aux données que nous devons conserver pour des raisons légales (facturation : 10 ans).

Droit à la limitation du traitement (Article 18 RGPD) : Vous pouvez demander la limitation (gel) du traitement de vos données dans certaines situations (contestation de l'exactitude, opposition au traitement, etc.).

Droit d'opposition (Article 21 RGPD) : Vous pouvez vous opposer à tout moment au profilage effectué pour les simulations de trésorerie (en cessant d'utiliser les fonctionnalités concernées ou en fermant votre compte), à la prospection commerciale (via le lien de désinscription dans les e-mails ou en contactant contact@hermya.fr), et aux traitements fondés sur l'intérêt légitime (mesure d'audience Plausible).

Droit à la portabilité (Article 20 RGPD) : Vous pouvez demander la communication de vos données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) pour les données que vous avez fournies et qui sont traitées sur la base du consentement ou du contrat. Contactez contact@hermya.fr en précisant votre demande. Nous vous fournirons vos données dans un format exploitable (CSV/JSON) dans un délai d'un mois maximum. En phase de lancement, ces exports sont générés manuellement sur demande. Une fonctionnalité d'export automatique sera progressivement déployée.

Directives post-mortem (Article 40-1 Loi Informatique et Libertés) : Vous pouvez définir des directives relatives au sort de vos données personnelles après votre décès.

Droit de retirer votre consentement : Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait ne remet pas en cause la licéité du traitement effectué avant le retrait. Exemple : Vous pouvez retirer votre consentement pour l'agrégation bancaire (Powens) en supprimant votre connexion bancaire depuis vos paramètres.

Exercice de vos droits
Contact : contact@hermya.fr
Précisez dans votre e-mail votre nom et votre adresse e-mail associée à votre compte, le droit que vous souhaitez exercer, et toute information nécessaire à l'identification de votre demande.

Délai de réponse : Nous nous engageons à répondre à toute demande dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes ; nous vous en informerons.

Vérification d'identité : Pour des raisons de sécurité, nous pouvons vous demander de justifier de votre identité avant de traiter votre demande (copie d'une pièce d'identité, confirmation depuis l'adresse e-mail du compte, etc.).

Gratuité : L'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pourrions exiger le paiement de frais raisonnables ou refuser de donner suite à la demande, conformément à l'article 12.5 du RGPD.

Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL :
Par téléservice : https://www.cnil.fr/fr/plaintes
Par courrier : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France

8) Sécurité
Hermya met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, conformément à l'article 32 du RGPD.

Mesures techniques : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), authentification forte (hachage bcrypt/Argon2), Row Level Security (RLS) dans Supabase garantissant que chaque utilisateur n'accède qu'à ses propres données, pare-feu et protection DDoS via Vercel, journalisation et monitoring continu des accès et anomalies.

Mesures organisationnelles : contrôle d'accès strict selon le principe du "besoin d'en connaître", accès administrateur restreint (seul le fondateur Marcel Florian a accès aux données de production à des fins de support technique et de correction de bugs), sauvegardes régulières automatiques en région UE (Paris) par Supabase, procédure de notification en cas de violation de données conformément à l'article 33 du RGPD (notification CNIL sous 72h si risque pour les droits et libertés).

Engagements de nos sous-traitants : Nos principaux sous-traitants (Vercel, Supabase, Stripe, Powens) sont certifiés et audités régulièrement (ISO 27001, SOC 2 Type II, PCI DSS pour Stripe). Pour plus de détails, consultez les pages de sécurité de nos prestataires.

9) Mineurs
Le Service Hermya est destiné aux professionnels (freelances, entrepreneurs) et n'est pas conçu pour être utilisé par des personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si vous avez connaissance qu'un mineur nous a fourni des données personnelles, merci de nous contacter à contact@hermya.fr afin que nous puissions supprimer ces données.

10) Mises à jour
Cette Politique de confidentialité peut évoluer pour refléter les changements dans nos pratiques de traitement des données, l'évolution du Service, ou les modifications réglementaires. Les modifications substantielles affectant vos droits ou les finalités de traitement seront notifiées par e-mail ou via une bannière visible sur le Site, avec un préavis raisonnable avant leur entrée en vigueur. La version actuellement en vigueur est toujours accessible sur cette page avec mention de la date de dernière mise à jour en haut du document. Nous conservons un historique des versions précédentes sur demande.

11) Contact
Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits, ou à cette Politique de confidentialité, vous pouvez nous contacter :
Par e-mail : contact@hermya.fr
Par courrier : ULYSYS, SASU au capital de 500 €, À l'attention du Responsable de la Protection des Données, 20 avenue Laplace, 94110 Arcueil

Note : Hermya n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO) compte tenu de la taille de l'entreprise et de la nature des traitements. Toutefois, nous traitons toutes les demandes relatives à la protection des données avec la même rigueur qu'un DPO désigné.