Politique de confidentialité pour Hermya

Politique de confidentialité
Version : 5 mai 2026
Responsable du traitement : ULYSYS, SASU au capital de 500 € (Hermya), SIREN 978 896 587 -20 avenue Laplace, 94110 Arcueil -contact@hermya.fr

Résumé : Nous collectons le strict nécessaire pour fournir Hermya : paramètres d'entreprise, transactions bancaires synchronisées via Powens, données de paiement via Stripe, et e-mails transactionnels via Resend. Nous mesurons l'usage du produit (analytics, debug, amélioration UX) avec PostHog hébergé dans l'Union européenne, sans cookie publicitaire ni suivi inter-sites. Vous disposez de droits (accès, rectification, suppression, opposition, portabilité, etc.) et vous pouvez vous opposer à l'analytics produit en écrivant à contact@hermya.fr. Des transferts vers les États-Unis peuvent avoir lieu (Vercel, Stripe, Resend) encadrés par les Clauses Contractuelles Types (SCC) et/ou le Data Privacy Framework (DPF).

1) Données traitées, finalités et bases légales

1.1 Comptes, paramètres d'entreprise et support
Données : e-mail, identifiants de connexion, nom de l'entreprise, statut juridique (EURL, SASU, micro-entreprise, etc.), taux de charges sociales, paramètres fiscaux (assujettissement TVA, taux de TVA, fréquence de déclaration), contenus échangés avec le support client.
Finalité : création et gestion de votre compte utilisateur, personnalisation des simulations de trésorerie et des indicateurs financiers, réponses aux demandes de support.
Base légale : exécution de mesures précontractuelles et du contrat (Article 6.1.b du RGPD).

Précision importante sur les simulations : Les simulations de trésorerie, projections, calculs de charges fiscales et sociales, et indicateurs de santé financière affichés dans votre interface sont calculés en temps réel à partir de vos données et ne sont pas stockés dans nos bases de données. Ces calculs reposent sur un traitement automatisé incluant du profilage au sens de l'article 4.4 du RGPD (analyse de vos transactions pour établir des profils de dépenses, anticiper vos besoins de trésorerie, etc.).

Important : Ce profilage ne produit pas de décision automatisée ayant des effets juridiques ou vous affectant de manière significative au sens de l'article 22 du RGPD. Vous restez libre de vos décisions financières, fiscales et comptables. Les résultats affichés sont des outils d'aide à la décision, non des conseils professionnels. Vous pouvez vous opposer à ces traitements en cessant d'utiliser les fonctionnalités concernées ou en fermant votre compte.

1.2 Communication produit et prospection
Données : e-mail.
Finalité : envoi d'informations sur le produit (nouvelles fonctionnalités, conseils d'utilisation), newsletter, invitations à des programmes d'accès anticipé (bêta).
Base légale : consentement (Article 6.1.a du RGPD), révocable à tout moment.
Retrait du consentement : vous pouvez vous désinscrire à tout moment via le lien de désinscription présent dans chaque e-mail ou en contactant contact@hermya.fr.

1.3 Analytics produit, debug et amélioration UX (PostHog)
Nous utilisons PostHog, une plateforme d'analytics produit, hébergée par PostHog Inc. dans la région PostHog Cloud EU (centre de données situé à Francfort, Allemagne).

Données collectées : pages visitées et navigation interne, interactions avec l'interface (clics, soumissions de formulaires, ouverture de modales) capturées automatiquement, événements personnalisés liés aux parcours critiques (inscription, connexion bancaire, première synchronisation, ouverture du tableau de bord, abonnement), identifiant interne associé à votre compte (distinct_id) lié à votre identifiant utilisateur Supabase. L'adresse IP n'est pas collectée par PostHog : elle est ignorée à l'arrivée des événements, sans aucun stockage ni géolocalisation.

Aucune donnée personnelle additionnelle (e-mail, statut juridique, plan d'abonnement) n'est associée à votre profil PostHog au-delà de votre identifiant interne.

Enregistrements de session (session replay) : nous enregistrons des sessions de navigation au sein de l'application pour identifier les frictions UX et corriger les bugs. Les données financières sensibles sont automatiquement masquées avant envoi grâce à un marquage technique (classe CSS `ph-no-capture`) appliqué sur les composants concernés : montants affichés, soldes bancaires, libellés de transactions, et tout champ de saisie monétaire. Les mots de passe ne sont jamais capturés. Aucun identifiant bancaire (login, mot de passe banque) n'est saisi dans Hermya (voir section 1.4 Powens), donc jamais capturé.

Stockage technique côté navigateur : PostHog enregistre un identifiant technique anonyme (distinct_id) dans le stockage local (localStorage) de votre navigateur ainsi que dans un cookie first-party déposé par notre domaine (durée maximale : 12 mois). Ce cookie n'est pas publicitaire, n'est jamais transmis à des tiers et ne permet aucun suivi inter-sites. Il sert uniquement à relier entre eux les événements d'une même session et d'un même utilisateur.

Finalités :
- Comprendre l'usage réel du produit pour identifier les frictions et améliorer l'expérience utilisateur
- Diagnostiquer et corriger les erreurs applicatives (logs et erreurs frontend, captureException)
- Analyser les parcours d'inscription et d'activation pour réduire les abandons (notamment sur la connexion bancaire)
- Mesurer l'audience agrégée du Site et de l'application

Base légale : intérêt légitime (Article 6.1.f du RGPD) à exploiter, sécuriser et améliorer le Service. Cet intérêt légitime est justifié par les caractéristiques suivantes : aucun pixel publicitaire, aucun cookie tiers, aucun suivi inter-sites (cross-site tracking), aucune revente ni partage commercial des données, données techniques et produit uniquement, hébergement intégralement dans l'Union européenne, non-collecte de l'adresse IP, masquage des données financières sensibles dans les enregistrements de session. Ces mesures, combinées à la nature non intrusive du traitement, font primer notre intérêt légitime à améliorer le Service sur l'éventuelle atteinte aux droits des personnes concernées.

Test de mise en balance (article 6.1.f RGPD)

Finalité : amélioration ergonomique du Service, diagnostic des anomalies frontend et réduction des frictions sur les parcours sensibles (connexion bancaire, calculs fiscaux).

Nécessité : aucune méthode moins intrusive ne permet d'observer les frictions réelles ni de reproduire les anomalies survenues en production.

Mise en balance : adresse IP non collectée, masquage automatique des montants, soldes, libellés de transactions et champs monétaires dans les enregistrements de session, masquage systématique des mots de passe, identifiant interne non lié à votre identité civile, hébergement intégralement dans l'Union européenne, aucun croisement avec d'autres traitements ni transfert commercial à des tiers.

Garanties : droit d'opposition immédiat, gratuit et sans incidence sur l'accès au Service ; suppression des données associées dans PostHog sous un mois sur simple demande adressée à contact@hermya.fr.

Au regard de ces éléments, l'intérêt poursuivi prime sur l'éventuelle atteinte aux droits des personnes concernées.

Conservation : les données PostHog (événements et enregistrements de session) sont conservées entre 6 et 12 mois maximum, puis automatiquement supprimées ou agrégées.

Data Processing Agreement (DPA) : un DPA conforme RGPD est en place avec PostHog Inc., disponible sur posthog.com/dpa.

Droit d'opposition (Article 21 RGPD) : vous pouvez vous opposer à tout moment à ce traitement en envoyant un e-mail à contact@hermya.fr avec pour objet "Opposition analytics PostHog". Nous procéderons sous 1 mois maximum à la suppression de vos données dans PostHog (suppression du distinct_id et des événements associés) et à votre exclusion des collectes futures. L'exercice de ce droit est gratuit et n'a aucune conséquence sur votre accès au Service.

Aucun cookie tiers, aucun suivi inter-sites : PostHog ne dépose aucun cookie publicitaire, n'utilise aucun pixel de réseau social, et ne permet aucun suivi de votre navigation en dehors d'Hermya.

1.4 Agrégation bancaire (Powens)
Sous-traitant : Powens / Budget Insight, prestataire de services d'information sur les comptes (PSPIC) agréé par l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) sous le numéro 17130, conformément à la Directive (UE) 2015/2366 sur les services de paiement (DSP2).

Données collectées via Powens : transactions bancaires (date, libellé, montant, catégorie automatique si fournie par la banque), solde actuel du compte bancaire, IBAN (uniquement pour identification du compte, jamais affiché en intégralité à l'utilisateur).

Données enrichies par vous : catégorisation manuelle des transactions (si vous souhaitez préciser ou corriger la catégorie automatique), taux de TVA applicables à certaines transactions, marquage des dépenses liées à l'URSSAF ou à d'autres charges sociales/fiscales spécifiques.

Finalité : synchronisation automatique de vos comptes bancaires pour calculer en temps réel votre trésorerie prévisionnelle, vos charges fiscales et sociales à venir (TVA, URSSAF, impôts), et vos indicateurs de santé financière (solvabilité, capacité d'épargne, etc.).

Aucun paiement n'est initié via ce service. Hermya utilise uniquement le service d'information sur les comptes (Account Information Service - AIS) de Powens, jamais le service d'initiation de paiement (Payment Initiation Service - PIS).

Base légale : consentement explicite (Article 6.1.a du RGPD et Article 67 de la Directive DSP2). Vous donnez votre consentement lors de la connexion de votre compte bancaire via l'interface sécurisée de Powens.

Protection de vos identifiants bancaires : Hermya n'a jamais accès à vos identifiants bancaires (login, mot de passe, codes). Vous les saisissez directement dans l'interface sécurisée de Powens, qui est seule habilitée à les traiter conformément à son agrément ACPR.

Data Processing Agreement (DPA) : Un DPA conforme RGPD est en place avec Powens, encadrant le traitement de vos données bancaires.

Conservation des données bancaires : Les transactions et le solde sont conservés tant que vous maintenez la connexion bancaire active dans votre compte Hermya. Vous pouvez supprimer cette connexion à tout moment depuis vos paramètres (bouton "Supprimer ma connexion bancaire"), ce qui entraîne la suppression immédiate des transactions, enrichissements et soldes associés en production. En cas de fermeture de votre compte Hermya, suppression immédiate en production. Résiduel dans les sauvegardes techniques : maximum 30 jours supplémentaires.

Retrait du consentement : vous pouvez retirer votre consentement et supprimer vos connexions bancaires à tout moment depuis les paramètres de votre compte. Les données associées sont alors supprimées immédiatement en production.

Calculs réalisés localement : Les calculs de charges sociales URSSAF sont effectués localement sur nos serveurs à l'aide de la bibliothèque officielle open-source mon-entreprise.urssaf.fr (développée par l'URSSAF et l'Incubateur de Services Numériques de l'État français), sans transfert de vos données vers des services tiers pour ces calculs.

1.5 Paiement (Stripe)
Responsable de traitement des données de paiement : Stripe, Inc. agit en tant que responsable de traitement pour les données de carte bancaire et les informations de paiement sensibles. Hermya ne stocke jamais vos données de carte bancaire.
Données partagées avec Stripe par Hermya : e-mail, nom de l'entreprise (pour l'édition des factures), montant de la transaction, devise.
Finalité : traitement sécurisé des paiements par carte bancaire, gestion des abonnements et renouvellements automatiques, prévention de la fraude, authentification forte du client (3D Secure) conformément à la réglementation DSP2.
Base légale : exécution du contrat (Article 6.1.b du RGPD) pour le traitement des paiements, obligations légales (Article 6.1.c du RGPD) pour l'authentification forte et la conservation des données de facturation, et intérêt légitime (Article 6.1.f du RGPD) à la prévention de la fraude.
Data Processing Agreement (DPA) : Stripe met à disposition un DPA et un Data Transfers Addendum conformes RGPD, accessibles dans le Stripe Privacy Center.
Cookies Stripe : Stripe peut déposer des cookies et utiliser des technologies de détection de fraude (ex : empreinte de l'appareil, analyse comportementale) strictement nécessaires au traitement sécurisé des paiements. Ces cookies sont chargés uniquement lors du parcours de paiement.

1.6 E-mails transactionnels (Resend)
Sous-traitant : Resend Labs, Inc.
Données traitées : e-mail, contenu des messages transactionnels (confirmations d'abonnement, confirmations de paiement, notifications de sécurité, alertes de trésorerie, réponses au support).
Finalité : envoi de communications essentielles liées à l'utilisation du Service (liens d'accès, confirmations d'actions, notifications de sécurité).
Base légale : exécution du contrat (Article 6.1.b du RGPD) pour les e-mails transactionnels liés au service, et intérêt légitime (Article 6.1.f du RGPD) pour les communications de sécurité.
Data Processing Agreement (DPA) : Un DPA incluant les Clauses Contractuelles Types (SCC) est en place avec Resend.

2) Où sont traitées et stockées les données ?
Base de données : Supabase Inc. -région eu-west-3 (Paris, France). Les données structurées (comptes utilisateurs, paramètres d'entreprise, transactions bancaires, soldes) sont stockées exclusivement dans cette région de l'Union européenne.

Hébergement et infrastructure : Vercel Inc. -réseau mondial de diffusion de contenu (CDN) et serveurs edge. Le traitement par Vercel est nécessaire à l'affichage rapide et au fonctionnement optimal du Service. Vercel peut traiter temporairement des données en cache dans différentes régions du monde pour des raisons de performance.

Analytics produit : PostHog Inc. - serveurs situés à Francfort, Allemagne (région PostHog Cloud EU). Aucune donnée personnelle n'est transmise en dehors de l'Union européenne pour l'analytics produit, le debug et les enregistrements de session.

3) Destinataires / sous-traitants
Les données personnelles peuvent être transmises aux sous-traitants suivants, tous liés par des Data Processing Agreements (DPA) conformes au RGPD :

Vercel Inc. (hébergement, déploiement, infrastructure) -DPA disponible sur vercel.com/legal/dpa

Supabase Inc. (base de données, authentification, stockage) -DPA disponible sur supabase.com/legal/dpa

Stripe, Inc. (traitement des paiements) -DPA et Data Transfers Addendum disponibles dans le Stripe Privacy Center

Resend Labs, Inc. (envoi d'e-mails transactionnels) -DPA avec Clauses Contractuelles Types (SCC)

Powens / Budget Insight (agrégation bancaire, PSPIC agréé ACPR n°17130) -DPA avec SCC. Hébergement France et UE.

PostHog Inc. (analytics produit, session replay avec masquage des données financières, error tracking) - DPA disponible sur posthog.com/dpa, hébergement région PostHog Cloud EU (centre de données à Francfort, Allemagne). Les logs techniques (erreurs, événements applicatifs) sont conservés entre 6 et 12 mois maximum. Ces logs ne contiennent pas de données bancaires complètes ni de mots de passe, uniquement des identifiants techniques anonymisés et des messages d'erreur sanitisés (e-mails, IBAN, SIREN et numéros de carte sont automatiquement masqués avant envoi).

La liste des sous-traitants peut évoluer pour des raisons techniques ou commerciales. Nous nous engageons à publier sur cette page les changements significatifs concernant des sous-traitants traitant des données sensibles.

Aucun partage à des fins commerciales : Vos données ne sont jamais vendues, louées ou partagées avec des tiers à des fins publicitaires ou commerciales.

4) Transferts hors UE
Certains de nos sous-traitants peuvent effectuer des traitements de données en dehors de l'Union européenne, notamment aux États-Unis (Vercel, Stripe, Resend). Ces transferts sont encadrés conformément au Chapitre V du RGPD et aux recommandations du Comité européen de la protection des données (CEPD) post-arrêt Schrems II (C-311/18).

a) Clauses Contractuelles Types (SCC)
Les transferts vers les États-Unis et autres pays hors UE sont encadrés par les Clauses Contractuelles Types (SCC) de la Commission européenne (décision d'exécution (UE) 2021/914). Ces clauses contractuelles imposent aux sous-traitants situés hors UE de respecter un niveau de protection des données équivalent à celui garanti par le RGPD.

b) Mesures supplémentaires
Conformément aux recommandations du CEPD, des mesures techniques et organisationnelles supplémentaires sont mises en œuvre pour renforcer la protection des données transférées : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), contrôles d'accès stricts, pseudonymisation lorsque possible, et évaluation d'impact sur les transferts (TIA).

c) Data Privacy Framework (DPF)
Certains de nos sous-traitants américains adhèrent au Data Privacy Framework (DPF) UE-États-Unis, un mécanisme d'adéquation reconnu par la Commission européenne (décision d'adéquation (UE) 2023/1795). Le DPF impose aux entreprises américaines participantes de respecter des principes de protection des données alignés sur le RGPD. Sous-traitants adhérents au DPF : Stripe, Inc. (vérifiable sur dataprivacyframework.gov). PostHog Inc. n'adhère pas au DPF : les transferts vers PostHog sont strictement limités à la région PostHog Cloud EU (Francfort, Allemagne) et n'impliquent aucun transfert hors Union européenne.

Le DPF est une base juridique alternative aux SCC. Nos contrats avec ces prestataires incluent néanmoins des SCC par principe de précaution.

d) Powens : Hébergement dans l'UE
Les données bancaires collectées via Powens sont hébergées exclusivement en France et dans l'Union européenne. Des transferts hors UE peuvent exceptionnellement intervenir en cas de recours par Powens à des sous-traitants techniques situés hors UE, auquel cas ils sont encadrés par des SCC.

5) Cookies & traceurs

Aucun cookie publicitaire, aucun suivi inter-sites
Hermya ne dépose aucun cookie publicitaire, aucun cookie de réseau social, et n'utilise aucune technologie de reciblage marketing ou de suivi inter-sites.

Cookies strictement nécessaires
Hermya utilise des cookies strictement nécessaires au fonctionnement du Service, notamment un cookie de session pour maintenir votre connexion sécurisée pendant votre visite, et un cookie d'authentification pour vous reconnaître après connexion (géré par Supabase). Ces cookies sont exemptés de consentement conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL, car ils sont indispensables à la fourniture du service expressément demandé par l'utilisateur.

Stockage local et cookie first-party PostHog (analytics produit)
Pour assurer le bon fonctionnement de notre outil d'analytics produit (PostHog), un identifiant technique anonyme (distinct_id) est enregistré dans le stockage local (localStorage) de votre navigateur ainsi que dans un cookie first-party déposé par notre domaine (durée maximale : 12 mois). Ce cookie n'est pas publicitaire, n'est jamais transmis à des tiers et ne permet aucun suivi de votre navigation en dehors d'Hermya. Il est utilisé uniquement pour relier entre eux les événements d'une même session et d'un même utilisateur, dans le cadre du traitement décrit en section 1.3, fondé sur notre intérêt légitime. Vous pouvez vous opposer à ce traitement à tout moment (voir section 1.3, droit d'opposition). Vous pouvez également vider le stockage local et les cookies de votre navigateur via les paramètres de confidentialité de celui-ci.

Cookies Stripe (paiement uniquement)
Lors du parcours de paiement, Stripe peut déposer des cookies et utiliser des technologies de détection de fraude (empreinte de l'appareil, signaux comportementaux) strictement nécessaires au traitement sécurisé des paiements et à l'authentification forte (3D Secure). Ces cookies sont chargés uniquement lors du processus de paiement et sont couverts par l'exception des "cookies strictement nécessaires". Domaines concernés : m.stripe.com, js.stripe.com

6) Durées de conservation
Les données personnelles sont conservées uniquement pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées, conformément à l'article 5.1.e du RGPD.

Prospects / liste d'attente : 3 ans après le dernier contact ou retrait du consentement (durée raisonnable pour la prospection commerciale selon recommandation CNIL)

Paramètres d'entreprise : tant que votre compte est actif. Suppression immédiate en production après fermeture du compte.

Transactions bancaires et soldes : tant que la connexion bancaire est active. Suppression immédiate en production si vous supprimez la connexion ou fermez votre compte.

Enrichissements de transactions (catégories, TVA, etc.) : liés aux transactions. Supprimés avec elles.

Comptes inactifs : suppression ou anonymisation après 2 ans d'inactivité complète (aucune connexion), sauf obligations légales

Sauvegardes techniques : maximum 30 jours après suppression en production (délai technique nécessaire à la sécurité et à la résilience du système)

Logs techniques : 3 mois maximum, ou la durée minimale rendue techniquement possible par nos prestataires, sauf obligation légale de conservation plus longue

Données de facturation (factures, paiements) : 10 ans (obligation légale comptable française - article L123-22 du Code de commerce)

Données PostHog (analytics produit, événements, enregistrements de session) : 6 à 12 mois maximum, puis suppression ou agrégation automatique. Suppression immédiate sur demande d'opposition envoyée à contact@hermya.fr.

Note sur les sauvegardes : Les données supprimées en production peuvent subsister temporairement dans les sauvegardes automatiques de nos prestataires (Supabase, Vercel) pour une durée maximale de 30 jours. Ces sauvegardes sont chiffrées et ne sont accessibles qu'en cas d'incident technique majeur nécessitant une restauration.

7) Vos droits
Conformément aux articles 15 à 22 du RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

Droit d'accès (Article 15 RGPD) : Vous pouvez obtenir la confirmation que vos données sont traitées et demander une copie de ces données.

Droit de rectification (Article 16 RGPD) : Vous pouvez demander la correction de données inexactes ou incomplètes.

Droit à l'effacement / "droit à l'oubli" (Article 17 RGPD) : Vous pouvez demander la suppression de vos données dans les cas prévus par le RGPD (retrait du consentement, données non nécessaires, opposition au traitement, etc.). Ce droit ne s'applique pas aux données que nous devons conserver pour des raisons légales (facturation : 10 ans).

Droit à la limitation du traitement (Article 18 RGPD) : Vous pouvez demander la limitation (gel) du traitement de vos données dans certaines situations (contestation de l'exactitude, opposition au traitement, etc.).

Droit d'opposition (Article 21 RGPD) : Vous pouvez vous opposer à tout moment au profilage effectué pour les simulations de trésorerie (en cessant d'utiliser les fonctionnalités concernées ou en fermant votre compte), à la prospection commerciale (via le lien de désinscription dans les e-mails ou en contactant contact@hermya.fr), et aux traitements fondés sur l'intérêt légitime (analytics produit, debug et amélioration UX via PostHog : envoyer un e-mail à contact@hermya.fr avec pour objet "Opposition analytics PostHog").

Droit à la portabilité (Article 20 RGPD) : Vous pouvez demander la communication de vos données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) pour les données que vous avez fournies et qui sont traitées sur la base du consentement ou du contrat. Contactez contact@hermya.fr en précisant votre demande. Nous vous fournirons vos données dans un format exploitable (CSV/JSON) dans un délai d'un mois maximum. En phase de lancement, ces exports sont générés manuellement sur demande. Une fonctionnalité d'export automatique sera progressivement déployée.

Directives post-mortem (Article 40-1 Loi Informatique et Libertés) : Vous pouvez définir des directives relatives au sort de vos données personnelles après votre décès.

Droit de retirer votre consentement : Lorsque le traitement est fondé sur votre consentement, vous pouvez le retirer à tout moment. Ce retrait ne remet pas en cause la licéité du traitement effectué avant le retrait. Exemple : Vous pouvez retirer votre consentement pour l'agrégation bancaire (Powens) en supprimant votre connexion bancaire depuis vos paramètres.

Exercice de vos droits
Contact : contact@hermya.fr
Précisez dans votre e-mail votre nom et votre adresse e-mail associée à votre compte, le droit que vous souhaitez exercer, et toute information nécessaire à l'identification de votre demande.

Délai de réponse : Nous nous engageons à répondre à toute demande dans un délai d'un mois à compter de la réception de votre demande. Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes ; nous vous en informerons.

Vérification d'identité : Pour des raisons de sécurité, nous pouvons vous demander de justifier de votre identité avant de traiter votre demande (copie d'une pièce d'identité, confirmation depuis l'adresse e-mail du compte, etc.).

Gratuité : L'exercice de vos droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous pourrions exiger le paiement de frais raisonnables ou refuser de donner suite à la demande, conformément à l'article 12.5 du RGPD.

Réclamation auprès de l'autorité de contrôle
Si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD, vous avez le droit d'introduire une réclamation auprès de la CNIL :
Par téléservice : https://www.cnil.fr/fr/plaintes
Par courrier : CNIL, 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France

8) Sécurité
Hermya met en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, conformément à l'article 32 du RGPD.

Mesures techniques : chiffrement en transit (TLS 1.3), chiffrement au repos (AES-256), authentification forte (hachage bcrypt/Argon2), Row Level Security (RLS) dans Supabase garantissant que chaque utilisateur n'accède qu'à ses propres données, pare-feu et protection DDoS via Vercel, journalisation et monitoring continu des accès et anomalies.

Mesures organisationnelles : contrôle d'accès strict selon le principe du "besoin d'en connaître", accès administrateur restreint (seul le fondateur Marcel Florian a accès aux données de production à des fins de support technique et de correction de bugs), sauvegardes régulières automatiques en région UE (Paris) par Supabase, procédure de notification en cas de violation de données conformément à l'article 33 du RGPD (notification CNIL sous 72h si risque pour les droits et libertés).

Engagements de nos sous-traitants : Nos principaux sous-traitants (Vercel, Supabase, Stripe, Powens) sont certifiés et audités régulièrement (ISO 27001, SOC 2 Type II, PCI DSS pour Stripe). Pour plus de détails, consultez les pages de sécurité de nos prestataires.

9) Mineurs
Le Service Hermya est destiné aux professionnels (freelances, entrepreneurs) et n'est pas conçu pour être utilisé par des personnes de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si vous avez connaissance qu'un mineur nous a fourni des données personnelles, merci de nous contacter à contact@hermya.fr afin que nous puissions supprimer ces données.

10) Mises à jour
Cette Politique de confidentialité peut évoluer pour refléter les changements dans nos pratiques de traitement des données, l'évolution du Service, ou les modifications réglementaires. Les modifications substantielles affectant vos droits ou les finalités de traitement seront notifiées par e-mail ou via une bannière visible sur le Site, avec un préavis raisonnable avant leur entrée en vigueur. La version actuellement en vigueur est toujours accessible sur cette page avec mention de la date de dernière mise à jour en haut du document. Nous conservons un historique des versions précédentes sur demande.

11) Contact
Pour toute question relative à la protection de vos données personnelles, à l'exercice de vos droits, ou à cette Politique de confidentialité, vous pouvez nous contacter :
Par e-mail : contact@hermya.fr
Par courrier : ULYSYS, SASU au capital de 500 €, À l'attention du Responsable de la Protection des Données, 20 avenue Laplace, 94110 Arcueil

Note : Hermya n'a pas l'obligation légale de désigner un Délégué à la Protection des Données (DPO) compte tenu de la taille de l'entreprise et de la nature des traitements. Toutefois, nous traitons toutes les demandes relatives à la protection des données avec la même rigueur qu'un DPO désigné.