1. Responsable de traitement
Le responsable du traitement des données collectées via Pulse (https://pulse.nahed.fr) est NHD, SAS (Société par Actions Simplifiée), dont le siège social est situé 28 Allée du Hameau Fleuri, 78590 Noisy-le-Roi, France, immatriculée au RCS Versailles sous le numéro SIREN 989 849 286.
Représentant légal : Joseph Élie Nahed, Président.
Contact RGPD : joseph@nahed.fr.
2. Données collectées
Pulse traite les catégories de données suivantes :
- Compte utilisateur : email, nom, rôle, mot de passe haché, journal de connexion (date, IP, user-agent, succès/échec).
- Données projet : clients, projets, tickets, factures, documents — tout ce que l'utilisateur saisit dans l'application.
- Tickets & échanges : contenu des tickets support et commentaires associés, y compris pièces jointes.
- Tokens OAuth d'intégrations tierces (GitLab, LinkedIn, X, Stripe, Google Calendar…), stockés chiffrés au repos (AES-GCM).
- Journaux d'audit de l'ensemble des actions sensibles (créations, modifications, suppressions, exports, connexions admin).
- Données techniques : adresse IP, user-agent, métadonnées de requêtes HTTP (pour la sécurité et le diagnostic).
3. Finalités du traitement
Ces données sont traitées pour les finalités suivantes :
- Fournir et faire fonctionner le service Pulse.
- Exécuter les automatisations configurées par l'utilisateur (publication de contenu, triage de tickets, génération de documents, etc.).
- Assurer la sécurité (audit log, détection d'anomalies, gestion d'accès).
- Répondre aux demandes support et améliorer le service (statistiques agrégées et anonymisées).
- Respecter les obligations légales et comptables applicables.
4. Base légale
Les traitements reposent, selon les cas, sur l'exécution du contrat qui lie l'utilisateur à NHD, sur l'intérêt légitime de NHD à sécuriser et améliorer le service, sur le respect d'une obligation légale (conservation comptable), et le cas échéant sur le consentement explicite de l'utilisateur (intégrations sociales et envoi de notifications push notamment).
5. Destinataires & sous-traitants
Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles sont transmises uniquement aux sous-traitants techniques strictement nécessaires au fonctionnement du service :
- Cloudflare, Inc. (USA) — hébergement Workers, base D1, stockage R2 et KV (régions UE et globales).
- Anthropic, PBC et OpenAI, OpC (USA) — modèles d'IA générative pour les agents et la génération de contenu.
- Resend, Inc. (USA) — envoi d'emails transactionnels.
- Stripe, Inc. (USA) — traitement des paiements et facturation.
- GitLab Inc., LinkedIn Corp., X Corp., Google LLC — uniquement si l'utilisateur a connecté ces intégrations explicitement.
Les transferts hors UE sont encadrés par des Clauses Contractuelles Types (CCT) ou par le Data Privacy Framework (DPF) selon les sous-traitants concernés.
6. Durée de conservation
- Compte utilisateur : pendant toute la durée de la relation contractuelle, puis archivage 1 an après suppression.
- Journaux d'audit et journaux de connexion : 24 mois.
- Données de facturation et pièces comptables : 10 ans (article L.123-22 du Code de commerce).
- Tokens OAuth : jusqu'à révocation par l'utilisateur ou expiration côté API tierce.
- Tickets support : pendant la durée de la relation contractuelle.
7. Sécurité
NHD met en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :
- Chiffrement TLS 1.3 obligatoire pour tous les échanges (HTTPS).
- Chiffrement au repos AES-GCM des secrets et tokens OAuth.
- Mots de passe hachés (PBKDF2/Argon2).
- Sessions courtes (8h), HttpOnly, SameSite=Lax, Secure.
- Audit log immuable de toutes les actions sensibles.
- Accès admin restreint et tracé (impersonate, exports).
8. Vos droits
Conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès à vos données ;
- Droit de rectification des données inexactes ou incomplètes ;
- Droit à l'effacement (« droit à l'oubli ») ;
- Droit à la limitation du traitement ;
- Droit à la portabilité de vos données ;
- Droit d'opposition au traitement ;
- Droit de définir des directives post-mortem relatives à la conservation et à la communication de vos données.
Pour exercer ces droits, contactez-nous à joseph@nahed.fr. Une réponse vous sera apportée dans un délai maximal d'un mois.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr/fr/plaintes.
9. Cookies & traceurs
Pulse utilise un unique cookie strictement nécessaire à l'authentification de session (cookie HttpOnly, SameSite=Lax, Secure, durée 8 heures). Aucun cookie publicitaire, de traçage cross-site ou d'analyse comportementale n'est déposé. Aucun bandeau de consentement cookies n'est donc nécessaire au sens de l'article 82 de la loi Informatique et Libertés.
10. Mise à jour de la présente politique
La présente politique de confidentialité peut évoluer ; toute modification substantielle sera communiquée à l'utilisateur via l'application ou par email avant son entrée en vigueur. La date en haut de cette page indique la dernière mise à jour.