Retour

Politique de Confidentialité

Dernière mise à jour : 1er mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles est :

HEDOE SAS
SIRET : en cours d'immatriculation
Siège social : 84 rue du Faubourg Saint-Martin, 75010 Paris, France
Représentant légal : Simon Herlin
Email : contact@moka-intermittent.fr

2. Données collectées

Le Service collecte les catégories de données suivantes :

Données d'identification

  • Adresse email (obligatoire, pour l'authentification)
  • Nom et prénom (optionnel)
  • Mot de passe (stocké sous forme de hash, jamais en clair)

Données professionnelles

  • Annexe d'intermittent (8 ou 10)
  • Cachets et heures travaillées (employeur, dates, montants)
  • Documents numérisés (AEM, bulletins de salaire, contrats, arrêts)
  • Données extraites par OCR (reconnaissance automatique)
  • Paramètres ARE (date anniversaire, allocations, franchises)

Données techniques

  • Journaux d'authentification (gérés par Supabase Auth)
  • Statistiques d'usage anonymisées (via Plausible Analytics, sans cookies)

Données NON collectées : Le Service ne collecte pas de données bancaires (traitées exclusivement par Stripe), ne place aucun cookie tiers, et n'utilise aucun traceur publicitaire.

3. Finalités du traitement

Finalité Base légale
Fourniture du Service (calculs, archivage, alertes) Exécution du contrat
Authentification et sécurité du compte Exécution du contrat
Emails transactionnels (expiration documents, confirmation) Exécution du contrat
Gestion de l'abonnement et facturation Exécution du contrat
Amélioration du Service (OCR, statistiques anonymisées) Intérêt légitime
Communications marketing Consentement (opt-in)

4. Hébergement et sous-traitants

Toutes les données sont hébergées au sein de l'Union Européenne :

Sous-traitant Rôle Localisation
Supabase (Francfort) Base de données, authentification, stockage Allemagne (UE)
Vercel Hébergement application web UE (edge network)
Stripe Paiement et facturation Irlande (UE)
Resend Emails transactionnels UE
Plausible Analytics Statistiques anonymes (sans cookies) UE
Mistral AI Analyse OCR des documents France (UE)
Sentry Monitoring d'erreurs UE

Aucun transfert de données hors UE n'est effectué pour le traitement principal. Les documents scannés sont analysés par Mistral AI (serveurs en France) ; seul le texte extrait est transmis, jamais les images originales.

Migration prévue vers un hébergeur 100 % français (OVHcloud)

Dans le cadre de son engagement de souveraineté numérique, l'Éditeur prépare la migration de la base de données et du stockage de Supabase (Francfort, Allemagne) vers OVHcloud, hébergeur français avec datacenters situés en France. À l'issue de cette migration :

  • l'ensemble des données utilisateur sera intégralement effacé des serveurs Supabase, selon les procédures de suppression sécurisée du sous-traitant, sans période de conservation résiduelle ;
  • les traitements resteront exclusivement au sein de l'Union européenne, sans transfert vers un pays tiers ;
  • aucune interruption de service ni risque de sécurité n'est associé à cette opération, qui sera notifiée aux utilisateurs par email au moins 30 jours à l'avance.

Cette migration est planifiée après la période de lancement du Service. La présente politique sera mise à jour à cette date.

5. Durée de conservation

  • Données de compte : conservées pendant la durée de l'abonnement + 30 jours après suppression (soft delete)
  • Documents archivés : selon l'offre souscrite (3 ans, 6 ans, ou illimité)
  • Données de facturation : 10 ans (obligation légale comptable française)
  • Journaux techniques : 12 mois maximum

6. Sécurité

L'Éditeur met en oeuvre les mesures de sécurité suivantes :

  • Chiffrement en transit (HTTPS/TLS) et au repos (chiffrement Supabase)
  • Authentification sécurisée avec hashage bcrypt des mots de passe
  • Row Level Security (RLS) sur toutes les tables — isolation stricte des données entre utilisateurs
  • Clés API sensibles exclusivement côté serveur (jamais exposées au client)
  • Tokens OAuth tiers chiffrés en base via pgsodium
  • Rate limiting sur les opérations sensibles (OCR : 10 documents/minute/utilisateur)

7. Cookies

Moka n'utilise aucun cookie tiers.

Le Service utilise uniquement :

  • Un cookie de session d'authentification (strictement nécessaire au fonctionnement)
  • Le localStorage pour les préférences utilisateur (données locales, non transmises)

L'outil de mesure d'audience (Plausible Analytics) fonctionne sans cookies et sans collecte de données personnelles. Aucun bandeau cookie n'est donc requis.

8. Vos droits

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

  • Accès : obtenir une copie de vos données personnelles
  • Rectification : corriger des données inexactes
  • Effacement : demander la suppression de vos données
  • Portabilité : recevoir vos données dans un format structuré (export ZIP)
  • Opposition : vous opposer au traitement fondé sur l'intérêt légitime
  • Limitation : restreindre temporairement le traitement

Pour exercer ces droits, contactez-nous à contact@moka-intermittent.fr. Nous répondrons dans un délai de 30 jours maximum.

Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr

9. Modification de cette politique

Cette politique peut être mise à jour. En cas de modification substantielle, les utilisateurs seront informés par email au moins 30 jours avant l'entrée en vigueur.

Ce document est un modèle et doit être relu et validé par un avocat avant publication.