Politique de confidentialité
Dernière mise à jour : 27 avril 2026
Résumé : PunchLink collecte uniquement les données nécessaires à la fourniture du service professionnel B2B. Vos données restent en Europe (Irlande). Vous disposez d'un droit d'accès, de rectification et de suppression à tout moment.
1. Responsable du traitement
L2V SASU
SIREN : 100 651 868
Représentant légal : Laurent Vinci, Président
Contact : contact@punchlink.app
2. Données collectées
2.1 Données de compte
- Adresse email professionnelle (identifiant de connexion)
- Nom complet (affiché dans l'interface)
- Langue préférée (pour l'interface et les notifications)
- Rôle dans le projet (DO, AMO, CDP, prestataire…)
2.2 Données de projet
- Informations sur les projets industriels créés (nom, type, secteur)
- Réserves, commentaires, photos associées
- Lots, commandes, intervenants, sociétés impliquées
- Procès-verbaux et documents exportés
2.3 Données techniques
- Logs de connexion et d'actions (date, heure, adresse IP)
- Données de navigation (pages visitées, durée de session)
- Informations sur l'appareil (navigateur, système d'exploitation)
2.4 Données de contact (formulaire landing page)
- Nom, prénom, email professionnel, société
- Message libre (demande de démonstration)
3. Bases légales des traitements
- Exécution du contrat : données de compte et de projet, nécessaires à la fourniture du service SaaS.
- Intérêt légitime : logs techniques (sécurité, prévention des abus, amélioration du service).
- Consentement : communications marketing optionnelles (non mises en œuvre à ce stade).
4. Finalités des traitements
- Fournir et maintenir le service PunchLink
- Authentifier les utilisateurs et sécuriser les accès
- Envoyer des notifications liées à l'activité du projet (réserves, invitations, rappels)
- Générer les exports (Word, Excel, PDF)
- Améliorer l'ergonomie et les performances de la plateforme
- Répondre aux demandes de support et de démonstration
5. Durée de conservation
- Données de compte actif : pendant toute la durée de l'abonnement + 30 jours après résiliation (période permettant l'export des données)
- Données de projet : archivées pendant 5 ans après la clôture du projet (obligations légales liées aux marchés de travaux industriels)
- Logs techniques : 12 mois glissants
- Données de contact (formulaire) : 3 ans à compter de la dernière interaction
6. Destinataires des données
Les données ne sont pas vendues ni cédées à des tiers à des fins commerciales. Les destinataires sont :
- Les membres du projet : les utilisateurs invités sur un projet accèdent aux données de ce projet uniquement (contrôle par Row Level Security Supabase)
- Supabase Inc. (base de données, authentification) — hébergé en Irlande (EU)
- Netlify Inc. (hébergement frontend, formulaires de contact) — USA, couvert par des garanties contractuelles
- Resend Inc. (envoi d'emails transactionnels) — USA, couvert par des garanties contractuelles
- Railway Corp. (traduction automatique interne) — USA, couvert par des garanties contractuelles
- Stripe Inc. (paiements) — USA, certifié PCI-DSS niveau 1
7. Transferts hors Union européenne
Les données métier (projets, réserves, utilisateurs) sont stockées sur les serveurs Supabase situés en Irlande (EU West). Certains sous-traitants (Netlify, Resend, Railway, Stripe) sont basés aux États-Unis. Ces transferts sont encadrés par des clauses contractuelles types (CCT) approuvées par la Commission européenne, garantissant un niveau de protection adéquat conformément au RGPD.
8. Vos droits
Conformément au RGPD (Règlement (UE) 2016/679), vous disposez des droits suivants :
- Droit d'accès : obtenir une copie de vos données personnelles
- Droit de rectification : corriger des données inexactes
- Droit à l'effacement : demander la suppression de vos données (« droit à l'oubli »)
- Droit à la portabilité : recevoir vos données dans un format structuré (JSON, CSV, Excel)
- Droit d'opposition : vous opposer à certains traitements basés sur l'intérêt légitime
- Droit à la limitation : demander la suspension temporaire d'un traitement
Pour exercer ces droits : contact@punchlink.app
Délai de réponse : 30 jours maximum (conformément au RGPD).
Vous pouvez également introduire une réclamation auprès de la CNIL : www.cnil.fr.
9. Cookies et traceurs
PunchLink utilise uniquement des cookies strictement nécessaires au fonctionnement du service :
- Session d'authentification (Supabase) : maintien de la connexion sécurisée, durée 1 semaine
- Préférences utilisateur (langue, thème) : stockées en localStorage, pas transmises
Aucun cookie publicitaire ou de tracking tiers n'est déposé. PunchLink est une plateforme B2B sans publicité.
10. Sécurité des données
- Chiffrement des données en transit (HTTPS/TLS 1.3)
- Chiffrement des données au repos (Supabase AES-256)
- Authentification sécurisée avec politique de mot de passe renforcée (HIBP check)
- Row Level Security (RLS) sur toutes les tables : chaque utilisateur n'accède qu'aux données des projets auxquels il appartient
- Journalisation des accès et des actions sensibles
- Pas de stockage de mots de passe en clair
11. Modifications de la politique
Cette politique peut être mise à jour pour refléter l'évolution du service ou de la réglementation. En cas de modification substantielle, les utilisateurs seront informés par email au moins 30 jours avant l'entrée en vigueur des nouvelles dispositions.