Politique de confidentialité
Comment Metibat collecte, traite et protège vos données personnelles, dans le strict respect du RGPD.
Dernière mise à jour : 17 juin 2026
1. Responsable de traitement
Le responsable du traitement des données personnelles est Augustin Ribreau, éditeur de Metibat. Pour toute demande RGPD — droit d'accès, rectification, suppression, portabilité, opposition, limitation —, écrivez à contact@metibat.fr (ou via le formulaire de contact) en précisant l'objet de votre demande.
2. Données que nous collectons
2.1 Données de compte (utilisateurs)
- Identité : nom, prénom, email, rôle dans l'organisation.
- Authentification : mot de passe (haché via bcrypt côté Supabase Auth, jamais stocké en clair), jetons de session.
- Profil : photo de profil (optionnelle), préférences UI.
2.2 Données métier (saisies par le client)
- Salariés : identité, contact, métier, type de contrat, date d'entrée, photo (optionnelle).
- Chantiers : adresse, dates, type de travaux, montant, photos.
- Contacts CRM : identité, coordonnées des clients (particuliers ou entreprises).
- Heures et absences : relevés horaires par salarié et par chantier.
2.3 Données techniques
- Adresse IP (logs serveur, conservée 30 jours pour la sécurité) ;
- User-agent (type de navigateur) ;
- Logs d'erreur applicative (Sentry, sans PII).
3. Finalités et bases légales
| Traitement | Finalité | Base légale (RGPD) |
|---|---|---|
| Gestion du compte utilisateur | Fournir le service souscrit | Exécution du contrat (art. 6.1.b) |
| Données métier (chantiers, salariés…) | Cœur fonctionnel du SaaS | Exécution du contrat (art. 6.1.b) |
| Formulaire de contact | Répondre à une demande commerciale | Mesures précontractuelles (art. 6.1.b) |
| Facturation et comptabilité | Émission et conservation des factures | Obligation légale (art. 6.1.c) |
| Logs de sécurité | Détection d'intrusions, audit | Intérêt légitime (art. 6.1.f) |
| Emails transactionnels | Notifications service (login, alertes…) | Exécution du contrat |
| Mesure d'audience anonymisée | Améliorer le produit | Intérêt légitime (analytics EU, sans cookies tiers) |
Aucune donnée n'est utilisée à des fins publicitaires, ni revendue à un tiers, ni utilisée pour entraîner un modèle d'IA.
4. Durées de conservation
- Compte actif : pendant toute la durée de l'abonnement.
- Après résiliation : 6 mois en lecture seule (export possible), puis suppression définitive.
- Demandes via le formulaire de contact : 3 ans à compter du dernier échange, sauf relation contractuelle.
- Factures : 10 ans (obligation comptable et fiscale).
- Logs techniques : 30 jours.
- Logs Sentry : 90 jours.
5. Hébergement et localisation
L'ensemble des données métier et personnelles est hébergé au sein de l'Union européenne, en région Paris (Supabase, infrastructure AWS eu-west-3, France). Aucun transfert de données applicatives hors de l'Union européenne n'est effectué.
Pour les organisations soumises à des exigences de souveraineté renforcées, l'offre Souverain permet une instance dédiée ou une installation on-premise, où les données ne quittent jamais votre propre infrastructure.
6. Sous-traitants (sous-processors)
Conformément à l'article 28 du RGPD, Metibat recourt aux sous-traitants suivants. Tous sont liés par un accord de sous-traitance (DPA) garantissant un niveau de protection équivalent.
| Sous-traitant | Rôle | Localisation |
|---|---|---|
| Supabase (auth, base de données, stockage) | Plateforme applicative | UE — région Paris (AWS eu-west-3) |
| Cloudflare Pages | Hébergement front + CDN | UE (PoP Paris/Marseille) |
| Stripe | Paiement et facturation | Irlande (UE) |
| Resend | Envoi d'emails transactionnels | UE |
| Sentry (EU) | Monitoring d'erreurs | UE (Allemagne) |
| PostHog EU | Analytics produit anonymisée | UE (Allemagne) |
Toute évolution de la liste des sous-traitants est notifiée par email aux administrateurs des organisations clientes au moins 30 jours avant son entrée en vigueur, conformément au DPA.
7. Mesures de sécurité
- Chiffrement en transit (TLS 1.2+) sur tous les échanges ;
- Chiffrement au repos sur les bases de données et le stockage objet ;
- Authentification renforcée (mot de passe haché bcrypt, jetons JWT signés) ;
- Cloisonnement des données par Row Level Security (RLS PostgreSQL) — chaque organisation est isolée, aucun accès croisé n'est possible ;
- Sauvegardes quotidiennes chiffrées avec rétention 30 jours ;
- Audit régulier des accès et des permissions ;
- Accès aux données par l'équipe Metibat limité à l'intervention support, sur demande explicite du client.
8. Vos droits
Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :
- Droit d'accès : obtenir copie de vos données.
- Droit de rectification : corriger une donnée inexacte.
- Droit à l'effacement : demander la suppression de vos données (sous réserve des obligations légales).
- Droit à la portabilité : récupérer vos données dans un format structuré (JSON).
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime.
- Droit à la limitation : demander le gel temporaire d'un traitement.
Pour exercer ces droits, écrivez à contact@metibat.fr en précisant l'objet de votre demande et en justifiant de votre identité. Délai de réponse : 30 jours maximum.
9. Réclamation auprès de la CNIL
En cas de désaccord, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : www.cnil.fr/fr/plaintes.
10. Cookies et traceurs
Le détail des cookies et traceurs utilisés est précisé dans notre Politique des cookies.
11. Modification de la politique
Cette politique peut évoluer. Toute modification substantielle est notifiée par email aux administrateurs des organisations clientes au moins 30 jours à l'avance. La version en vigueur à l'instant T fait foi.