Politique de confidentialité & RGPD
Dernière mise à jour : 19 février 2026
La présente politique décrit comment DevFlow (ci-après « nous », « le Service ») collecte, utilise et protège vos données personnelles conformément au :
- Règlement (UE) 2016/679 — Règlement général sur la protection des données (RGPD)
- Directive 2002/58/CE — directive ePrivacy (telle que modifiée)
- Règlement (UE) 2022/2065 — Digital Services Act (DSA)
- Règlement (UE) 2023/2854 — Data Act (applicable depuis le 12 septembre 2025)
- Règlement (UE) 2024/1689 — AI Act (dispositions progressivement applicables 2025-2026), en ce qui concerne les éventuels traitements automatisés
- Loi n° 78-17 du 6 janvier 1978 — Loi Informatique et Libertés (mise à jour)
1. Responsable du traitement
- Identité : --
- Adresse : --
- E-mail : --
- Délégué à la protection des données (DPO) : --
2. Données personnelles collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement du Service (principe de minimisation, art. 5(1)(c) RGPD) :
2.1 Données d’identification
| Donnée | Finalité | Base légale |
|---|---|---|
| Nom, prénom | Affichage dans l’équipe, attribution de tâches | Exécution du contrat (art. 6(1)(b)) |
| Adresse e-mail | Authentification, notifications, invitations | Exécution du contrat (art. 6(1)(b)) |
| Photo de profil (optionnelle) | Personnalisation de l’interface | Consentement (art. 6(1)(a)) |
| Mot de passe (hashé via scrypt) | Sécurisation de l’accès au compte | Exécution du contrat (art. 6(1)(b)) |
2.2 Données d’utilisation
| Donnée | Finalité | Base légale |
|---|---|---|
| Contenu des tâches, commentaires, messages | Fonctionnement du Service collaboratif | Exécution du contrat (art. 6(1)(b)) |
| Données Git liées (branches, PR, commits) | Intégration développement | Exécution du contrat (art. 6(1)(b)) |
| Journal d’activité (actions dans l’app) | Historique, audit, transparence | Intérêt légitime (art. 6(1)(f)) |
| Adresse IP, user-agent (sessions) | Sécurité, détection d’abus | Intérêt légitime (art. 6(1)(f)) |
2.3 Données de visioconférence
| Donnée | Finalité | Base légale |
|---|---|---|
| Adresse IP (via STUN/ICE) | Établissement de connexion pair-à-pair (WebRTC) | Exécution du contrat (art. 6(1)(b)) |
Les appels vidéo utilisent le protocole WebRTC en pair-à-pair. Pour établir la connexion, le Service utilise les serveurs STUN publics de Google (stun.l.google.com:19302). Ces serveurs reçoivent temporairement votre adresse IP pour la négociation du lien, sans stockage permanent. Aucun flux audio/vidéo ne transite par nos serveurs ni par les serveurs STUN.
3. Cookies et traceurs
DevFlow utilise exclusivement des cookies techniques (session d’authentification, jeton CSRF). Ces cookies sont strictement nécessaires au fonctionnement du Service et sont exemptés de consentement conformément à l’article 5(3) de la directive ePrivacy et aux recommandations du CEPD.
| Cookie | Finalité | Durée | Catégorie |
|---|---|---|---|
better-auth.session_token | Authentification de session | 7 jours (renouvelé) | Strictement nécessaire |
Les préférences d’interface (ex. : état de la barre latérale) sont stockées via localStorage (stockage local du navigateur, non transmis au serveur), exemptées de consentement.
Aucun cookie publicitaire, analytique ou de traçage tiers n’est déposé. Si cette politique venait à évoluer, un bandeau de consentement conforme serait mis en place préalablement.
4. Durées de conservation
| Catégorie | Durée |
|---|---|
| Données du compte utilisateur | Durée du compte — suppression immédiate sur demande |
| Sessions d’authentification | 7 jours — purgées automatiquement après expiration |
| Contenu des projets/tâches | Durée de vie du projet (supprimé en cascade avec l’organisation) |
| Messages d’équipe | Durée de vie de l’organisation |
| Journal d’activité | 12 mois glissants — purgé automatiquement |
| Invitations en attente | 7 jours — purgées automatiquement après expiration |
| Cache GitHub | Durée du compte — supprimé en cascade |
| IP/User-Agent (sessions) | 7 jours (lié à la session) |
À l’expiration de ces délais, les données sont définitivement supprimées ou anonymisées de manière irréversible. Un mécanisme de purge automatique est en place.
5. Destinataires des données & sous-traitants
Vos données peuvent être accessibles aux catégories suivantes :
- Membres de votre organisation — dans la limite de leurs permissions (rôles owner / admin / member / client)
5.1 Sous-traitants techniques
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| GitHub, Inc. (Microsoft) | Authentification OAuth, intégration Git | États-Unis | EU-US Data Privacy Framework (décision d’adéquation) |
| Google LLC | Authentification OAuth, serveurs STUN (WebRTC) | États-Unis | EU-US Data Privacy Framework (décision d’adéquation) |
Nous ne vendons jamais vos données. Aucun transfert à des fins publicitaires ou de profilage commercial n’est effectué.
6. Transferts hors de l’EEE
Les données sont stockées et traitées au sein de l’Espace économique européen. Les transferts vers GitHub et Google (USA) sont encadrés par le EU-US Data Privacy Framework (décision d’adéquation de la Commission européenne du 10 juillet 2023, art. 45 RGPD).
Si un sous-traitant futur se situait en dehors de l’EEE sans décision d’adéquation, le transfert serait encadré par des clauses contractuelles types (CCT, art. 46(2)(c) RGPD).
Conformément au Data Act (Règlement (UE) 2023/2854), nous garantissons la portabilité effective de vos données et l’absence de barrières injustifiées au changement de fournisseur.
7. Sécurité des données
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD) :
- Chiffrement des données en transit (TLS 1.3)
- Mots de passe hashés avec scrypt (algorithme adaptatif)
- Jetons de session signés avec HMAC-SHA256 (clé secrète serveur)
- Contrôle d’accès basé sur les rôles (RBAC)
- Protection CSRF, rate limiting, en-têtes de sécurité (CSP, HSTS)
- Validation et assainissement de toutes les entrées utilisateur (Zod)
- Requêtes paramétrées (ORM Drizzle) — pas d’injection SQL
En cas de violation de données, nous nous engageons à notifier l’autorité de contrôle compétente dans les 72 heures (art. 33 RGPD) et les personnes concernées si le risque est élevé (art. 34 RGPD).
8. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants :
| Droit | Description | Exercice dans l’app | Réf. |
|---|---|---|---|
| Accès | Obtenir une copie de vos données personnelles | Paramètres → Exporter mes données (JSON) | Art. 15 |
| Rectification | Corriger des données inexactes ou incomplètes | Paramètres → Profil | Art. 16 |
| Effacement | Demander la suppression de vos données (« droit à l’oubli ») | Paramètres → Supprimer mon compte | Art. 17 |
| Limitation | Restreindre le traitement dans certaines situations | Contacter dpo@devflow.app | Art. 18 |
| Portabilité | Recevoir vos données dans un format structuré (JSON) | Paramètres → Exporter mes données | Art. 20 |
| Opposition | Vous opposer au traitement fondé sur l’intérêt légitime | Contacter dpo@devflow.app | Art. 21 |
| Décision automatisée | Ne pas faire l’objet d’une décision uniquement automatisée | Non applicable (aucun traitement automatisé) | Art. 22 |
| Retrait du consentement | À tout moment, sans affecter la licéité du traitement antérieur | Paramètres → Profil (retrait photo) | Art. 7(3) |
| Directives post-mortem | Définir le sort de vos données après votre décès | Contacter dpo@devflow.app | Loi I&L, art. 85 |
Pour exercer vos droits, contactez-nous à l’adresse indiquée en section 1. Nous répondrons dans un délai d’un mois maximum (prorogeable de deux mois en cas de demande complexe).
9. Protection des mineurs
Le Service n’est pas destiné aux personnes de moins de 16 ans. Si nous découvrons qu’un mineur de moins de 16 ans a fourni des données personnelles sans le consentement parental requis (art. 8 RGPD), nous procéderons à leur suppression dans les meilleurs délais.
10. Intelligence artificielle
DevFlow n’utilise pas de système d’intelligence artificielle pour prendre des décisions automatisées produisant des effets juridiques ou affectant de manière significative les utilisateurs. Si le Service venait à intégrer des fonctionnalités d’IA, celles-ci respecteraient le Règlement (UE) 2024/1689 (AI Act), notamment :
- Classification du risque et obligations de transparence
- Information claire de l’utilisateur sur l’usage de l’IA
- Droit d’obtenir une intervention humaine (art. 22 RGPD)
11. Réclamation
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de l’autorité de contrôle compétente :
- France : Commission Nationale de l’Informatique et des Libertés (CNIL) — www.cnil.fr
- Autre pays de l’UE/EEE : l’autorité de protection des données de votre pays de résidence
12. Modifications de la politique
Nous nous réservons le droit de modifier cette politique. En cas de changement substantiel, les utilisateurs seront informés par notification dans le Service ou par e-mail au moins 30 jours avant l’entrée en vigueur des modifications. La date de dernière mise à jour est indiquée en haut de cette page.
13. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
- E-mail : l’adresse indiquée en section 1
- Courrier : --