Politique de Confidentialité – Rethos

Dernière mise à jour : 24-02-2026

1. Introduction

Objet : Cette politique de confidentialité décrit comment Rethos (ci-après « nous » ou « Rethos »), société en cours de création, traite les données personnelles des utilisateurs de sa solution applicative (portail web et application mobile). Elle s'applique exclusivement à un usage professionnel (B2B).

Responsable de traitement :

• Raison sociale : Rethos (en cours d'immatriculation)
• Contact : Pour toute question relative à la protection des données, écrivez à contact@rethos.fr (adresse provisoire).
• Délégué à la protection des données (DPO) : Loïs Bapté (lbapte@rethos.fr).

2. Champ d'application

Cette politique s'applique :

• Au portail web Rethos
• À l'application mobile Rethos
• Aux utilisateurs professionnels dont les comptes sont créés et gérés par leur organisation cliente.

Exclusion : Rethos ne traite aucune donnée personnelle à caractère privé ou sensible (au sens de l'article 9 du RGPD).

3. Données personnelles traitées

Nous traitons uniquement les données strictement nécessaires à la fourniture de nos services. Voici les catégories de données concernées :

Catégorie	Exemples	Source
Données d'identification	Adresse email professionnelle (obligatoire pour la création de compte)	Fournie par l'organisation cliente
Données de connexion	Logs d'accès, adresse IP, données techniques d'usage	Collectées automatiquement
Données métiers	Documents (PDF, fichiers), analyses, panels fournis par les clients	Fournis par l'utilisateur ou son organisation

Précision : Les documents métiers ne doivent pas contenir de données personnelles privées (ex. : données de santé, opinions politiques, etc.). Aucune donnée biométrique, génétique ou relative à la vie privée n'est collectée.

4. Finalités du traitement

Les données sont traitées uniquement pour les finalités suivantes :

Finalité	Base légale (RGPD)
Authentification et gestion des accès	Exécution du contrat / Intérêt légitime
Mise à disposition de données structurées	Exécution du contrat
Amélioration de l'expertise et de l'analyse	Intérêt légitime (amélioration continue)
Sécurité, maintenance et support technique	Intérêt légitime (sécurité des systèmes)

Engagement : Aucune utilisation publicitaire ou prospection commerciale. Aucun profilage des utilisateurs.

5. Base légale

Les traitements reposent sur :

• L'exécution du contrat liant Rethos à ses clients professionnels
• L'intérêt légitime de Rethos à garantir la sécurité et la performance de la solution et améliorer ses services

A noter : Aucun consentement explicite n'est requis pour ces traitements, conformément à l'article 6 du RGPD.

6. Création et gestion des comptes

Création : Les comptes sont créés uniquement par l'organisation cliente, via une adresse email professionnelle.

Modification/Suppression : Gérée par l'organisation cliente. En cas de départ d'un collaborateur, le compte peut être désactivé ou réaffecté.

Accès : Réservé aux utilisateurs habilités par leur organisation.

7. Durées de conservation

Les données sont conservées pour des durées limitées et proportionnées :

Type de données	Durée de conservation	Justification
Comptes utilisateurs	3 ans après la dernière activité	Traçabilité et sécurité
Logs de connexion	3 ans	Sécurité et audit
Emails de support	Suppression après traitement (max. 1 an)	Résolution des demandes

Processus de suppression : Les données sont automatiquement purgées à l'issue des délais. Les utilisateurs peuvent demander la suppression anticipée (sous réserve des obligations légales).

8. Sécurité et protection des données

Rethos accorde une priorité absolue à la sécurité et à la confidentialité des données personnelles. Nous mettons en œuvre des mesures techniques et organisationnelles avancées pour garantir la protection des données, en conformité avec le RGPD et les meilleures pratiques du secteur.

8.1 Infrastructure Cloud et chiffrement

Hébergement sur Google Cloud Platform (GCP) : Toutes les données sont hébergées sur GCP, une plateforme certifiée ISO 27001, SOC 2/3, et conforme au RGPD. Les données sont stockées dans des datacenters situés dans l'Union européenne.

Chiffrement au repos : Les données stockées sont chiffrées avec AES-256 via GCP KMS.

Chiffrement en transit : Toutes les communications sont protégées par TLS 1.2+ (HTTPS).

8.2 Gestion des comptes utilisateurs avec Firebase

Authentification : Rethos utilise Firebase Authentication pour gérer les comptes.

• Connexion par email/mot de passe (avec exigences de complexité)
• SSO via Google Workspace, Microsoft Azure AD pour les organisations clientes

Protection des mots de passe : Les mots de passe sont hachés avec bcrypt/Argon2.

Isolation des données : Chaque organisation cliente dispose d'un espace dédié dans Firestore, empêchant tout accès croisé entre clients.

8.3 Contrôle d'accès et gestion des permissions

• Principes de moindre privilège : L'accès aux données est strictement limité aux personnes et systèmes qui en ont besoin.
• Rôles IAM : Les fondateurs de Rethos ont un accès minimal et audité. Les sous-traitants n'ont aucun accès aux données clients sauf autorisation explicite.
• Journalisation : Tous les accès aux données sensibles sont journalisés et conservés pendant 6 mois pour audit.

8.4 Sauvegardes et reprise après incident

• Sauvegardes quotidiennes sur GCP, chiffrées, conservées 30 jours
• Tests réguliers de restauration
• Plan de reprise d'activité (PRA) : Rétablissement du service sous 4h (RTO), RPO = 0

8.5 Surveillance et détection des intrusions

• Monitoring : Google Cloud's Operations Suite pour surveiller les accès suspects et détecter les anomalies
• Firebase App Check : Empêche l'utilisation non autorisée des APIs
• Réponse aux incidents : Containment sous 24h, notification CNIL sous 72h si requis

8.6 Conformité et audits

• RGPD : Minimisation des données, limitation de la conservation (3 ans d'inactivité), droits des utilisateurs
• Audits : Internes trimestriels, externes annuels
• Certification : ISO 27001 visée dans les 12 mois suivant le lancement commercial

8.7 Sous-traitants et transferts de données

Sous-traitants : Google Cloud Platform (GCP) et Firebase (Google) uniquement.

Garanties : Tous les sous-traitants signent un DPA conforme au RGPD. Les données ne sont jamais transférées hors UE sans garanties appropriées.

9. Engagements de Rethos

• Transparence : Toute modification de notre infrastructure sera communiquée aux clients
• Amélioration continue : Investissement régulier dans la modernisation des mesures de sécurité
• Support réactif : contact@rethos.fr pour toute question

10. Droits des utilisateurs

Conformément au RGPD, les utilisateurs disposent des droits suivants :

Droit	Description	Modalités d'exercice
Droit d'accès	Obtenir une copie des données vous concernant	Demande écrite à contact@rethos.fr
Droit de rectification	Corriger des données inexactes	Idem
Droit à la limitation	Limiter le traitement dans certains cas	Idem
Droit d'opposition	S'opposer au traitement pour motifs légitimes	Idem
Droit à l'effacement	Supprimer vos données (sous réserve des obligations légales)	Idem

Délai de réponse : 1 mois (prorogeable de 2 mois en cas de complexité).

11. Transfert de données

• Aucune revente, cession ou utilisation commerciale des données
• Aucun transfert en dehors de l'UE sans garanties appropriées (clauses contractuelles types)

12. Cookies et technologies similaires

• Rethos utilise des cookies strictement nécessaires au fonctionnement de la solution (ex. : authentification)
• Aucun cookie publicitaire ou de tracking tiers n'est déployé
• Les utilisateurs peuvent désactiver les cookies via les paramètres de leur navigateur

13. Mise à jour de la politique

Cette politique peut être mise à jour pour :

• Refléter les évolutions légales (ex. : nouvelles directives RGPD)
• Intégrer de nouvelles fonctionnalités de la solution
• Améliorer la transparence et la sécurité

Notification : Les utilisateurs seront informés des mises à jour via email, notification dans l'application ou mention visible sur le portail web.

14. Contact et réclamations

• Email : contact@rethos.fr
• Autorité de contrôle : Les utilisateurs peuvent introduire une réclamation auprès de la CNIL (France) ou de l'autorité compétente de leur pays.