Politique de confidentialité

Dernière mise à jour : 27 avril 2026

Edicto traite des données personnelles, notamment celles de salariés et de locataires, dans le cadre d'une activité réglementée (paie, location). La présente politique décrit, dans un langage simple, comment ces données sont collectées, utilisées, protégées et la manière d'exercer vos droits.

1. Responsable de traitement

Le responsable de traitement est [Raison sociale], dont les coordonnées figurent dans les mentions légales.

Pour toute question relative à la protection des données : dpo@edicto.fr.

2. Données collectées

Données utilisateurs (administrateurs et collaborateurs Edicto)

Nom, prénom, adresse email professionnelle
Mot de passe (stocké haché avec Argon2id, jamais en clair)
Date de dernière connexion, journal d'audit (qui a fait quoi)
Préférences d'interface (rôle, langue)

Données métier saisies par l'utilisateur

Salariés : nom, prénom, NIR (n° de Sécurité sociale), adresse, date d'embauche, classification, salaire brut, taux PAS, IBAN/RIB (si renseigné)
Employeurs : raison sociale, SIRET, adresse, conventions, taux URSSAF, organismes
Bailleurs : nom, SIRET (le cas échéant), adresse, email, téléphone
Locataires : nom, prénom, adresse, email, téléphone, profession
Biens : adresse, surface, DPE, loyer
Documents générés : bulletins de paie, baux, quittances (PDF + métadonnées)

Données techniques

Adresse IP de connexion (logs serveur, conservation 6 mois)
User-agent du navigateur, horodatages des requêtes
Cookie de session signé HMAC (durée 14 jours, strictement nécessaire au fonctionnement)

3. Finalités et bases légales

Finalité	Base légale	Conservation
Génération de bulletins de paie	Obligation légale (Code du travail)	5 ans (art. L3243-4) + 50 ans pour le salarié
Génération de baux et quittances	Exécution contractuelle	3 ans après fin du bail (loi 1989, art. 7-1)
Authentification + sécurité	Intérêt légitime	Tant que le compte est actif + 6 mois
Logs d'audit	Obligation légale (sécurité)	12 mois
Facturation Edicto	Obligation légale (Code de commerce)	10 ans

4. Sécurité

Mots de passe hachés avec Argon2id (paramètres OWASP 2024+)
Connexions par cookie de session signé HMAC, expiration 14 jours, flag HttpOnly
Données chiffrées en transit (HTTPS/TLS 1.3) en production
Cloisonnement strict par organisation (multi-tenant : aucune donnée n'est visible entre clients)
Hébergement sur infrastructure UE conforme RGPD
Sauvegardes journalières chiffrées
Journal d'audit : qui a accédé/modifié/supprimé chaque donnée sensible

5. Sous-traitants

Edicto fait appel aux sous-traitants suivants, tous situés en UE et soumis à un contrat de sous-traitance conforme à l'article 28 du RGPD :

[Hébergeur, ex: Scaleway / OVH / Clever Cloud] — hébergement, France
[Fournisseur email, ex: Mailjet / Brevo] — envois transactionnels, France
API publiques gouv.fr — vérification SIRET, autocomplétion adresses (BAN)

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants :

Accès (art. 15) : connaître les données que nous détenons à votre sujet
Rectification (art. 16) : corriger une donnée inexacte
Effacement (art. 17, « droit à l'oubli ») : sauf obligation légale de conservation
Portabilité (art. 20) : récupérer vos données dans un format JSON structuré
Opposition (art. 21) : pour les traitements fondés sur l'intérêt légitime
Limitation (art. 18) : en cas de contestation
Réclamation auprès de la CNIL : cnil.fr/fr/plaintes

Pour exercer vos droits : dpo@edicto.fr ou via votre espace profil (export et suppression en libre-service).

7. Cookies

Edicto utilise uniquement des cookies strictement nécessaires :

edicto_session — cookie d'authentification, signé HMAC, durée 14 jours.

Aucun cookie publicitaire, analytique tiers ou de pistage n'est utilisé. Aucune bannière de consentement n'est requise (cookies exemptés au sens de l'article 82 de la loi Informatique et Libertés).

8. Mises à jour

Cette politique peut évoluer. La date de dernière mise à jour figure en haut de page. En cas de modification substantielle, vous serez notifié par email avant son entrée en vigueur.