Politique de confidentialité
Version 1.0 — en vigueur depuis le 9 juillet 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via la plateforme OnPush est :
OnPush SASU
6 Rue d'Armaillé, 75017 Paris
RCS Paris 107 177 008
Email : contact@onpush.fr
2. Données collectées
A. Données des clients abonnés (responsable de traitement)
- Identité : nom, prénom, fonction ;
- Coordonnées professionnelles : email, téléphone, adresse de l'établissement ;
- Données de facturation : SIRET, numéro de TVA, données de paiement (gérées par Stripe — OnPush ne stocke jamais les numéros de carte) ;
- Données de connexion : logs d'accès, adresse IP, horodatages.
B. Données des prospects et membres des clients (sous-traitant)
OnPush traite, pour le compte de ses clients abonnés, des données relatives à leurs propres prospects et membres (nom, prénom, téléphone, email, historique de contact). OnPush agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le client abonné est seul responsable de la licéité du traitement de ces données.
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Gestion du compte et de l'abonnement | Exécution du contrat |
| Facturation et recouvrement | Obligation légale / contrat |
| Support client | Exécution du contrat |
| Amélioration du service (usage agrégé) | Intérêt légitime |
| Envoi d'informations produit / nouveautés | Consentement ou intérêt légitime (B2B) |
| Sécurité et lutte contre la fraude | Intérêt légitime / obligation légale |
4. Durée de conservation
- Données de compte actif : durée de l'abonnement ;
- Données de facturation : 10 ans (obligation comptable) ;
- Données de connexion / logs : 12 mois ;
- Données prospects/membres (sous-traitance) : supprimées dans les 30 jours suivant la résiliation du Client abonné, sauf obligation légale contraire.
5. Destinataires des données
Les données sont susceptibles d'être transmises aux sous-traitants suivants :
- Vercel Inc. (hébergement) — États-Unis, couvert par les clauses contractuelles types de l'UE ;
- Supabase Inc. (base de données) — Singapour / UE, couvert par les clauses contractuelles types ;
- Stripe Inc. (paiement) — États-Unis, certifié PCI-DSS niveau 1, couvert par les clauses contractuelles types ;
- Brevo SA (email transactionnel) — France.
Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.
6. Transferts hors UE
Certains sous-traitants (Vercel, Supabase, Stripe) sont établis hors de l'Union européenne. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne (décision 2021/914/UE), conformément à l'article 46 du RGPD.
7. Vos droits
Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès : obtenir une copie de vos données ;
- Droit de rectification : corriger des données inexactes ;
- Droit à l'effacement : supprimer vos données dans les cas prévus par la loi ;
- Droit à la limitation : restreindre un traitement ;
- Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime ;
- Droit à la portabilité : recevoir vos données dans un format structuré.
Pour exercer ces droits, contactez-nous à contact@onpush.fr en joignant une copie de votre pièce d'identité si nécessaire. Nous répondons dans un délai d'un mois.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr.
8. Cookies
La plateforme OnPush utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service :
- onpush_session : cookie de session d'authentification, durée de vie de la session navigateur ;
- Cookies Stripe : utilisés lors des flux de paiement, régis par la politique de Stripe.
Aucun cookie publicitaire, de tracking ou d'analyse tiers n'est déposé sur la plateforme applicative (espace connecté).
9. Sécurité
OnPush met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès non autorisé, perte ou destruction : chiffrement TLS en transit, chiffrement des mots de passe par hachage bcrypt, isolation des données par tenant (Row-Level Security Supabase), accès restreint aux données de production.
En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, OnPush notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD.
10. Modifications
La présente politique peut être mise à jour à tout moment. Toute modification substantielle est notifiée par email avec un préavis de 15 jours. La version en vigueur est toujours accessible sur cette page.
OnPush SASU — RCS Paris 107 177 008 — contact@onpush.fr — Dernière mise à jour : 9 juillet 2026