Politique de confidentialité

Version 1.0 — en vigueur depuis le 9 juillet 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via la plateforme OnPush est :

OnPush SASU
6 Rue d'Armaillé, 75017 Paris
RCS Paris 107 177 008
Email : contact@onpush.fr

2. Données collectées

A. Données des clients abonnés (responsable de traitement)

  • Identité : nom, prénom, fonction ;
  • Coordonnées professionnelles : email, téléphone, adresse de l'établissement ;
  • Données de facturation : SIRET, numéro de TVA, données de paiement (gérées par Stripe — OnPush ne stocke jamais les numéros de carte) ;
  • Données de connexion : logs d'accès, adresse IP, horodatages.

B. Données des prospects et membres des clients (sous-traitant)

OnPush traite, pour le compte de ses clients abonnés, des données relatives à leurs propres prospects et membres (nom, prénom, téléphone, email, historique de contact). OnPush agit en qualité de sous-traitant au sens de l'article 28 du RGPD. Le client abonné est seul responsable de la licéité du traitement de ces données.

3. Finalités et bases légales

FinalitéBase légale
Gestion du compte et de l'abonnementExécution du contrat
Facturation et recouvrementObligation légale / contrat
Support clientExécution du contrat
Amélioration du service (usage agrégé)Intérêt légitime
Envoi d'informations produit / nouveautésConsentement ou intérêt légitime (B2B)
Sécurité et lutte contre la fraudeIntérêt légitime / obligation légale

4. Durée de conservation

  • Données de compte actif : durée de l'abonnement ;
  • Données de facturation : 10 ans (obligation comptable) ;
  • Données de connexion / logs : 12 mois ;
  • Données prospects/membres (sous-traitance) : supprimées dans les 30 jours suivant la résiliation du Client abonné, sauf obligation légale contraire.

5. Destinataires des données

Les données sont susceptibles d'être transmises aux sous-traitants suivants :

  • Vercel Inc. (hébergement) — États-Unis, couvert par les clauses contractuelles types de l'UE ;
  • Supabase Inc. (base de données) — Singapour / UE, couvert par les clauses contractuelles types ;
  • Stripe Inc. (paiement) — États-Unis, certifié PCI-DSS niveau 1, couvert par les clauses contractuelles types ;
  • Brevo SA (email transactionnel) — France.

Aucune donnée n'est vendue ni cédée à des tiers à des fins commerciales.

6. Transferts hors UE

Certains sous-traitants (Vercel, Supabase, Stripe) sont établis hors de l'Union européenne. Ces transferts sont encadrés par des clauses contractuelles types approuvées par la Commission européenne (décision 2021/914/UE), conformément à l'article 46 du RGPD.

7. Vos droits

Conformément au RGPD (articles 15 à 22) et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès : obtenir une copie de vos données ;
  • Droit de rectification : corriger des données inexactes ;
  • Droit à l'effacement : supprimer vos données dans les cas prévus par la loi ;
  • Droit à la limitation : restreindre un traitement ;
  • Droit d'opposition : vous opposer à un traitement fondé sur l'intérêt légitime ;
  • Droit à la portabilité : recevoir vos données dans un format structuré.

Pour exercer ces droits, contactez-nous à contact@onpush.fr en joignant une copie de votre pièce d'identité si nécessaire. Nous répondons dans un délai d'un mois.

Vous avez également le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) — cnil.fr.

8. Cookies

La plateforme OnPush utilise uniquement des cookies techniques strictement nécessaires au fonctionnement du service :

  • onpush_session : cookie de session d'authentification, durée de vie de la session navigateur ;
  • Cookies Stripe : utilisés lors des flux de paiement, régis par la politique de Stripe.

Aucun cookie publicitaire, de tracking ou d'analyse tiers n'est déposé sur la plateforme applicative (espace connecté).

9. Sécurité

OnPush met en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données contre tout accès non autorisé, perte ou destruction : chiffrement TLS en transit, chiffrement des mots de passe par hachage bcrypt, isolation des données par tenant (Row-Level Security Supabase), accès restreint aux données de production.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, OnPush notifiera la CNIL dans les 72 heures conformément à l'article 33 du RGPD.

10. Modifications

La présente politique peut être mise à jour à tout moment. Toute modification substantielle est notifiée par email avec un préavis de 15 jours. La version en vigueur est toujours accessible sur cette page.

OnPush SASU — RCS Paris 107 177 008 — contact@onpush.fr — Dernière mise à jour : 9 juillet 2026