Article 1 — Introduction

La société Helipay SAS (ci-après « Helipay », « nous », « notre ») attache une importance fondamentale à la protection des données personnelles de ses utilisateurs et des personnes concernées par les traitements effectués via sa plateforme.

La présente Politique de Confidentialité a pour objet d'informer les personnes concernées, conformément aux articles 13 et 14 du Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, des conditions dans lesquelles leurs données personnelles sont collectées, traitées et protégées.

Article 2 — Responsable de traitement et sous-traitant

En tant que responsable de traitement : Helipay est responsable du traitement des données personnelles de ses Utilisateurs (données de compte, données de connexion, données de facturation).

En tant que sous-traitant : Dans le cadre des services de relance automatisée, l'Utilisateur (l'entreprise créancière) est le responsable de traitement des données personnelles de ses Débiteurs. Helipay agit en qualité de sous-traitant au sens de l'article 28 du RGPD, traitant ces données uniquement sur instruction documentée de l'Utilisateur et aux seules fins de la fourniture du service de relance.

Contact du responsable de traitement : contact@helipay.co

Article 3 — Données collectées

Nous collectons et traitons les catégories de données personnelles suivantes :

3.1 Données des Utilisateurs (entreprises créancières)

Données d'identification : nom du représentant légal, dénomination sociale, numéro SIRET, adresse email professionnelle.
Données de connexion : adresse email, mot de passe (chiffré), historique de connexion, adresse IP.
Données de facturation : informations bancaires nécessaires au paiement de l'abonnement (traitées par notre prestataire de paiement sécurisé).
Données d'utilisation : actions effectuées sur la Plateforme, logs d'activité, paramètres de configuration.

3.2 Données des Débiteurs (traitées pour le compte de l'Utilisateur)

Données d'identification : nom, prénom ou raison sociale, adresse postale, code postal, ville, pays.
Données de contact : adresse email, numéro de téléphone.
Données financières : montant des factures, dates d'échéance, statut de paiement, historique des relances reçues.

Article 4 — Finalités et bases légales du traitement

Finalité	Base légale
Création et gestion du Compte Utilisateur	Exécution du contrat (art. 6.1.b RGPD)
Fourniture des services de relance automatisée	Exécution du contrat (art. 6.1.b RGPD)
Envoi d'emails et SMS de relance aux Débiteurs	Intérêt légitime de l'Utilisateur (art. 6.1.f RGPD)
Facturation et gestion des paiements	Exécution du contrat et obligation légale (art. 6.1.b et 6.1.c RGPD)
Amélioration de la Plateforme et statistiques	Intérêt légitime de Helipay (art. 6.1.f RGPD)
Respect des obligations légales et réglementaires	Obligation légale (art. 6.1.c RGPD)
Sécurité de la Plateforme et prévention de la fraude	Intérêt légitime de Helipay (art. 6.1.f RGPD)

Article 5 — Destinataires des données

Les données personnelles collectées sont accessibles aux personnes et entités suivantes, dans la stricte limite de ce qui est nécessaire à l'accomplissement de leurs missions :

Personnel habilité de Helipay : équipes techniques et support, dans la limite de leurs attributions.
Sous-traitants techniques :
- Supabase Inc. (hébergement de la base de données et authentification) — États-Unis, clauses contractuelles types (CCT) de la Commission européenne.
- Vercel Inc. (hébergement de l'application) — États-Unis, CCT.
- Twilio Inc. (envoi de SMS) — États-Unis, CCT et certifié BCR (Binding Corporate Rules).
- Mailtrap / Railsware Products Inc. (envoi d'emails) — États-Unis, CCT.

Conformément à l'article 28 du RGPD, des contrats de sous-traitance ont été conclus avec chacun de ces prestataires, garantissant un niveau de protection des données personnelles conforme aux exigences du RGPD.

Article 6 — Transferts de données hors UE

Certaines données personnelles sont transférées vers des pays situés en dehors de l'Union Européenne (notamment les États-Unis) dans le cadre de l'utilisation de nos sous-traitants techniques.

Ces transferts sont encadrés par des garanties appropriées conformément au chapitre V du RGPD, notamment :

Les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914 du 4 juin 2021).
Le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework) pour les prestataires certifiés.
Des mesures techniques et organisationnelles complémentaires (chiffrement des données en transit et au repos, pseudonymisation, contrôle d'accès strict).

Article 7 — Durée de conservation des données

Catégorie de données	Durée de conservation
Données de Compte Utilisateur	Durée de la relation contractuelle + 3 ans à des fins de prospection
Données des Débiteurs	Durée nécessaire au recouvrement + 30 jours après suppression du Compte
Données de facturation	10 ans (obligation comptable, article L. 123-22 du Code de commerce)
Logs de connexion	1 an (article 6-II de la LCEN)
Historique des relances	5 ans (prescription de droit commun, article 2224 du Code civil)
Cookies et traceurs	13 mois maximum (recommandation CNIL)

Article 8 — Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD et aux articles 48 à 56 de la loi Informatique et Libertés, toute personne concernée dispose des droits suivants :

Droit d'accès (art. 15 RGPD) : obtenir la confirmation que des données personnelles la concernant sont ou ne sont pas traitées, et le cas échéant, accéder auxdites données.
Droit de rectification (art. 16 RGPD) : obtenir la rectification des données inexactes ou incomplètes.
Droit à l'effacement (art. 17 RGPD) : obtenir l'effacement des données personnelles, sous réserve des obligations légales de conservation.
Droit à la limitation du traitement (art. 18 RGPD) : obtenir la limitation du traitement dans les cas prévus par le RGPD.
Droit à la portabilité (art. 20 RGPD) : recevoir les données personnelles fournies dans un format structuré, couramment utilisé et lisible par machine.
Droit d'opposition (art. 21 RGPD) : s'opposer au traitement des données personnelles pour des raisons tenant à sa situation particulière.
Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : définir des directives relatives à la conservation, à l'effacement et à la communication des données après le décès.

Pour exercer ces droits, les personnes concernées peuvent adresser leur demande par email à contact@helipay.co, accompagnée d'une copie d'un justificatif d'identité. Helipay s'engage à répondre dans un délai d'un (1) mois, conformément à l'article 12.3 du RGPD. Ce délai peut être prolongé de deux (2) mois en cas de complexité ou de nombre élevé de demandes.

En cas de réclamation, la personne concernée peut introduire une plainte auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou via le site www.cnil.fr.

Article 9 — Sécurité des données

Helipay met en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD, notamment :

Chiffrement des données en transit (TLS 1.3) et au repos (AES-256).
Authentification sécurisée avec hachage des mots de passe (bcrypt).
Politiques de sécurité au niveau des lignes (Row Level Security) dans la base de données, garantissant l'isolation des données entre les différents Utilisateurs.
Contrôle d'accès basé sur les rôles pour le personnel de Helipay.
Sauvegardes quotidiennes automatisées avec stockage géographiquement distribué.
Surveillance continue et journalisation des accès aux données.
Tests de sécurité réguliers et mise à jour des dépendances logicielles.

Article 10 — Cookies et traceurs

La Plateforme utilise des cookies strictement nécessaires au fonctionnement du service (cookies d'authentification, cookies de session). Ces cookies sont exemptés du recueil du consentement conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL du 17 septembre 2020.

Aucun cookie publicitaire, de profilage ou de suivi tiers n'est utilisé sur la Plateforme.

Article 11 — Notification des violations de données

En cas de violation de données à caractère personnel au sens de l'article 33 du RGPD, Helipay s'engage à :

Notifier la CNIL dans un délai de 72 heures après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
Informer les personnes concernées dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD).
Documenter toute violation de données conformément à l'article 33.5 du RGPD.

En sa qualité de sous-traitant, Helipay informera l'Utilisateur responsable de traitement de toute violation affectant les données de ses Débiteurs dans les plus brefs délais.

Article 12 — Modification de la Politique de Confidentialité

Helipay se réserve le droit de modifier la présente Politique de Confidentialité à tout moment. Toute modification sera publiée sur cette page avec mise à jour de la date de dernière révision. En cas de modification substantielle, les Utilisateurs seront informés par email ou par notification sur la Plateforme.

Il est recommandé aux Utilisateurs de consulter régulièrement la présente Politique de Confidentialité pour prendre connaissance des éventuelles modifications.

Article 13 — Contact

Pour toute question relative à la présente Politique de Confidentialité ou pour exercer vos droits, vous pouvez nous contacter :

Par email : contact@helipay.co
Par courrier : Helipay SAS, [adresse du siège social]

Vous disposez également du droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que le traitement de vos données personnelles constitue une violation du RGPD.