# Politique de Confidentialité

**Hoshin Kanri — Plateforme de planification stratégique**

*Dernière mise à jour : 9 février 2026*

## 1. Responsable du traitement

Animam Technologies
Email : contact@animam-technologies.com

## 2. Données collectées

### 2.1 Données de compte
- Adresse email
- Nom d'affichage
- Mot de passe (stocké sous forme de hash bcrypt)
- Nom d'organisation

### 2.2 Données d'utilisation
- Matrices, objectifs, initiatives et KPIs créés
- Idées et actions
- Cadences de réunion et comptes-rendus
- Corrélations et scores de complétude

### 2.3 Données techniques
- Adresse IP
- User-Agent du navigateur
- Logs d'audit des actions (journal des modifications)
- Horodatage des connexions

## 3. Finalités du traitement

Vos données sont traitées pour :
- Fournir et améliorer le Service
- Authentification et sécurité du compte
- Gestion de votre organisation et de vos matrices
- Communication transactionnelle (emails de vérification, réinitialisation de mot de passe)
- Audit et traçabilité des actions

## 4. Base légale

- **Exécution du contrat** : fourniture du Service suite à votre inscription
- **Intérêt légitime** : sécurité, prévention de la fraude, amélioration du Service
- **Consentement** : communications marketing (si applicable)

## 5. Durée de conservation

- **Données de compte** : conservées tant que le compte est actif, supprimées dans les 30 jours suivant la suppression du compte
- **Données d'utilisation** : conservées tant que le compte est actif
- **Logs d'audit** : conservés 90 jours
- **Données techniques** : conservées 12 mois maximum

## 6. Partage des données

Vos données ne sont pas vendues à des tiers. Elles peuvent être partagées avec :
- **Resend** : envoi d'emails transactionnels
- **OVH** : hébergement serveur (VPS en France)

## 7. Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles pour protéger vos données :
- Chiffrement HTTPS/TLS en transit
- Mots de passe hashés (bcrypt, cost 12)
- Tokens JWT avec expiration
- Rate limiting sur les endpoints sensibles
- Isolation multi-tenant par organisation
- Sauvegardes régulières chiffrées

## 8. Vos droits (RGPD)

Conformément au RGPD, vous disposez des droits suivants :

### 8.1 Droit d'accès
Vous pouvez demander une copie de toutes vos données via l'endpoint `GET /api/auth/export-my-data` ou depuis les paramètres de votre compte.

### 8.2 Droit de rectification
Vous pouvez modifier vos informations personnelles depuis votre profil.

### 8.3 Droit à l'effacement
Vous pouvez supprimer votre compte via `DELETE /api/auth/delete-my-account` ou depuis les paramètres. La suppression est effective sous 30 jours.

### 8.4 Droit à la portabilité
L'export de vos données est disponible au format JSON via les fonctions d'export du Service.

### 8.5 Droit d'opposition
Vous pouvez vous opposer au traitement de vos données à des fins de marketing.

### 8.6 Droit de retrait du consentement
Vous pouvez retirer votre consentement à tout moment sans affecter la licéité du traitement antérieur.

## 9. Cookies

Le Service utilise uniquement des cookies techniques nécessaires au fonctionnement :
- `auth_token` : authentification JWT (httpOnly, secure)
- `refresh_token` : renouvellement de session (httpOnly, secure)

Aucun cookie tiers de tracking ou publicitaire n'est utilisé.

## 10. Transfert de données

Vos données sont hébergées en France (OVH). Aucun transfert hors UE n'est effectué, sauf pour l'envoi d'emails via Resend (États-Unis, clauses contractuelles types).

## 11. Modifications

Toute modification substantielle de cette politique sera communiquée par email et/ou notification dans le Service.

## 12. Contact DPO

Pour exercer vos droits ou poser une question :
- Email : contact@animam-technologies.com
- Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr)