Politique de confidentialité

Dernière mise à jour : mai 2026 — Conforme au RGPD (UE) 2016/679

Dernière mise à jour : mai 2026

1. Responsable du traitement

JFP TechCare — Éditeur de Leavup (SIRET : 520 099 243 00021)
5 Allée d'Ombreval, 95330 Domont
Email : contact@leavup.com
Hébergement : Serveur privé dédié, France (UE)

Chaque organisation utilisant Leavup est également responsable du traitement des données de ses propres salariés au sens du RGPD.

2. Données collectées

  • Identité : prénom, nom
  • Contact : adresse email
  • Données professionnelles : date d'entrée, type de contrat, soldes de congés
  • Données optionnelles : numéro de téléphone, adresse postale
  • Données de connexion : mot de passe haché (bcrypt, non réversible)
  • Données de consentement : date, heure et IP d'acceptation de la politique de confidentialité
  • Données d'usage : demandes d'absence, validations, historique
  • Données de facturation : adresse de facturation et informations de paiement traitées directement par Mollie — ces données ne transitent jamais par nos serveurs

3. Finalités

  • Gestion des congés, absences et télétravail
  • Notifications email liées aux demandes d'absence
  • Administration des comptes et des organisations
  • Facturation et gestion des abonnements payants
  • Respect des obligations légales (Code du travail, RGPD)

4. Base légale (art. 6 RGPD)

  • Art. 6.1.b — Exécution du contrat de service (abonnement Leavup)
  • Art. 6.1.a — Consentement explicite recueilli à l'inscription
  • Art. 6.1.c — Obligation légale (conservation des données RH imposée par le Code du travail)

5. Durée de conservation

  • Données de compte actif : conservées pendant toute la durée de l'abonnement
  • Après résiliation : suppression définitive sous 30 jours
  • Historique des congés : 5 ans (obligation Code du travail, art. L3243-4)
  • Données de consentement : 5 ans à compter de la date d'acceptation
  • Logs de connexion : 12 mois (obligation LCEN)
  • Données de facturation : conservées par Mollie conformément à leurs obligations légales (minimum 7 ans pour les pièces comptables)

La suppression du compte efface immédiatement et définitivement toutes les données de l'organisation.

6. Sécurité

  • Mots de passe hachés avec bcrypt (facteur de coût 10)
  • Sessions via cookie HttpOnly, SameSite=Strict, Secure en production
  • Transport chiffré HTTPS/TLS entre le navigateur et le serveur
  • Données chiffrées en base (AES-256-GCM)
  • Isolation stricte par organisation
  • Infrastructure hébergée en France, accès restreint à l'éditeur

7. Cookies

session — Cookie HttpOnly, durée de vie : session navigateur
Finalité : maintien de la connexion authentifiée
Aucun cookie publicitaire, analytique ou tiers n'est utilisé.

8. Destinataires des données

  • Administrateurs de votre organisation : accès aux données de leurs salariés uniquement
  • Responsables RH : accès aux données RH de leur organisation
  • JFP TechCare : accès technique limité à la maintenance et au support
  • Aucun tiers commercial : vos données ne sont ni vendues ni partagées à des fins publicitaires

9. Sous-traitants (art. 28 RGPD)

Leavup fait appel aux sous-traitants suivants :

OVH SAS — 2 rue Kellermann, 59100 Roubaix, France (UE)
Prestation : envoi des emails transactionnels (notifications, réinitialisations de mot de passe)
Politique de confidentialité OVH →
Mollie B.V. — Keizersgracht 313, 1016 EE Amsterdam, Pays-Bas (Union européenne)
Prestation : traitement sécurisé des paiements par carte bancaire et prélèvement SEPA
Mollie est certifié PCI-DSS niveau 1. Les informations de paiement sont saisies directement sur les serveurs sécurisés de Mollie et ne transitent jamais par nos serveurs.
Le transfert UE → Pays-Bas (Union européenne) est encadré par les clauses contractuelles types (CCT) approuvées par la Commission européenne (art. 46.2.c RGPD).
Politique de confidentialité Mollie →

10. Décisions automatisées et profilage

Leavup ne procède à aucune décision automatisée ni à aucun profilage au sens de l'art. 22 du RGPD. Toutes les décisions concernant les congés sont prises par des personnes habilitées au sein de votre organisation.

11. Vos droits (art. 15 à 22 RGPD)

  • Accès : consultez vos données depuis votre profil
  • Rectification : modifiez vos informations depuis votre profil
  • Effacement : supprimez votre compte depuis Paramètres → RGPD
  • Portabilité : exportez toutes vos données (JSON) depuis Paramètres → RGPD
  • Opposition / Limitation : contactez contact@leavup.com

Délai de réponse : 1 mois (art. 12 RGPD), prorogeable de 2 mois en cas de complexité.

En cas de litige non résolu, vous pouvez saisir la CNIL : www.cnil.fr — 3, place de Fontenoy, 75007 Paris.

12. Transferts hors UE

L'hébergement de l'application et des données est assuré sur un serveur privé situé en France (UE). Le prestataire email (OVH) est également établi en France.

Les paiements sont traités par Mollie B.V. (Pays-Bas, Union européenne). Mollie est agréé par la Banque Nationale des Pays-Bas (DNB) sous la directive PSD2 — aucun transfert de données hors UE. Les numéros de carte et IBAN sont saisis directement sur les serveurs sécurisés de Mollie et ne transitent jamais par nos serveurs.

13. Contact

Pour toute question relative à vos données personnelles :
JFP TechCare — 5 Allée d'Ombreval, 95330 Domont
contact@leavup.comMentions légales