Politique de confidentialité

1. Responsable du traitement

JFP TechCare — Éditeur de Leavup (SIRET : 520 099 243 00021)
5 Allée d'Ombreval, 95330 Domont
Email : contact@leavup.com
Hébergement : Serveur privé dédié, France (UE)

Chaque organisation utilisant Leavup est également responsable du traitement des données de ses propres salariés au sens du RGPD.

2. Données collectées

Identité : prénom, nom
Contact : adresse email
Données professionnelles : date d'entrée, type de contrat, soldes de congés
Données optionnelles : numéro de téléphone, adresse postale
Données de connexion : mot de passe haché (bcrypt, non réversible)
Données de consentement : date, heure et IP d'acceptation de la politique de confidentialité
Données d'usage : demandes d'absence, validations, historique

3. Finalités

Gestion des congés, absences et télétravail
Notifications email liées aux demandes d'absence
Administration des comptes et des organisations
Respect des obligations légales (Code du travail, RGPD)

4. Base légale (art. 6 RGPD)

Art. 6.1.b — Exécution du contrat de service (abonnement Leavup)
Art. 6.1.a — Consentement explicite recueilli à l'inscription
Art. 6.1.c — Obligation légale (conservation des données RH imposée par le Code du travail)

5. Durée de conservation

Données de compte actif : conservées pendant toute la durée de l'abonnement
Après résiliation : suppression définitive sous 30 jours
Historique des congés : 5 ans (obligation Code du travail, art. L3243-4)
Données de consentement : 5 ans à compter de la date d'acceptation
Logs de connexion : 12 mois (obligation LCEN)

La suppression du compte efface immédiatement et définitivement toutes les données de l'organisation.

6. Sécurité

Mots de passe hachés avec bcrypt (facteur de coût 10)
Sessions via cookie HttpOnly, SameSite=Strict, Secure en production
Transport chiffré HTTPS/TLS entre le navigateur et le serveur
Données chiffrées en base (AES-256-GCM)
Isolation stricte par organisation
Infrastructure hébergée en France, accès restreint à l'éditeur

7. Cookies

session — Cookie HttpOnly, durée de vie : session navigateur
Finalité : maintien de la connexion authentifiée
Aucun cookie publicitaire, analytique ou tiers n'est utilisé.

8. Destinataires des données

Administrateurs de votre organisation : accès aux données de leurs salariés uniquement
Responsables RH : accès aux données RH de leur organisation
JFP TechCare : accès technique limité à la maintenance et au support
Aucun tiers commercial : vos données ne sont ni vendues ni partagées à des fins publicitaires

9. Sous-traitants (art. 28 RGPD)

Leavup fait appel aux sous-traitants suivants, tous établis dans l'Union européenne :

OVH SAS — 2 rue Kellermann, 59100 Roubaix, France
Prestation : envoi des emails transactionnels (notifications, réinitialisations de mot de passe)
Politique de confidentialité OVH →

10. Décisions automatisées et profilage

Leavup ne procède à aucune décision automatisée ni à aucun profilage au sens de l'art. 22 du RGPD. Toutes les décisions concernant les congés sont prises par des personnes habilitées au sein de votre organisation.

11. Vos droits (art. 15 à 22 RGPD)

Accès : consultez vos données depuis votre profil
Rectification : modifiez vos informations depuis votre profil
Effacement : supprimez votre compte depuis Paramètres → RGPD
Portabilité : exportez toutes vos données (JSON) depuis Paramètres → RGPD
Opposition / Limitation : contactez contact@leavup.com

Délai de réponse : 1 mois (art. 12 RGPD), prorogeable de 2 mois en cas de complexité.

En cas de litige non résolu, vous pouvez saisir la CNIL : www.cnil.fr — 3, place de Fontenoy, 75007 Paris.

12. Transferts hors UE

Aucune donnée n'est transférée en dehors de l'Union européenne. L'hébergement est assuré sur un serveur privé situé en France, et le prestataire email (OVH) est établi en France.

13. Contact

Pour toute question relative à vos données personnelles :
JFP TechCare — 5 Allée d'Ombreval, 95330 Domont
contact@leavup.com — Mentions légales