Logo quarilenth quarilenth
Modules pédagogiques disponibles en ligne

Politique de Confidentialité

Comment quarilenth protège et gère vos informations personnelles dans le cadre de nos services d'approbation budgétaire

Dernière mise à jour : 15 janvier 2025

Notre approche de la gestion des données

Chez quarilenth, nous considérons vos informations comme un dépôt confié. Notre philosophie repose sur la responsabilité organisationnelle : chaque élément d'information que vous partagez avec nous est traité selon des principes stricts de nécessité fonctionnelle et de limitation temporelle. Nous n'obtenons que ce qui sert directement nos services d'approbation de workflows budgétaires.

Cette politique explique comment nous recevons, manipulons, conservons puis effaçons vos données. Elle clarifie également vos droits de supervision et les mécanismes mis à votre disposition pour exercer un contrôle actif sur les informations vous concernant.

Catégories d'informations obtenues

Informations d'identification professionnelle

Lors de la création de votre compte utilisateur, nous enregistrons vos nom et prénom, votre adresse électronique professionnelle, ainsi que votre position hiérarchique au sein de votre organisation. Ces éléments nous permettent d'établir une authentification sécurisée et de gérer les niveaux d'autorisation appropriés dans nos systèmes d'approbation budgétaire.

Données organisationnelles

Votre affiliation à une entité juridique spécifique, votre département d'appartenance et votre structure de rattachement sont captés automatiquement lors de votre intégration. Sans ces précisions, le routage des demandes d'approbation deviendrait impossible et les circuits de validation perdraient leur cohérence fonctionnelle.

Informations transactionnelles liées aux workflows

Chaque action effectuée dans notre plateforme génère une trace opérationnelle : soumission d'une demande budgétaire, validation d'un niveau d'approbation, rejet motivé, modification de montants, ajout de commentaires justificatifs. Nous conservons également les horodatages précis de chaque intervention.

Type de donnée Finalité opérationnelle Durée de conservation
Identifiants professionnels Authentification et autorisation d'accès Durée du contrat + 3 ans
Historique des approbations Audit et traçabilité réglementaire 7 ans (obligation légale)
Communications internes Résolution de litiges et support 2 ans après clôture
Données de connexion Sécurité et détection d'anomalies 12 mois glissants

Mécanismes d'obtention

Trois moments distincts déclenchent la collecte d'informations. D'abord, votre inscription initiale : vous remplissez un formulaire qui devient la source primaire de vos données d'identification. Ensuite, vos interactions quotidiennes avec la plateforme : chaque demande budgétaire soumise enrichit automatiquement notre base d'informations transactionnelles.

Enfin, certaines données proviennent d'intégrations avec vos systèmes comptables ou ERP existants. Lorsque vous autorisez une connexion API entre quarilenth et votre infrastructure financière, nous récupérons les structures organisationnelles, les centres de coûts et les codes budgétaires nécessaires au fonctionnement des workflows d'approbation.

Nous n'achetons jamais d'informations auprès de courtiers en données. Nous ne déduisons pas de profils comportementaux à partir d'activités externes à notre plateforme. Toutes les informations que nous détenons proviennent soit directement de vous, soit de systèmes que vous avez explicitement connectés.

Raisons d'existence de cette collecte

Chaque catégorie d'information répond à une nécessité technique ou réglementaire précise. Vos identifiants professionnels permettent l'authentification sécurisée et empêchent l'accès non autorisé. Impossible de vérifier qui peut approuver quel budget sans connaître votre position hiérarchique.

Les données transactionnelles servent trois objectifs simultanés : permettre le routage intelligent des demandes vers les bons approbateurs, constituer une piste d'audit complète pour les vérifications comptables, et vous offrir une visibilité historique sur l'évolution de vos demandes budgétaires. Sans ces traces, nos services perdraient leur valeur fonctionnelle fondamentale.

Du côté réglementaire, les autorités fiscales et les auditeurs externes exigent une traçabilité complète des décisions financières. Notre conservation prolongée des historiques d'approbation répond à cette contrainte légale qui s'impose aux entreprises opérant en France.

Manipulation interne des informations

Une fois enregistrées dans nos systèmes, vos données circulent selon des circuits strictement délimités. Les opérations automatisées dominent : algorithmes de routage qui déterminent le prochain approbateur, moteurs de notification qui déclenchent les alertes par courriel, systèmes de reporting qui agrègent les statistiques budgétaires.

Les interventions humaines se limitent à quelques cas précis. Notre équipe support peut consulter vos données lorsque vous signalez un dysfonctionnement technique. Les administrateurs système accèdent aux journaux de connexion lors d'investigations de sécurité. Nos développeurs examinent des échantillons anonymisés pour améliorer les performances de la plateforme.

Segmentation des accès internes

  • Équipe support client : accès limité aux informations de compte et historiques de tickets pendant la durée de résolution
  • Ingénieurs système : consultation des logs techniques sans exposition des contenus métier
  • Équipe produit : analyse de données agrégées et anonymisées uniquement
  • Direction financière : aucun accès aux données clients individuelles

Aucun collaborateur ne peut accéder à vos informations sans justification fonctionnelle documentée. Tous les accès administrateurs sont tracés et font l'objet de revues trimestrielles par notre responsable de la protection des données.

Mouvements d'informations vers l'extérieur

Certaines circonstances déclenchent un transfert de vos données au-delà de nos infrastructures. Distinguons trois scénarios principaux.

Premièrement, nos sous-traitants techniques. L'hébergement de la plateforme repose sur des centres de données professionnels situés en France. Le prestataire d'infrastructure accède nécessairement aux données stockées sur ses serveurs, mais reste contractuellement interdit de les exploiter à d'autres fins. Notre service de messagerie transactionnelle transmet vos notifications par courriel en qualité de simple convoyeur technique.

Deuxièmement, les obligations légales. Une assignation judiciaire, une réquisition administrative ou une demande formelle d'autorité de contrôle peut nous contraindre à divulguer certaines informations. Ces situations demeurent exceptionnelles et font systématiquement l'objet d'une analyse juridique avant toute transmission.

Troisièmement, les intégrations que vous initiez. Si vous connectez quarilenth à un outil tiers de business intelligence ou à votre système de gestion documentaire, vous créez un canal de transmission contrôlé. Nous agissons alors comme intermédiaire technique entre vos systèmes, sans nous approprier les données transitant par ces connexions.

Engagement fondamental : Nous ne vendons jamais vos informations. Nous ne les échangeons pas contre des services publicitaires. Nous ne les incluons pas dans des bases de données marketing. Votre relation avec quarilenth reste strictement limitée à la fourniture de nos services d'approbation budgétaire.

Architecture de protection

Plusieurs couches défensives protègent vos informations contre les accès non autorisés. Le chiffrement constitue la première barrière : toutes les communications entre votre navigateur et nos serveurs utilisent le protocole TLS 1.3. Les données sensibles stockées dans nos bases subissent un chiffrement au repos avec rotation régulière des clés cryptographiques.

L'authentification multi-facteurs peut être activée sur tous les comptes. Nous recommandons fortement cette option pour les utilisateurs disposant de privilèges d'approbation élevés. Les mots de passe sont systématiquement hachés avec des algorithmes résistants aux attaques par force brute.

Nos infrastructures font l'objet de tests d'intrusion semestriels réalisés par des cabinets de sécurité indépendants. Les vulnérabilités identifiées sont corrigées selon un protocole de priorisation basé sur leur criticité. Les sauvegardes quotidiennes sont conservées dans des emplacements géographiquement distincts pendant 30 jours.

Limites inhérentes à tout système de protection

Malgré ces dispositifs, aucune sécurité n'est absolue. Une compromission massive de nos prestataires d'infrastructure pourrait exposer des données chiffrées. Une attaque sophistiquée par ingénierie sociale pourrait tromper un collaborateur disposant d'accès privilégiés. Un bogue logiciel non détecté pourrait créer une vulnérabilité temporaire.

En cas d'incident de sécurité affectant vos informations, nous vous notifierons dans les 72 heures suivant la découverte de la brèche. Cette notification précisera la nature des données potentiellement compromises et les mesures correctives déjà déployées.

Vos capacités d'intervention

Plusieurs mécanismes vous permettent d'exercer un contrôle actif sur vos informations.

Consultation et correction

Vous pouvez accéder à l'intégralité de vos données personnelles depuis les paramètres de votre compte. Un export complet au format JSON reste disponible sur simple demande. Si des informations s'avèrent inexactes ou obsolètes, vous pouvez les modifier directement ou nous demander de procéder aux corrections nécessaires.

Restriction et opposition

Lorsqu'une finalité de traitement ne relève pas d'une obligation légale, vous pouvez demander la suspension temporaire de l'exploitation de certaines données. Par exemple, si vous contestez l'exactitude d'informations pendant leur vérification, nous gèlerons leur utilisation jusqu'à résolution de la situation.

Vous disposez également d'un droit d'opposition aux traitements basés sur notre intérêt légitime. Cette opposition doit être motivée par une situation particulière propre à votre cas. Nous évaluerons alors si nos raisons impérieuses l'emportent sur vos intérêts et droits fondamentaux.

Suppression et portabilité

À la fin de votre relation contractuelle avec quarilenth, vous pouvez exiger l'effacement complet de vos informations personnelles. Nous procéderons à cette suppression dans un délai de 30 jours, sauf obligations légales de conservation (notamment les données d'audit financier devant être préservées 7 ans).

Le droit à la portabilité vous permet de récupérer vos données dans un format structuré et couramment utilisé. Vous pouvez ensuite transmettre ces informations à un autre prestataire de services d'approbation budgétaire sans obstacle technique de notre part.

Règles de conservation temporelle

Chaque catégorie d'information obéit à une logique de rétention spécifique. Les données d'identification de compte restent actives tant que votre organisation maintient son abonnement à quarilenth. À la résiliation du contrat, ces informations entrent dans une phase d'archivage de 3 ans avant suppression définitive. Cette période correspond aux délais de prescription civile standard.

Les historiques d'approbation budgétaire suivent un régime différent dicté par les obligations comptables et fiscales. Sept années de conservation s'imposent à compter de la clôture de l'exercice concerné. Passé ce délai, les données sont irréversiblement effacées de nos systèmes de production et de sauvegarde.

Les communications de support client sont conservées 2 ans après la résolution du dernier ticket actif. Les journaux de connexion technique sont automatiquement purgés après 12 mois. Les données analytiques agrégées, une fois anonymisées de manière irréversible, peuvent être conservées indéfiniment puisqu'elles ne permettent plus votre identification.

Fondements juridiques des traitements

Le Règlement Général sur la Protection des Données (RGPD) exige que chaque traitement repose sur une base légale clairement identifiée. Pour quarilenth, trois fondements principaux s'appliquent selon les contextes.

L'exécution du contrat constitue la base légale de la majorité de nos traitements. Lorsque votre organisation souscrit à nos services d'approbation budgétaire, nous devons nécessairement traiter certaines informations pour délivrer la prestation convenue. Sans vos identifiants professionnels et votre position hiérarchique, nous ne pouvons tout simplement pas fournir le service de workflow pour lequel vous avez contracté.

Les obligations légales forment la deuxième assise. Les réglementations comptables et fiscales françaises imposent la conservation prolongée des traces d'approbation financière. Ces traitements ne dépendent pas de votre consentement puisqu'ils répondent à des contraintes juridiques qui s'imposent à nous.

Notre intérêt légitime justifie quelques traitements périphériques comme l'analyse de la performance de la plateforme ou la détection de comportements suspects. Dans ces cas, nous vérifions systématiquement que nos intérêts ne portent pas atteinte disproportionnée à vos droits et libertés.

Périmètre géographique d'application

quarilenth opère depuis la France et stocke l'intégralité de vos données sur des serveurs situés au sein de l'Union Européenne. Cette localisation garantit l'application du cadre protecteur du RGPD sans nécessiter de mécanismes de transfert international complexes.

Si votre organisation possède des filiales hors UE accédant à la plateforme, ces connexions restent techniquement hébergées sur notre infrastructure européenne. Les utilisateurs distants se connectent via des canaux chiffrés mais les données ne transitent jamais vers des serveurs situés dans des pays tiers.

Dans l'hypothèse exceptionnelle où un prestataire technique situé hors UE devrait accéder à certaines données, nous mettrions en place les clauses contractuelles types validées par la Commission Européenne et procéderions à une analyse d'impact sur la protection des données avant tout transfert.

Évolutions futures de cette politique

Cette politique n'est pas figée. Des modifications peuvent intervenir pour refléter l'évolution de nos services, l'intégration de nouvelles fonctionnalités ou l'adaptation à des changements réglementaires.

Toute modification substantielle fera l'objet d'une notification par courriel envoyée à l'adresse associée à votre compte au moins 30 jours avant son entrée en vigueur. Les changements purement formels (corrections typographiques, clarifications sans impact sur vos droits) pourront être appliqués directement avec simple mise à jour de la date de révision affichée en tête de ce document.

Vous pouvez refuser une modification substantielle en résiliant votre compte avant la date d'application effective des changements. Votre utilisation continue de la plateforme après cette date vaudra acceptation de la version révisée.

Canaux de communication pour questions relatives à la confidentialité

Pour exercer vos droits ou obtenir des précisions sur nos pratiques de gestion des données, plusieurs options s'offrent à vous.

Adresse postale :
quarilenth – Service Protection des Données
Rue de la Croix des Maheux
Centre Commercial Les 3 Fontaines
95000 Cergy
France

Courriel dédié : contact@quarilenth.sbs

Téléphone : +33 4 42 28 08 08
Disponibilité : jours ouvrés de 9h à 18h (heure de Paris)

Nous nous engageons à traiter toute demande dans un délai maximum de 30 jours. Si la complexité de votre requête nécessite un délai supplémentaire, nous vous en informerons avant l'expiration de ce premier mois et vous préciserons la date de réponse définitive.

Si nos réponses ne vous satisfont pas ou si vous estimez que vos droits ne sont pas respectés, vous disposez de la faculté de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL), autorité française de contrôle en matière de protection des données personnelles.

Cette politique de confidentialité constitue un engagement contractuel de quarilenth envers tous les utilisateurs de sa plateforme d'approbation de workflows budgétaires. Elle complète sans les remplacer les conditions générales d'utilisation et les éventuels accords spécifiques conclus avec votre organisation.