CONFORMITÉ LÉGALE
🛡️

RGPD & Conformité

Données traitées, droits des personnes, durées de conservation, obligations légales. Anim'Gest est conçu en mode privacy-by-design et est conforme RGPD, NF525 et réglementation sectorielle.

RGPD UE 2016/679NF525Privacy-by-designDPO
RGPD
Conforme UE 2016/679
NF525
Caisses certifiées
10 ans
Archive légale
3 ans
Marketing post-contact
01 Données traitées

Catégories de données collectées et finalités.

Catégories de données collectées

Anim'Gest traite uniquement les données nécessaires à la réalisation de votre prestation de service et au respect de vos obligations légales (NF525, RFE, registres DDPP).

  • Identité client : nom, prénom, email, téléphone, adresse postale
  • Données animaux : espèce, race, identification (puce/tatouage), vétérinaire référent, vaccinations
  • Données financières : factures, règlements, IBAN si prélèvement (jamais en clair)
  • Documents : contrats, carnets santé, comptes-rendus de séance, ordonnances
  • Communications : emails envoyés/reçus, SMS, notifications portail

Données jamais traitées

  • Données de connexion détaillées (cookies tiers, traceurs publicitaires)
  • Données de géolocalisation précises continue des utilisateurs
  • Données de santé humaines des propriétaires
  • Aucune revente ou transfert à des tiers commerciaux
02 Bases légales et durées de conservation

Justifications juridiques et périodes légales.

TraitementBase légale (Art. 6 RGPD)Durée
Gestion des clients et prestationsExécution du contrat (b)Durée contrat + 10 ans
Facturation et comptabilitéObligation légale (c)10 ans (art. L123-22 C. com.)
Registre carnivores DDPPObligation légale (c)5 ans
Registre sanitaire séjourObligation légale (c)5 ans
Campagnes marketing emailConsentement (a) / intérêt légitime (f)3 ans post-contact
Cookies analytiques (si activés)Consentement (a)13 mois max
Notes de frais et justificatifsObligation légale (c)10 ans
Yousign — signatures électroniquesObligation légale (c)10 ans (eIDAS)
03 Droits des personnes concernées

Tous les droits RGPD garantis et modalités d'exercice.

Droits garantis par le RGPD

Toute personne dont les données sont traitées par Anim'Gest dispose des droits suivants (art. 15-22 RGPD) :

  • Droit d'accès : obtenir une copie de toutes les données personnelles détenues
  • Droit de rectification : corriger les données inexactes ou incomplètes
  • Droit à l'effacement ("droit à l'oubli") : suppression sauf obligations légales
  • Droit à la limitation du traitement : suspendre temporairement le traitement
  • Droit à la portabilité : récupérer les données dans un format structuré (JSON/CSV)
  • Droit d'opposition : refuser le traitement (notamment marketing)
  • Droit de retirer le consentement à tout moment
  • Droit de réclamation auprès de la CNIL (www.cnil.fr)

Comment exercer ces droits ?

  • Depuis le portail client : onglet Mes données → téléchargement direct au format ZIP (accès + portabilité)
  • Par email au DPO du professionnel : adresse renseignée dans les CGV
  • Délai de réponse : 1 mois (prolongeable 2 mois si demande complexe)
  • Réponse gratuite sauf demande manifestement excessive
04 Sécurité et hébergement

Mesures techniques et localisation des données.

Mesures de sécurité techniques

  • Authentification JWT HS256 + cookie httpOnly (anti-XSS)
  • HTTPS obligatoire (TLS 1.2+) sur toutes les communications
  • Mots de passe hashés bcrypt (jamais en clair)
  • Cloisonnement multi-tenant : isolation stricte par client (1 BDD par tenant)
  • Sauvegardes quotidiennes chiffrées (NAS local + secondaire)
  • Journaux d'accès conservés 6 mois (détection d'intrusions)
  • Mises à jour sécurité appliquées sous 48h après publication

Hébergement et localisation des données

  • Mode on-premise : données chez le professionnel (NAS Asustor, RAID 6)
  • Mode SaaS multi-tenant : hébergement Union Européenne (Scaleway/OVH)
  • Aucun transfert hors UE (pas d'AWS US, pas de Google Cloud US par défaut)
  • API Anthropic (Eliot) : appels effectués uniquement à la demande de l'utilisateur, sans stockage des prompts au-delà de la session
05 Sous-traitants identifiés

Liste exhaustive des prestataires (DPA signés).

Sous-traitantFinalitéLocalisationDPA
AnthropicAPI Claude (Eliot IA, optionnel)USA (Privacy Shield successor)
StripeEncaissement paiement CBIrlande (UE)
YousignSignature électronique eIDASFrance
Brevo (ex-Sendinblue)SMTP transactionnel (optionnel)France
CalendlyRéservations en ligne (optionnel)USA
06 NF525 & RFE

Conformité caisse et calendrier facturation électronique.

Caisses NF525 — Inaltérabilité

Anim'Gest est conforme aux 4 piliers NF525 imposés par l'article 88 LFR 2015 :

  • Inaltérabilité : les factures validées ne peuvent être modifiées (seuls les avoirs sont possibles)
  • Sécurisation : empreinte cryptographique de chaque opération
  • Conservation : archivage 6 ans minimum (10 ans en pratique)
  • Archivage : journaux quotidien, mensuel, annuel clôturés automatiquement

RFE — Calendrier facturation électronique

  • 01/09/2026 : obligation de réception pour tous + obligation d'émission pour grandes entreprises
  • 01/09/2027 : obligation d'émission généralisée (TPE/PME)
  • Anim'Gest génère les factures au format Factur-X (PDF/A-3 + XML) et s'intègre avec les PDP partenaires
07 Notification d'incidents

Procédure en cas de violation de données.

Notification de violation de données

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes :

  • Notification à la CNIL sous 72 heures (art. 33 RGPD)
  • Information des personnes concernées sans délai si risque élevé (art. 34)
  • Documentation interne de l'incident, des mesures prises et des effets
  • Mise à jour du registre des violations (art. 30 RGPD)