Politique de Confidentialité

Dernière mise à jour : 6 juillet 2026

1. Rôles : qui est responsable de quoi

CESYUM est une plateforme SaaS utilisée par des cabinets d’expertise comptable et de propriété intellectuelle. Au sens du RGPD, deux rôles coexistent selon la nature des données.

1.1 Données traitées pour le compte de votre cabinet

Pour les données liées à l’utilisation du Service (activité professionnelle des collaborateurs, dossiers et missions, feuilles de temps), c’est le cabinet client qui est responsable de traitement. CESYUM agit en qualité de sous-traitant, au sens de l’article 28 du RGPD, et ne traite ces données que sur instruction du cabinet. Les conditions de ce traitement sont définies dans l’Accord de Traitement des Données (DPA) conclu entre CESYUM et le cabinet.

Si vous êtes collaborateur ou associé d’un cabinet utilisateur, le responsable de vos données est votre cabinet : adressez-lui vos demandes d’exercice de droits (cf. article 8). CESYUM relaie au cabinet toute demande reçue, sans y répondre directement.

1.2 Données dont CESYUM est responsable

Pour les données strictement nécessaires à son propre fonctionnement (identité de la personne qui crée et administre le compte, données de facturation, journaux de sécurité, navigation sur le site cesyum.com), c’est CESYUM qui est responsable de traitement.

Éditeur, sous-traitant ou responsable selon le cas : CESYUM SAS

Forme juridique : SAS au capital de 1 000 €

Siège social : 181 Cours de l’Argonne, 33000 Bordeaux, France

RCS Bordeaux : 990 625 154

SIRET : 990 625 154 00010

Contact : contact@cesyum.com

Représentant : Nialy Abdjoubarkoye, Président

Conformément à l’article 37 du RGPD, la désignation d’un Délégué à la Protection des Données (DPO) n’est pas obligatoire pour CESYUM. Pour toute question relative à vos données, contactez-nous à contact@cesyum.com.

2. Données collectées

Dans le cadre du Service de suivi automatique du temps de travail, CESYUM collecte les catégories de données suivantes :

2.1 Données d’identification

  • Nom et prénom
  • Adresse e-mail professionnelle
  • Mot de passe (stocké uniquement sous forme de hachage bcrypt, jamais en clair)
  • Cabinet de rattachement et grade (collaborateur, senior, manager, associé)

2.2 Données d’activité professionnelle

  • Nom des applications actives (processus Windows détectés par l’application Desktop)
  • Titres de fenêtres des applications en cours d’utilisation
  • URLs et titres des pages web visitées (collectés par l’extension navigateur, uniquement pendant les heures de travail)
  • Horodatages de début et fin d’activité (au format UTC)
  • Durée des sessions de travail
  • Client associé à chaque plage de temps (par matching automatique ou attribution manuelle)

2.3 Données du cabinet

  • Nom du cabinet
  • Liste des clients et informations associées (nom, contacts, informations de facturation)
  • Structure des équipes

2.4 Données techniques

  • Adresse IP (pour la sécurité et la limitation des tentatives de connexion)
  • Version de l’application Desktop
  • Identifiant unique de l’extension navigateur

2.5 Données NON collectées

L’application Desktop ne capture ni captures d’écran, ni frappes clavier, ni données bancaires, ni e-mails personnels, ni historique de navigation général.

Pour les documents Office (Word, Excel), l’application peut lire localement des extraits du texte du document nécessaires à l’association avec le bon client. Ces extraits restent exclusivement sur le poste de l’utilisateur et ne sont jamais transmis à CESYUM ni à un prestataire tiers.

3. Finalités du traitement

Les données collectées sont utilisées exclusivement pour :

1
Fourniture du Service : suivi du temps de travail, association aux clients, génération des feuilles de temps et rapports de productivité
2
Gestion du compte : authentification, gestion des accès, communication relative au Service
3
Amélioration du Service : analyse anonymisée de l’utilisation pour améliorer les fonctionnalités
4
Sécurité : prévention des accès non autorisés, limitation des tentatives de connexion

Aucune donnée n’est utilisée à des fins publicitaires, de profilage commercial ou revendue à des tiers.

4. Base légale du traitement

Les traitements de données sont fondés sur :

  • L’exécution du contrat (article 6.1.b du RGPD) : traitement nécessaire à la fourniture du Service
  • L’intérêt légitime (article 6.1.f du RGPD) : sécurité du Service et amélioration des fonctionnalités
  • Le consentement (article 6.1.a du RGPD) : pour l’installation de l’application Desktop et de l’extension navigateur

5. Hébergement et sécurité des données

5.1 Localisation

Toutes les données sont hébergées sur des serveurs Amazon Web Services (AWS) situés dans la région eu-west-3 (Paris, France). Les données ne quittent jamais le territoire de l’Union européenne.

5.2 Mesures de sécurité

  • Chiffrement des communications via TLS (HTTPS)
  • Mots de passe hachés avec bcrypt (12 rounds)
  • Isolation des données par cabinet via Row-Level Security (RLS) dans PostgreSQL
  • Authentification par jeton JWT avec expiration de 8 heures (30 jours si l’option « Se souvenir de moi » est activée)
  • Limitation des tentatives de connexion (10 tentatives par 15 minutes)
  • Sauvegardes automatiques quotidiennes chiffrées sur Amazon S3
  • Conteneurs Docker avec privilèges restreints (read-only, no-new-privileges)

5.3 Stockage local

L’application Desktop stocke temporairement les données de suivi sur le poste de l’utilisateur avant synchronisation avec le serveur. Ces fichiers sont stockés dans le répertoire local de l’application et sont conservés 90 jours localement.

6. Durée de conservation

Type de donnéesDurée de conservation
Données de compteDurée de l’abonnement + 30 jours après suppression
Timestamps (données de suivi)Durée de l’abonnement (partitionnées par année)
Fichiers locaux (Desktop)90 jours (nettoyage automatique)
Logs de sécurité1 an
Codes de vérification e-mail10 minutes (suppression automatique)

7. Partage des données

Les données peuvent être partagées dans les cas suivants :

  • Au sein du cabinet : les utilisateurs du même cabinet peuvent accéder aux données de temps des collaborateurs, selon leur grade et les règles d’accès définies
  • Sous-traitants ultérieurs : Amazon Web Services (hébergement et e-mails transactionnels, France), Stripe (paiements) et Mistral AI (classification IA sur signaux filtrés, jamais utilisé pour l’entraînement de modèles, France). La liste à jour et leurs garanties figurent en annexe du DPA
  • Obligations légales : en cas de réquisition judiciaire ou d’obligation légale

Aucune donnée n’est transmise à des tiers à des fins commerciales.

8. Vos droits (RGPD)

Conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés, vous disposez des droits suivants :

Droit d’accès : obtenir une copie de vos données personnelles
Droit de rectification : corriger vos données inexactes ou incomplètes
Droit à l’effacement : supprimer vos données (disponible dans Paramètres > Données personnelles)
Droit à la portabilité : exporter vos données dans un format structuré (disponible dans Paramètres > Données personnelles)
Droit d’opposition : vous opposer au traitement de vos données
Droit à la limitation : limiter le traitement de vos données

Si vos données sont traitées par CESYUM pour le compte de votre cabinet (activité, dossiers, feuilles de temps), adressez vos demandes à votre cabinet, responsable de traitement ; CESYUM, sous-traitant, les lui transmet et l’assiste pour y répondre. Pour les données dont CESYUM est responsable (compte, facturation), contactez-nous à contact@cesyum.com. Vous pouvez également exercer directement votre droit à l’effacement et à la portabilité depuis les paramètres de votre compte.

En cas de réclamation, vous pouvez saisir la CNIL (Commission Nationale de l’Informatique et des Libertés) : www.cnil.fr

9. Suivi des collaborateurs et droit du travail

CESYUM est un outil de suivi du temps de travail à usage professionnel. Le responsable du cabinet (employeur) qui déploie le Service est tenu de :

  • Informer les salariés de la mise en place du suivi (articles L.1222-3 et L.1222-4 du Code du travail)
  • Consulter le Comité Social et Économique (CSE) le cas échéant
  • Effectuer une analyse d’impact (DPIA) si nécessaire
  • S’assurer que le suivi est proportionné et justifié par un intérêt légitime

L’application Desktop ne capture ni captures d’écran, ni frappes clavier. Seuls le nom du processus actif, le titre de la fenêtre, l’URL (via l’extension) et, pour les documents Office, de courts extraits de texte nécessaires au matching client (cf. article 2.5), sont collectés.

10. Cookies et stockage local

Le Service utilise :

  • Un cookie d’authentification ("cesyum_auth") : strictement nécessaire au fonctionnement du Service, expire à la fermeture du navigateur ou après 30 jours si « Se souvenir de moi » est activé
  • Le stockage local du navigateur (localStorage) : pour conserver le jeton d’authentification et les préférences d’affichage

Le site vitrine cesyum.com utilise Google Analytics à des fins de mesure d’audience, sous réserve du consentement recueilli via la bannière cookies. La plateforme app.cesyum.com n’utilise aucun cookie tiers, de pistage ou publicitaire.

11. Transferts de données hors UE

CESYUM n’effectue aucun transfert de données personnelles en dehors de l’Union européenne. L’ensemble des données est traité et stocké dans la région AWS eu-west-3 (Paris, France).

12. Modifications de la politique

La présente politique peut être modifiée pour refléter les évolutions du Service ou les exigences légales. Toute modification sera communiquée par e-mail ou notification dans le Service. La date de dernière mise à jour est indiquée en haut de cette page.

13. Contact

Pour toute question relative à la protection de vos données personnelles :

E-mail : contact@cesyum.com

Adresse : CESYUM SAS – 181 Cours de l’Argonne, 33000 Bordeaux, France