Préambule
La présente politique décrit comment Backhurry collecte, utilise et protège vos données à caractère personnel, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés.
Elle couvre le site vitrine Backhurry (pages publiques, formulaires) ainsi que l'application web et mobile Backhurry (espace authentifié).
Le responsable du traitement des données collectées via l'application et le site Backhurry est :
EPREYN — SAS au capital de 100,00 €
40 Avenue du Canigou, 66370 Pézilla-la-Rivière, France
RCS Perpignan 892 742 297 • SIRET : 892 742 297 00021
TVA : FR61 892742297
Directeur de la publication : Pierre Reynal, Président
Contact RGPD : contact@backhurry.com
Compte et inscription
- • Adresse email ; nom et prénom (si fournis, notamment via Google)
- • Identifiant utilisateur (UID Firebase) ; méthode de connexion (email, Google, biométrie)
- • Date d'inscription, date et méthode de dernière connexion
Facturation (via Stripe)
- • Vos données bancaires ne sont jamais stockées par Backhurry : elles sont traitées par notre prestataire Stripe (certifié PCI-DSS Level 1).
- • Backhurry conserve un identifiant client Stripe, l'historique des statuts d'abonnement, les dates et le statut de facturation.
Données métier saisies par l'utilisateur
- • Projets, entités, champs personnalisés, tableaux de bord, documents, automatisations, imports.
- • Ces données appartiennent au Client ; Backhurry agit en qualité de sous-traitant au sens du RGPD.
Données techniques et de connexion
- • Adresse IP, type et version de navigateur, système, horodatage
- • Logs d'accès, d'usage et d'erreurs
Mesure d'audience et amélioration du produit
Pour comprendre l'utilisation du produit et l'améliorer, nous mesurons l'usage via Firebase Analytics (Google) et PostHog :
- • Événements d'usage : actions réalisées dans l'application (création d'un projet, génération d'un document, lancement d'un import…), avec des propriétés techniques (type d'objet, compteurs, durées, succès/échec, langue, plateforme, version). Aucun contenu saisi (valeurs de champs, texte libre, prompts IA) n'est inclus dans ces événements.
- • Pages et écrans consultés, et parcours de navigation.
- • Identifiant utilisateur associé à ces événements lorsque vous êtes connecté, et propriétés de profil non sensibles (langue, plan, rôle).
- • Enregistrement de session (« session replay ») via PostHog : reconstitution visuelle de votre utilisation de l'interface afin de diagnostiquer les problèmes d'ergonomie et les bugs. Les champs de saisie sont masqués par défaut (voir la section 10).
Diagnostic d'erreurs (via Sentry)
En cas d'erreur technique, un rapport est envoyé à Sentry (région UE, Allemagne) : type d'erreur, pile d'appels, contexte technique, et identifiant utilisateur pour le suivi. Cela permet de corriger les anomalies.
Retours (feedback)
Les retours envoyés via le widget interne sont conservés pour améliorer le service ; ils peuvent être anonymisés à la demande.
- • Fournir et faire fonctionner le service — Exécution du contrat
- • Authentification et sécurité du compte — Exécution du contrat
- • Facturation et gestion des paiements — Exécution du contrat / obligation légale
- • Support client et réponse aux demandes — Exécution du contrat
- • Rappels d'essai et notifications transactionnelles — Exécution du contrat
- • Diagnostic et correction des erreurs (Sentry) — Intérêt légitime
- • Détection de fraude et d'abus — Intérêt légitime
- • Mesure d'audience et statistiques d'usage (Firebase Analytics, PostHog) — Consentement
- • Enregistrement de session (PostHog session replay) — Consentement
- • Amélioration du produit à partir des retours — Intérêt légitime
La mesure d'audience et l'enregistrement de session reposent sur votre consentement. Vous pouvez l'accorder ou le refuser, et le retirer à tout moment (voir la section 8).
Aucun traitement à des fins de publicité comportementale ou de revente à des tiers n'est effectué.
- • Compte actif et données métier : durée de l'abonnement + 30 jours après résiliation
- • Données de facturation (obligations comptables) : 10 ans
- • Logs techniques : 12 mois
- • Audit log (sécurité) : 5 ans
- • Données de mesure d'audience (PostHog / Firebase) : jusqu'à 24 mois
- • Enregistrements de session (PostHog) : durée limitée, puis suppression
- • Rapports d'erreurs (Sentry) : 90 jours
- • Retours : anonymisés après suppression du compte
Vos données sont accessibles aux équipes Backhurry (strict besoin) et aux sous-traitants suivants :
- • Google Cloud / Firebase — hébergement app, base de données, authentification, analytics (UE, europe-west1)
- • Squarespace — hébergement du site vitrine (États-Unis)
- • PostHog — mesure d'audience produit + enregistrement de session (UE, eu.i.posthog.com)
- • Sentry — diagnostic d'erreurs (UE, Allemagne)
- • Stripe — paiement (UE / USA, PCI-DSS L1)
- • SendGrid (Twilio) — emails transactionnels (États-Unis)
- • Google Vertex AI / Gemini — assistant IA (UE — prompts/réponses traités temporairement, non utilisés pour l'entraînement)
Aucune donnée n'est vendue, louée ou échangée à des fins commerciales.
L'hébergement principal et la mesure d'audience sont situés dans l'Union Européenne. Les transferts vers les États-Unis (Squarespace, Stripe, SendGrid) sont encadrés par les Clauses Contractuelles Types de la Commission Européenne.
- • Strictement nécessaires — session d'authentification, préférences (langue, thème). Exemptés de consentement.
- • Paiement — cookies Stripe lors de la saisie de la carte. Nécessaires à la transaction.
- • Mesure d'audience — cookies/identifiants PostHog et Firebase Analytics, enregistrement de session. Soumis à votre consentement.
Vous pouvez à tout moment retirer votre consentement et configurer votre navigateur pour bloquer les cookies.
Conformément au RGPD (UE 2016/679) et à la loi Informatique et Libertés :
- • Accès et portabilité — Espace personnel → Données personnelles → Exporter mes données (export JSON, lien valable 7 jours).
- • Rectification — depuis votre espace personnel.
- • Effacement — Espace personnel → Données personnelles → Supprimer mon compte (irréversible : compte, projets et données).
- • Opposition et limitation — contact@backhurry.com
- • Retrait du consentement — pour la mesure d'audience et l'enregistrement de session, via le centre de préférences cookies ou sur demande à contact@backhurry.com. Le retrait n'affecte pas la licéité du traitement antérieur.
- • Réclamation — auprès de la CNIL : cnil.fr/fr/plaintes
- • Chiffrement TLS en transit, AES au repos (Firestore)
- • Isolation stricte des données entre comptes (multi-tenant)
- • Authentification (Google OAuth, mot de passe hashé, biométrie)
- • Audit log des opérations sensibles
- • Sauvegardes quotidiennes chiffrées (rétention 30 jours)
En cas de violation, notification à la CNIL et aux personnes concernées sous 72 h (art. 33 RGPD).
Pour améliorer l'ergonomie et diagnostiquer les bugs, nous pouvons enregistrer des sessions d'utilisation de l'application via PostHog :
- • L'enregistrement reconstitue ce qui s'affiche à l'écran pendant votre usage.
- • Les champs de saisie sont masqués ; nous nous efforçons de limiter la capture de données sensibles.
- • L'application étant rendue en mode « canvas », le masquage fin par élément n'est pas toujours possible : des données affichées peuvent apparaître.
- • Les enregistrements sont hébergés dans l'Union Européenne et conservés pour une durée limitée (section 4), puis supprimés.
- • Vous pouvez refuser cet enregistrement (centre de préférences ou sur demande).
Mineurs : Backhurry est un outil professionnel (B2B) non destiné aux mineurs ; nous ne collectons pas sciemment de données de personnes de moins de 15 ans.
Modifications : Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur.
Contact
Contact RGPD / DPO : contact@backhurry.com
Adresse : EPREYN — 40 Avenue du Canigou, 66370 Pézilla-la-Rivière
Widget feedback in-app : menu latéral → « Envoyer un retour »
Politique applicable à compter du 3 juin 2026.