RGPD et confidentialité

Cette page explique qui est responsable des données, ce qui est collecté, pourquoi, où les données sont hébergées, qui sont les sous-traitants et comment exercer vos droits.

Dernière mise à jour : 16 mai 2026

Intercarnet traite deux familles distinctes de données. Pour les données liées au site et au compte (prospects, comptes, facturation, support, sécurité), Northgrid Systems est responsable de traitement. Pour les données métier saisies par les entreprises clientes dans le SaaS (clients finaux, techniciens, interventions, photos, signatures), le client est responsable de traitement et Northgrid Systems agit en sous-traitant au sens de l'article 28 du RGPD.

1. Responsable de traitement

Pour les traitements liés au site, à la prospection, à la création de compte, à la facturation, au support, à la sécurité et aux journaux techniques, le responsable de traitement est Northgrid Systems (Ahmed Soussi, entrepreneur individuel (EI)), SIRET 910 679 117 00044, dont les coordonnées complètes figurent sur la page Mentions légales. Contact dédié à la protection des données : bonjour@intercarnet.fr.

2. Rôle de sous-traitant pour les données métier

Lorsqu'une entreprise cliente utilise Intercarnet pour gérer ses propres clients, contacts, sites, équipements, techniciens, interventions, photos, signatures, documents et rapports, c'est elle qui détermine les finalités et les moyens essentiels du traitement. Elle agit donc comme responsable de traitement vis-à-vis des personnes concernées. Northgrid Systems traite ces données uniquement sur instruction documentée du client, dans le cadre du contrat de service, et agit comme sous-traitant au sens de l'article 28 du RGPD. Un accord de sous-traitance (DPA) est disponible sur demande à bonjour@intercarnet.fr.

3. Catégories de données traitées

  • Compte et authentification : nom, prénom, email, organisation, rôle, mot de passe haché, méthode d'authentification, journaux de connexion (gérés par Clerk).
  • Facturation : raison sociale, adresse de facturation, plan souscrit, statut d'abonnement, identifiants Stripe, factures (les coordonnées bancaires ne sont jamais stockées par Intercarnet ; elles sont traitées directement par Stripe).
  • Données métier : clients finaux, contacts, adresses de chantier, sites, équipements PAC/clim, contrats d'entretien, interventions planifiées et réalisées, tickets SAV.
  • Médias et preuves terrain : photos avant/après, photos de plaques signalétiques, documents joints, notes texte et vocales, signatures clients, rapports PDF générés.
  • Données techniques : adresse IP, user-agent, horodatages, journaux applicatifs et journaux de sécurité, identifiants de session, tokens d'accès technicien.
  • Support : messages envoyés, pièces jointes et informations transmises pour le traitement d'une demande.

4. Finalités

  • Créer et administrer les comptes et organisations Intercarnet.
  • Fournir les fonctionnalités SaaS : planning, lien technicien sans compte, capture photo/vidéo/note vocale, signature client, rapport PDF, historique client et équipement, contrats d'entretien, SAV.
  • Gérer les abonnements, paiements, factures et obligations comptables.
  • Assurer la sécurité du service, prévenir les abus et la fraude, assurer la traçabilité (audit logs) et fournir le support technique.
  • Envoyer les emails et SMS transactionnels nécessaires au service.
  • Améliorer le produit à partir de données limitées, agrégées ou anonymisées lorsque c'est possible.

5. Bases légales

  • Exécution du contrat : création de compte, fourniture des fonctionnalités, facturation, support.
  • Intérêt légitime : sécurité, prévention de la fraude, amélioration du produit, prospection B2B mesurée.
  • Obligation légale : conservation des documents comptables, réponse aux réquisitions des autorités compétentes.
  • Consentement : lorsqu'il est requis, notamment pour certains traceurs non strictement nécessaires ou des communications commerciales non sollicitées.

6. Hébergement et sécurité

L'application Intercarnet, sa base de données et le stockage objet compatible S3 utilisé pour les médias sont hébergés par Hetzner Online GmbH dans son datacenter de Falkenstein (Saxe, Allemagne), en Allemagne, au sein de l'Union européenne. Aucune donnée métier n'est volontairement transférée hors de l'UE pour son stockage applicatif principal.

Mesures de sécurité mises en œuvre : isolement strict des données par organisation (multi-tenant), authentification via Clerk avec chiffrement des sessions, tokens technicien expirables et révocables, rate-limiting, journaux d'audit applicatifs, sauvegardes régulières, TLS sur l'ensemble des échanges, chiffrement au repos sur le stockage géré par l'hébergeur, principe du moindre privilège pour les accès internes. Aucun système n'étant infaillible, le client doit également protéger ses propres accès, gérer les rôles internes et former ses utilisateurs.

7. Sous-traitants ultérieurs

Intercarnet s'appuie sur les sous-traitants suivants, strictement nécessaires au fonctionnement du service. Cette liste est tenue à jour et peut évoluer ; les évolutions substantielles sont communiquées aux clients par tout moyen utile.

PrestataireFinalitéLocalisation
Clerk, Inc.Authentification, gestion des comptes et des organisationsÉtats-Unis (avec garanties contractuelles UE-US Data Privacy Framework)
Stripe Payments Europe Ltd.Paiements, abonnements, facturation, calcul des taxesIrlande (Union européenne)
Hetzner Online GmbHHébergement applicatif, base de données, stockage objet S3Allemagne — datacenter Falkenstein (Union européenne)
Resend, Inc.Envoi des emails transactionnels (notifications, rapports, rappels)États-Unis (avec garanties contractuelles UE-US Data Privacy Framework)

Lorsqu'un sous-traitant peut traiter des données hors de l'Union européenne, Northgrid Systems s'appuie sur les garanties contractuelles disponibles, en particulier les clauses contractuelles types adoptées par la Commission européenne et, le cas échéant, sur le cadre EU-US Data Privacy Framework.

8. Durées de conservation

  • Données de compte : pendant toute la durée du compte, puis suppression dans un délai maximal de 30 jours après la résiliation, sauf obligation légale de conservation.
  • Données métier : pendant toute la durée de l'abonnement, puis selon les instructions du client (export, suppression, anonymisation), avec un délai de grâce de 30 jours permettant une réactivation.
  • Données de facturation : 10 ans à compter de l'émission de la facture, conformément aux obligations comptables et fiscales.
  • Journaux de sécurité : 12 mois au maximum, proportionnés aux besoins de sécurité, de détection des incidents et de preuve.
  • Prospects et leads B2B : 3 ans à compter du dernier contact, ou jusqu'à opposition.
  • Messages de support : 3 ans à compter de la clôture du ticket.

9. Droits des personnes

Toute personne concernée dispose, dans les conditions prévues par le RGPD, des droits suivants : accès, rectification, effacement, limitation, opposition, portabilité, retrait du consentement à tout moment lorsque le traitement est fondé sur le consentement, et définition de directives post-mortem.

Les demandes peuvent être adressées à bonjour@intercarnet.fr. Une pièce justificative d'identité peut être demandée en cas de doute raisonnable sur l'identité du demandeur. Lorsqu'une demande porte sur des données métier d'un client Intercarnet, Northgrid Systems oriente la personne vers l'entreprise responsable de traitement ou agit sur instruction de cette dernière.

10. Export et suppression

Le service Intercarnet permet l'export des données utiles (clients, interventions, rapports, photos) depuis l'espace administrateur. La suppression de médias ou de données client peut être effectuée directement ou demandée à bonjour@intercarnet.fr. Certaines données peuvent être conservées temporairement ou archivées lorsqu'une obligation légale, comptable, de sécurité ou un besoin de preuve l'exige.

11. Cookies et traceurs

À ce stade, le site public Intercarnet n'utilise pas de cookies publicitaires ni de traceurs de mesure d'audience soumis à consentement. Les cookies strictement nécessaires au fonctionnement du service, à l'authentification (Clerk) et au paiement (Stripe) peuvent être déposés sans consentement préalable. Les informations détaillées figurent sur la page Cookies.

12. Violations de données

En cas de violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées, Northgrid Systems notifiera la CNIL dans les 72 heures et informera les clients concernés sans délai injustifié, conformément aux articles 33 et 34 du RGPD.

13. Réclamation auprès de la CNIL

Toute personne estimant que ses droits ne sont pas respectés peut introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, ou directement sur cnil.fr.

14. Contact

Pour toute question relative à la protection des données : bonjour@intercarnet.fr.