Politique de confidentialité

Dernière mise à jour : 15/11/2025

Chez Shift Express, nous accordons une importance capitale à la protection de vos données personnelles. Cette Politique de Confidentialité vous informe sur la manière dont nous collectons, utilisons, partageons et protégeons vos informations conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

1. Responsable de traitement et DPO

1.1 Identité du responsable de traitement

Shift Express Micro-entreprise immatriculée au répertoire SIRENE sous le numéro 851 776 138 Siège social : Menton, France Email : hello@shift.express

1.2 Hébergement des données

Les données de la plateforme web sont hébergées par : Vercel Inc., 440 N Barranca Ave #4133, Covina, CA 91723, USA Les données de l'application mobile sont hébergées sur des serveurs situés en Europe (France et Allemagne). Bien que Vercel soit basé aux États-Unis, nos données européennes sont stockées sur l'infrastructure européenne de Vercel (région Frankfurt, Allemagne) conformément aux exigences du RGPD.

1.3 Délégué à la Protection des Données (DPO)

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre équipe à : hello@shift.express

2. Données collectées

Nous collectons différentes catégories de données selon votre profil utilisateur (employeur ou employé) :

2.1 Données d'identification

  • Nom et prénom
  • Adresse email professionnelle ou personnelle
  • Numéro de téléphone (optionnel)
  • Nom de l'établissement (pour les employeurs)
  • Fonction/poste occupé

2.2 Données de connexion et d'usage

  • Adresse IP
  • Logs de connexion (date, heure, pages visitées)
  • Type de navigateur et système d'exploitation
  • Données de géolocalisation approximative (ville, pays)
  • Interactions avec la plateforme (clics, durée de session)

2.3 Données liées au service

  • Shifts publiés, acceptés, refusés ou effectués
  • Horaires de travail et établissements associés
  • Historique des notifications envoyées et reçues
  • Points, badges et statistiques de gamification (pour les employés)
  • Messages échangés via la plateforme
  • Données analytiques et statistiques d'utilisation

2.4 Données de paiement

Les informations de paiement (carte bancaire) ne sont jamais stockées sur nos serveurs. Elles sont traitées directement par notre prestataire de paiement sécurisé Stripe, certifié PCI-DSS. Nous conservons uniquement les 4 derniers chiffres de la carte et la date d'expiration pour faciliter la gestion de votre abonnement.

2.5 Cookies et technologies similaires

Nous utilisons des cookies essentiels pour le fonctionnement du service, ainsi que des cookies analytiques (avec votre consentement) pour améliorer l'expérience utilisateur. Pour plus de détails, consultez notre Politique de Cookies.

3. Finalités et bases légales du traitement

Nous traitons vos données personnelles pour les finalités suivantes :

3.1 Exécution du contrat

  • Création et gestion de votre compte utilisateur
  • Fourniture du service Shift Express (publication, notification, acceptation de shifts)
  • Gestion des abonnements et facturation
  • Communication relative au service (confirmations, rappels)
  • Support client et assistance technique

3.2 Obligations légales

  • Conservation des données de facturation (obligations comptables et fiscales)
  • Réponse aux réquisitions judiciaires
  • Prévention de la fraude et des abus

3.3 Intérêt légitime

  • Amélioration et optimisation de nos services
  • Analyse statistique et mesure d'audience
  • Détection et prévention des bugs et problèmes techniques
  • Sécurisation de la plateforme contre les cyberattaques
  • Envoi d'emails transactionnels et notifications système

3.4 Consentement

  • Communications marketing et newsletters (vous pouvez vous désabonner à tout moment)
  • Cookies analytiques et de mesure d'audience
  • Partage de témoignages ou études de cas (uniquement avec votre accord explicite)

4. Destinataires des données

Vos données personnelles peuvent être transmises aux catégories de destinataires suivants :

4.1 Personnel de Shift Express

Nos équipes techniques, support client et commerciales ont accès à vos données dans la limite nécessaire à l'exercice de leurs fonctions, sous obligation de confidentialité.

4.2 Prestataires techniques

  • Vercel (hébergement web, serveurs européens)
  • Stripe (traitement des paiements sécurisés)
  • Google Analytics ou Plausible Analytics (analyse de trafic, avec consentement)
  • Services de notifications push (Firebase Cloud Messaging)
  • Services d'envoi d'emails transactionnels

Tous nos prestataires sont soigneusement sélectionnés et contractuellement tenus de respecter la confidentialité et la sécurité de vos données conformément au RGPD.

4.3 Autorités publiques

Nous pouvons être amenés à communiquer vos données aux autorités compétentes (police, justice, administration fiscale) en cas de réquisition légale ou pour se conformer à la loi.

4.4 Partage avec d'autres utilisateurs

Dans le cadre du service, certaines informations sont partagées entre employeurs et employés de la même organisation (nom, prénom, shifts acceptés/refusés). Les employés ne voient que les informations nécessaires au bon fonctionnement du service.

5. Transferts de données hors UE

Bien que notre hébergeur Vercel soit une société américaine, nos données européennes sont stockées exclusivement sur des serveurs situés dans l'Union Européenne (région Frankfurt, Allemagne pour la plateforme web). Certains de nos sous-traitants (comme Stripe pour les paiements ou Firebase pour les notifications push) peuvent être basés aux États-Unis. Ces transferts sont encadrés par des mécanismes conformes au RGPD : clauses contractuelles types de la Commission européenne et certifications appropriées. Vous avez le droit d'obtenir une copie des garanties mises en place pour ces transferts en nous contactant à hello@shift.express.

6. Durée de conservation des données

Nous conservons vos données personnelles uniquement pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées :

6.1 Données de compte actif

Tant que votre compte est actif, nous conservons l'ensemble de vos données pour assurer le bon fonctionnement du service.

6.2 Après résiliation du compte

  • Accès en lecture seule : 30 jours (pour vous permettre de récupérer vos données)
  • Suppression définitive des données utilisateur : après 30 jours
  • Conservation des données de facturation : 10 ans (obligation légale comptable)
  • Logs de sécurité et de connexion : 1 an maximum

6.3 Données marketing

Si vous vous êtes abonné à notre newsletter, nous conservons votre email jusqu'à votre désinscription ou 3 ans après votre dernière interaction.

6.4 Cookies

Les cookies ont une durée de vie maximale de 13 mois, conformément aux recommandations de la CNIL.

7. Vos droits sur vos données personnelles

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants que vous pouvez exercer à tout moment :

7.1 Droit d'accès

Vous pouvez demander une copie de l'ensemble des données personnelles que nous détenons sur vous.

7.2 Droit de rectification

Vous pouvez corriger ou mettre à jour vos données inexactes ou incomplètes directement depuis les paramètres de votre compte, ou en nous contactant.

7.3 Droit à l'effacement (« droit à l'oubli »)

Vous pouvez demander la suppression de vos données personnelles, sauf si nous avons une obligation légale de les conserver (par exemple, données de facturation).

7.4 Droit à la limitation du traitement

Vous pouvez demander le gel temporaire du traitement de vos données dans certaines situations (contestation de l'exactitude, traitement illicite, etc.).

7.5 Droit à la portabilité

Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV) pour les transférer à un autre service.

7.6 Droit d'opposition

Vous pouvez vous opposer à tout moment au traitement de vos données à des fins de prospection commerciale. Pour les autres finalités, vous pouvez vous opposer pour des motifs légitimes.

7.7 Droit de retirer votre consentement

Lorsque le traitement est fondé sur votre consentement (newsletters, cookies analytiques), vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.

7.8 Directives post-mortem

Vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.

Comment exercer vos droits ?

Pour exercer vos droits, contactez-nous par email à hello@shift.express en précisant : • Votre nom et prénom • Votre adresse email de compte • Le droit que vous souhaitez exercer • Une pièce d'identité en cas de doute sur votre identité Nous nous engageons à répondre à votre demande dans un délai maximum de 1 mois (prorogeable de 2 mois en cas de complexité).

Droit de réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) : Site web : www.cnil.fr Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

8. Sécurité des données

La sécurité de vos données est notre priorité absolue. Nous mettons en œuvre des mesures techniques et organisationnelles robustes :

8.1 Mesures techniques

  • Chiffrement SSL/TLS pour toutes les communications (HTTPS)
  • Chiffrement des données sensibles en base de données
  • Authentification sécurisée avec hachage des mots de passe (bcrypt)
  • Protection contre les attaques courantes (XSS, CSRF, injection SQL)
  • Pare-feu et systèmes de détection d'intrusion
  • Sauvegardes quotidiennes automatiques et chiffrées
  • Mises à jour régulières des systèmes et correctifs de sécurité

8.2 Mesures organisationnelles

  • Contrôle d'accès strict aux données (principe du moindre privilège)
  • Authentification à deux facteurs (2FA) pour les comptes administrateurs
  • Audits de sécurité réguliers et tests de pénétration
  • Formation du personnel aux bonnes pratiques de sécurité
  • Clauses de confidentialité dans les contrats employés et prestataires
  • Procédures de gestion des incidents de sécurité

8.3 En cas de violation de données

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures suivant la découverte de l'incident, conformément au RGPD. Nous notifierons également la CNIL dans les délais légaux.

9. Données des mineurs

Shift Express est destiné aux professionnels et aux personnes majeures (18 ans et plus). Nous ne collectons pas sciemment de données personnelles concernant des mineurs de moins de 18 ans. Si vous êtes parent ou tuteur légal et que vous découvrez que votre enfant mineur nous a fourni des données personnelles, veuillez nous contacter immédiatement à hello@shift.express. Nous supprimerons ces données dans les plus brefs délais. Note : Dans certains pays, les mineurs de 16 ou 17 ans peuvent légalement travailler. Dans ces cas, le consentement parental ou l'autorisation d'un tuteur légal doit être obtenu avant l'inscription sur la plateforme.

10. Cookies et technologies de suivi

Nous utilisons des cookies et technologies similaires pour améliorer votre expérience et analyser l'utilisation de notre service. Pour une information complète sur les cookies que nous utilisons, leur finalité et comment les gérer, veuillez consulter notre Politique de Cookies à l'adresse shift.express/legal/cookies. Vous pouvez à tout moment modifier vos préférences de cookies via les paramètres de votre navigateur ou via la bannière de consentement affichée lors de votre première visite.

11. Modifications de la politique de confidentialité

Nous nous réservons le droit de modifier cette Politique de Confidentialité à tout moment pour refléter les évolutions de nos pratiques, de la législation ou de nos services. Toute modification substantielle vous sera notifiée par email ou via une notification sur la plateforme au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de cette page. Nous vous encourageons à consulter régulièrement cette page pour rester informé de nos pratiques en matière de protection des données.

12. Contact et questions

Pour toute question concernant cette Politique de Confidentialité, l'exercice de vos droits ou la protection de vos données personnelles, vous pouvez nous contacter :

Email : hello@shift.express

Adresse : Shift Express, Menton, France

SIREN : 851 776 138

Nous nous engageons à répondre à toutes vos demandes dans un délai maximum de 30 jours.