Politique de confidentialité

Le service Nora est édité par la société exploitante de Nora (« Nora », « nous »). Pour toute question relative à vos données personnelles, vous pouvez nous écrire à privacy@mynora.app.

La présente politique décrit les traitements de données personnelles que nous opérons en tant que responsable de traitement (visiteurs du site, utilisateurs créant un compte) et précise notre rôle de sous-traitant lorsque vous traitez des données personnelles via Nora pour le compte de votre organisation.

Nous collectons uniquement les données nécessaires au fonctionnement du service :

• Données de compte : nom, prénom, adresse e-mail, mot de passe (haché), avatar, langue préférée, identifiant d'authentification SSO le cas échéant.
• Données d'espace de travail : nom des espaces, rôles, groupes, invitations, paramètres.
• Contenus produits : tâches, sprints, pages, commentaires, fichiers que vous créez ou téléversez.
• Données techniques : adresse IP, type de navigateur, système d'exploitation, identifiants de session, journaux d'accès.
• Données de facturation : raison sociale, adresse, historique des paiements (les données de carte bancaire sont traitées directement par notre prestataire de paiement et ne transitent pas par nos serveurs).
• Échanges support : e-mails et messages que vous nous adressez.

Vos données sont traitées pour les finalités suivantes :

• Fournir le service (exécution du contrat) : création et gestion du compte, hébergement de vos contenus, collaboration en temps réel.
• Sécurité et prévention de la fraude (intérêt légitime) : détection d'intrusions, lutte contre les abus, journalisation.
• Facturation et obligations comptables (obligation légale) : émission des factures, conservation des pièces.
• Support utilisateur (intérêt légitime) : répondre à vos demandes.
• Amélioration du produit (intérêt légitime) : mesures d'usage agrégées et anonymisées, retours utilisateurs.
• Communications produit (consentement ou intérêt légitime) : nouveautés, informations techniques importantes. Vous pouvez vous désinscrire à tout moment des communications non essentielles.

Vos données sont accessibles à nos équipes habilitées et à nos sous-traitants, encadrés par un accord conforme au RGPD :

• hébergement et infrastructure ;
• envoi d'e-mails transactionnels ;
• traitement des paiements ;
• support et helpdesk ;
• analytique produit (mesures agrégées).

La liste à jour des sous-traitants est disponible sur demande à privacy@mynora.app. Aucune donnée n'est vendue à des tiers.

Nous privilégions des prestataires hébergeant les données dans l'Union européenne. Lorsqu'un transfert hors UE est nécessaire, il est encadré par les clauses contractuelles types de la Commission européenne ou un mécanisme équivalent garantissant un niveau de protection adéquat.

• Compte actif : vos données sont conservées tant que votre compte existe.
• Après résiliation : 30 jours en production pour permettre un éventuel export, puis suppression.
• Compte inactif : après 24 mois sans connexion, nous vous informons puis procédons à la suppression si l'inactivité se prolonge.
• Facturation : 10 ans pour répondre à nos obligations comptables.
• Journaux de sécurité : 12 mois maximum.

Nous mettons en œuvre les mesures suivantes :

• chiffrement des échanges en TLS ;
• hachage des mots de passe (scrypt) et chiffrement applicatif des jetons d'identité tiers ;
• contrôles d'accès basés sur les rôles et les permissions ;
• journalisation des requêtes et limitation du nombre de tentatives sur les fonctions sensibles (connexion, inscription) ;
• revues de sécurité du code et gestion des vulnérabilités.

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL dans les 72 heures et informerons les utilisateurs concernés sans délai injustifié.

Conformément au RGPD, vous disposez des droits suivants :

• droit d'accès et de copie ;
• droit de rectification ;
• droit à l'effacement (« droit à l'oubli ») ;
• droit à la limitation du traitement ;
• droit à la portabilité ;
• droit d'opposition pour motif légitime ;
• droit de définir des directives relatives au sort de vos données après votre décès.

Pour exercer ces droits : privacy@mynora.app. Une réponse vous sera apportée sous un mois. Vous pouvez à tout moment introduire une réclamation auprès de la CNIL (cnil.fr).

Nora utilise un nombre volontairement restreint de cookies, strictement limités au fonctionnement du service (authentification, sécurité) et à la mémorisation de vos préférences (langue, options d'interface). Aucun cookie publicitaire ni cookie de mesure d'audience tiers n'est déposé. Le détail figure dans notre Politique cookies.

Nora n'est pas destiné aux personnes de moins de 15 ans. En créant un compte, vous déclarez avoir au moins 15 ans, ou disposer du consentement de votre représentant légal. Nous n'effectuons pas de vérification systématique d'âge lors de l'inscription. Si vous constatez qu'un compte a été créé par un mineur sans autorisation parentale, contactez-nous à privacy@mynora.app et nous procéderons à sa suppression dans les meilleurs délais.

Lorsque vous utilisez Nora dans un contexte professionnel, votre organisation est responsable de traitement des données personnelles que vous y intégrez (membres, contacts, contenus). Nora agit alors comme sous-traitant et s'engage notamment à :

• traiter les données conformément à vos instructions documentées ;
• n'ouvrir l'accès qu'à du personnel habilité et tenu à la confidentialité ;
• vous assister en cas de demande d'exercice de droits ou d'incident ;
• restituer ou supprimer les données en fin de prestation.

Nous pouvons faire évoluer la présente politique pour refléter des changements légaux, techniques ou produits. Les modifications substantielles sont notifiées au moins 30 jours avant leur entrée en vigueur, par e-mail et dans l'application.

Pour toute question relative à la présente politique ou à vos données : privacy@mynora.app.