Serenos← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 1er mai 2026

Serenos accorde une importance capitale à la protection de vos données personnelles et à la confidentialité des informations que vous nous confiez. La présente politique explique quelles données nous collectons, pourquoi, comment nous les protégeons et quels sont vos droits.

1. Responsable de traitement

Le responsable du traitement des données collectées via serenos.fr est :

Amaury Hallé, EI — Serenos
344 route du Plaix, 03360 Meaulne-Vitray, France
SIREN : 809 179 351
Email : privacy@serenos.fr

Note : dans le cadre du service Serenos fourni aux pompes funèbres, la pompe funèbre cliente est responsable de traitement des données des familles et des défunts qu'elle gère. Serenos agit alors en qualité de sous-traitant au sens de l'article 4(8) du RGPD. Ce rôle est formalisé par le Contrat de sous-traitance (DPA) signé lors de l'onboarding.

2. Données collectées

2.1 Données des professionnels (pompes funèbres)

  • Données de compte : nom, prénom, email professionnel, mot de passe (haché)
  • Données de l'entreprise : raison sociale, SIREN, adresse, numéro de téléphone, habilitation préfectorale
  • Données d'usage : connexions, actions réalisées dans l'application (journaux d'audit)
  • Données de facturation : coordonnées de paiement (traitées exclusivement par Stripe, nous ne stockons pas vos numéros de carte)

2.2 Données des familles endeuillées (utilisateurs de l'espace famille)

  • Données d'identification : nom, prénom, email, téléphone, lien de parenté avec le défunt
  • Données relatives au dossier funéraire : informations saisies dans l'espace famille (démarches, patrimoine, contacts notaire)
  • Préférences concernant les données (directives post-mortem — voir section 5)

Ces données sont collectées sous la responsabilité de la pompe funèbre cliente. Les familles doivent être informées par la pompe funèbre de l'utilisation de Serenos.

2.3 Données relatives au défunt — catégories spéciales (Art. 9 RGPD)

Attention : certaines données relatives au défunt sont des catégories spéciales au sens de l'article 9 du RGPD, soumises à des protections renforcées.
  • Données de santé : cause de décès, antécédents médicaux pertinents pour les obsèques — base légale : exécution d'un contrat (CGCT) + consentement explicite de la famille
  • Données religieuses/philosophiques : préférences de cérémonie, rites souhaités — base légale : consentement explicite de la famille
  • Données d'état civil : nom, prénom, date et lieu de naissance et de décès
  • Données patrimoniales (si module succession activé) : biens, comptes bancaires, assurances-vie

3. Bases légales des traitements

TraitementBase légale
Création et gestion du compte professionnelExécution du contrat (CGU)
Facturation et paiementObligation légale (droit fiscal)
Envoi d'emails transactionnels (devis, factures, notifications)Exécution du contrat
Envoi d'emails marketing (nouveautés, offres)Consentement (opt-in)
Gestion des dossiers funérairesExécution du contrat + obligations légales (CGCT)
Données de santé / religieuses du défuntConsentement explicite de la famille (Art. 9.2.a RGPD)
Journaux d'audit et sécuritéIntérêt légitime (sécurité, loi anti-fraude TVA)
Analyses d'usage anonymiséesIntérêt légitime (amélioration du service)

4. Durée de conservation

CatégorieDuréeMotif
Compte professionnel actifDurée de l'abonnement + 3 ansIntérêt légitime
Factures et données comptables10 ansObligation légale (Code de commerce)
Données de facturation funéraire (immutabilité)6 ans minimumLoi anti-fraude TVA (Art. 88)
Dossiers funérairesDurée du contrat + 5 ans (sauf directive post-mortem)Prescription civile
Données famille (espace famille)Durée du dossier + 2 ans (sauf directive)Nécessité opérationnelle
Journaux d'audit sécurité12 mois glissantsIntérêt légitime (sécurité)
Compte supprimé (données résiduelles anonymisées)30 jours, puis suppression définitive

5. Données post-mortem et directives anticipées

Les données du défunt ne sont plus protégées par le RGPD (qui ne s'applique qu'aux personnes vivantes). Elles relèvent de la Loi Informatique & Libertés (Art. 84-85) qui permet à toute personne de formuler, de son vivant, des directives sur l'utilisation de ses données après sa mort.

Les familles endeuillées (ayants droit) peuvent quant à elles exercer certains droits sur les données du défunt, dans la limite de ce que permettent la loi et les directives laissées par ce dernier.

Choix proposés à la famille lors de la clôture du dossier :

  • Suppression complète : toutes les données du défunt et du dossier sont supprimées dans un délai de 90 jours après clôture.
  • Conservation mémorielle : les données essentielles (avis de décès, page mémoriale) sont conservées indéfiniment, les données sensibles (santé, patrimoine) supprimées sous 90 jours.
  • Conservation intégrale : conservation aux fins de succession ou de référence juridique (durées légales applicables).

En l'absence de directive explicite, la conservation mémorielle s'applique par défaut pour la page de l'avis de décès public, et les données sensibles sont supprimées sous 2 ans après la clôture du dossier.

6. Partage avec des tiers

Serenos ne vend jamais vos données personnelles. Nous les partageons uniquement avec les sous-traitants techniques suivants, strictement nécessaires au fonctionnement du service :

Sous-traitantRôleLocalisation
Supabase Inc.Hébergement base de donnéesUE (Frankfurt)
Vercel Inc.Hébergement application webUE + US (CCT)
Resend Inc.Envoi d'emails transactionnelsUS (CCT)
Stripe Inc.Paiement en ligneUE (Dublin) + US (CCT)

CCT = Clauses Contractuelles Types adoptées par la Commission Européenne, garantissant un niveau de protection adéquat pour les transferts vers des pays tiers.

Nous pouvons également communiquer des données si la loi nous y oblige (réquisition judiciaire, CNIL) ou pour protéger nos droits légaux.

7. Transferts hors Union Européenne

Certains de nos sous-traitants (Vercel, Resend, Stripe) sont basés aux États-Unis. Ces transferts sont encadrés par les Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne le 4 juin 2021 (décision d'exécution 2021/914), qui constituent une garantie appropriée au sens de l'article 46 du RGPD.

La base de données principale est hébergée exclusivement dans l'Union Européenne (Frankfurt, Allemagne) via Supabase.

8. Sécurité des données

Serenos met en œuvre les mesures techniques et organisationnelles suivantes pour protéger vos données :

  • Chiffrement des données en transit (TLS 1.3) et au repos (AES-256)
  • Authentification multi-facteurs disponible pour les comptes professionnels
  • Row-Level Security (RLS) : isolation stricte des données entre organisations
  • Journaux d'audit de toutes les actions sensibles
  • Immutabilité des données de facturation (conformité loi anti-fraude TVA)
  • Accès aux données de production restreint au personnel autorisé
  • Sauvegardes quotidiennes chiffrées (Supabase Pro)

En cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, Serenos s'engage à vous notifier dans les 72 heures conformément à l'article 33 du RGPD, et à notifier la CNIL si requis.

9. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • Droit d'accès (Art. 15) : obtenir une copie de vos données
  • Droit de rectification (Art. 16) : corriger des données inexactes
  • Droit à l'effacement (Art. 17) : demander la suppression de vos données
  • Droit à la limitation (Art. 18) : restreindre certains traitements
  • Droit à la portabilité (Art. 20) : recevoir vos données dans un format structuré
  • Droit d'opposition (Art. 21) : s'opposer au traitement fondé sur l'intérêt légitime
  • Droit de retirer le consentement (Art. 7.3) : à tout moment pour les traitements fondés sur le consentement

Comment exercer vos droits ?

Envoyez votre demande par email à privacy@serenos.fr en précisant votre identité. Nous répondrons dans un délai maximum de 30 jours.

Si vous estimez que vos droits ne sont pas respectés, vous pouvez introduire une réclamation auprès de la CNIL : www.cnil.fr/fr/plaintes.

Note : si vous utilisez Serenos via une pompe funèbre cliente, certains droits (notamment l'effacement) doivent être exercés auprès de la pompe funèbre responsable de traitement, et non directement auprès de Serenos.

10. Cookies

Serenos utilise un nombre limité de cookies strictement nécessaires au fonctionnement du service :

  • Cookie de session (supabase-auth-token) : maintient votre connexion. Durée : session ou 2 semaines si "Rester connecté". Base légale : nécessité technique.
  • Cookie de préférences (sidebar-collapsed) : mémorise l'état de la barre latérale. Durée : permanente (localStorage). Base légale : nécessité fonctionnelle.

Nous n'utilisons pas de cookies publicitaires ni de traceurs tiers à des fins marketing. Aucun cookie n'est déposé sans votre consentement au-delà des cookies strictement nécessaires.

11. Modifications de la présente politique

Serenos se réserve le droit de modifier cette politique de confidentialité à tout moment. En cas de modification substantielle, vous serez informé par email avec un préavis de 30 jours avant l'entrée en vigueur des changements. La poursuite de l'utilisation du service après cette période vaut acceptation des nouvelles dispositions.

12. Contact

Pour toute question relative à la protection de vos données :

  • Email : privacy@serenos.fr
  • Courrier : Serenos — Amaury Hallé, 344 route du Plaix, 03360 Meaulne-Vitray

13. Intégrations Google API Services

Serenos propose à ses utilisateurs professionnels (pompes funèbres) la possibilité de connecter leur compte Google afin de synchroniser les événements des cérémonies funéraires (cérémonies, mises en bière, transports, rendez-vous famille) avec leur agenda Google Calendar.

13.1 Données Google auxquelles Serenos accède

  • Scope OAuth utilisé : https://www.googleapis.com/auth/calendar.events
  • Permissions accordées : créer, lire, modifier et supprimer les événements de l'agenda Google de l'utilisateur
  • Données synchronisées : titre de l'événement, date et heure, lieu, description (catégorie + notes saisies dans Serenos)

Serenos n'accède jamais à vos emails (Gmail), à vos fichiers (Drive), à vos contacts ni à aucune autre donnée Google que celle strictement nécessaire à la synchronisation des événements.

13.2 Conformité — Google API Services User Data Policy

L'utilisation des données provenant des API Google par Serenos respecte intégralement la Google API Services User Data Policy, notamment les exigences relatives à un usage limité (Limited Use).

Conformément à cette politique, Serenos s'engage explicitement sur les points suivants concernant les données obtenues via les API Google :

  • Usage exclusif : les données Google ne sont utilisées que pour fournir et améliorer la fonctionnalité de synchronisation d'agenda visible par l'utilisateur ; elles ne servent à aucun autre traitement.
  • Aucune revente : Serenos ne vend, ne loue, ni ne cède en aucune manière les données issues des API Google à des tiers.
  • Aucune publicité : les données Google ne sont utilisées à aucune fin publicitaire, ni pour le profilage, le retargeting, la publicité personnalisée ou la mesure d'audience.
  • Aucun entraînement de modèles d'IA généralistes : les données Google ne sont jamais utilisées pour entraîner, améliorer ou évaluer des modèles d'intelligence artificielle généralistes (LLM, modèles fondationnels).
  • Aucun accès humain : aucun collaborateur de Serenos ne lit ni n'accède aux données Google des utilisateurs, sauf : (a) avec votre consentement explicite, (b) à des fins de sécurité (enquête sur un abus ou un incident de sécurité), (c) pour se conformer à la loi applicable, ou (d) à des fins de support technique strictement nécessaire et avec votre accord préalable.

13.3 Stockage et conservation des tokens Google

  • Serenos stocke uniquement les jetons OAuth (access token et refresh token) émis par Google, dans une base de données chiffrée hébergée dans l'Union Européenne (Supabase, Frankfurt).
  • Les jetons sont liés à une agence et utilisés exclusivement pour appeler les API Google Calendar pour le compte de cette agence.
  • Aucune copie des événements Google Calendar n'est stockée durablement côté Serenos. Seul l'identifiant unique de l'événement Google est conservé pour permettre la synchronisation bidirectionnelle (création, mise à jour, suppression).
  • La durée de conservation des jetons est égale à la durée de la connexion : ils sont supprimés immédiatement lorsque vous déconnectez votre compte Google depuis l'interface Serenos, ou lorsque vous révoquez l'accès depuis votre compte Google.

13.4 Révoquer l'accès accordé à Serenos

Vous pouvez à tout moment retirer l'autorisation accordée à Serenos d'accéder à votre compte Google :

  • Depuis Serenos : rendez-vous dans Tableau de bord → Intégrations → Google Calendar → Déconnecter.
  • Depuis votre compte Google : myaccount.google.com/permissions → sélectionnez Serenos → Supprimer l'accès.

La révocation de l'accès supprime immédiatement les jetons OAuth stockés par Serenos. Les événements déjà synchronisés restent dans votre Google Calendar et ne sont pas affectés par la déconnexion.

13.5 Sécurité des intégrations Google

  • Le flux OAuth respecte le standard OAuth 2.0 avec protection CSRF (paramètre state) et validation de l'identité utilisateur côté serveur avant l'échange du code d'autorisation.
  • Les jetons sont chiffrés au repos (AES-256) et transmis en TLS 1.3 entre Serenos et les serveurs Google.
  • Aucun jeton OAuth Google n'est exposé côté client (navigateur) ni présent dans les journaux applicatifs.

Pour toute question concernant l'intégration Google Calendar ou la gestion des données issues des API Google, contactez privacy@serenos.fr.