Politique de confidentialité

Le responsable de traitement est Lunapay SAS, dont les coordonnées figurent dans les mentions légales.

Pour toute question RGPD : rgpd@lunapay.fr

Lorsque vous utilisez Lunapay pour gérer la paie de vos salariés, vous êtes responsable de traitement pour leurs données et Lunapay agit en sous-traitant au sens de l'article 28 du RGPD. Une convention de sous-traitance est annexée aux CGV.

a) Données du Client (employeur) :

• Identification : email, nom, prénom, téléphone, société
• Données techniques : adresse IP, user-agent, logs de connexion
• Données de facturation (gérées par Stripe — voir partenaires)
• Préférences (modèle de bulletin, paramètres workspace)

b) Données des salariés (saisies par le Client) :

• Identification : nom, prénom, nom de naissance, sexe, date et lieu de naissance, nationalité
• NIR (n° Sécurité Sociale) — chiffré AES-256-GCM en base, jamais en clair
• Adresse personnelle, téléphone, email
• Contrat : type, dates, poste, classification, code PCS-ESE
• Rémunération : brut, heures, primes, congés, IJSS
• Bulletins de paie générés (PDF + données calculées)

c) Données de l'entreprise du Client :

• SIRET, raison sociale, adresse, code APE
• Convention collective (IDCC), effectif
• Identifiants URSSAF, prévoyance

• Bulletins de paie : 10 ans (art. L.3243-4 du Code du travail)
• Données salariés actifs : durée du contrat + 5 ans après sortie
• Fichiers DSN : 6 ans (durée de prescription URSSAF)
• Factures Lunapay : 10 ans (art. L.123-22 du Code de commerce)
• Logs de connexion : 12 mois
• Audit logs (actions sensibles) : 5 ans
• Newsletter : tant que le consentement n'est pas retiré (lien désinscription dans chaque email)

Les données ne sont jamais vendues ni cédées à des tiers à des fins commerciales.

Sont destinataires : les salariés autorisés de Lunapay SAS (équipe support et technique, soumis à clause de confidentialité), nos sous-traitants techniques limitativement listés ci-dessous.

Sous-traitants techniques :

Aucun transfert de données hors UE n'a lieu dans le cadre du Service.

Lunapay met en œuvre les mesures suivantes :

• Chiffrement en transit : TLS 1.3 sur toutes les connexions HTTPS
• Chiffrement au repos : NIR chiffré AES-256-GCM avec IV unique par enregistrement
• Hash one-way des jetons d'authentification (SHA-256)
• Authentification : magic link à usage unique (15 min de validité), 2FA TOTP optionnelle
• Audit logs immuables (chaîne de hash SHA-256) pour les actions sensibles
• Sauvegardes chiffrées, quotidiennes, conservées 30 jours
• Mises à jour de sécurité sous 48 h pour les CVE critiques
• Cloisonnement strict des données par workspace (RLS applicatif)

Conformément aux articles 15 à 22 du RGPD, vous disposez :

• D'un droit d'accès à vos données et à celles de vos salariés
• D'un droit de rectification en cas de données inexactes
• D'un droit d'effacement (sous réserve des obligations légales d'archivage)
• D'un droit à la limitation du traitement
• D'un droit à la portabilité (export complet aux formats PDF/CSV/JSON)
• D'un droit d'opposition au traitement basé sur l'intérêt légitime
• D'un droit de retrait du consentement à tout moment (newsletter)
• D'un droit de définir des directives post-mortem sur vos données

Pour exercer vos droits, écrivez à rgpd@lunapay.fr. Réponse sous 30 jours maximum.

Vous pouvez également introduire une réclamation auprès de la CNIL (3 place de Fontenoy — 75007 Paris).

Le site Lunapay utilise uniquement des cookies techniques essentiels au fonctionnement du service (session d'authentification). Aucun cookie publicitaire ni cookie de mesure d'audience n'est déposé sans consentement.

Aucune bannière de consentement n'est nécessaire car seuls les cookies dispensés de consentement (CNIL — délibération 2020-091) sont utilisés.

Lunapay SAS n'a pas l'obligation de désigner un DPO (Délégué à la Protection des Données) au sens de l'article 37 du RGPD. Toute question RGPD est traitée par l'équipe dirigeante : rgpd@lunapay.fr.