Politique de confidentialité — Bulléo
Dernière mise à jour : 2 juillet 2026 — version 1.0
1. Objet
La présente Politique de confidentialité décrit comment les données à caractère personnel sont traitées dans le cadre du service Bulléo, logiciel de gestion de crèches et micro-crèches (ci-après « le Service »), édité par Julien HENRY — Entrepreneur Individuel (EI), dont le siège est situé 2Q Route de Villemoisan, 49370 Bécon-les-Granits (ci-après « Bulléo », « nous »).
Elle s'applique aux personnes suivantes : personnel et directeurs des structures clientes (utilisateurs professionnels), parents, enfants accueillis, prospects, et visiteurs du site.
Elle est conforme au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 « Informatique et Libertés » modifiée.
2. La double casquette de Bulléo : responsable de traitement ET sous-traitant
Le rôle de Bulléo diffère selon les données concernées. Cette distinction est essentielle pour comprendre qui est responsable de quoi.
2.1 Bulléo est SOUS-TRAITANT (article 28 du RGPD)
Pour toutes les données que Bulléo traite pour le compte des crèches clientes et sur leurs instructions, la crèche cliente (ou la structure gestionnaire) est le responsable de traitement, et Bulléo agit en qualité de sous-traitant.
Sont concernées, notamment :
- les données des enfants accueillis (dont les données de santé) ;
- les données des parents (dont revenus, n° allocataire, régime de sécurité sociale) ;
- les données du personnel (RH) de la crèche ;
- les données opérationnelles : présences, planning, messagerie, médias, documents, pré-inscriptions, facturation des familles ;
- les comptes d'accès mobiles des parents et employés.
C'est la crèche qui définit les finalités et les moyens de ces traitements, qui informe les personnes concernées et qui recueille, le cas échéant, leur consentement. Bulléo se limite à fournir l'outil et à traiter les données selon les instructions de la crèche. Les obligations respectives sont formalisées dans l'Accord de sous-traitance (DPA).
2.2 Bulléo est RESPONSABLE DE TRAITEMENT
Pour ses propres traitements, Bulléo est responsable de traitement. Sont concernés :
- les comptes des utilisateurs professionnels (personnel, directeurs) : gestion de l'accès au Service, authentification, sécurité ;
- les prospects et la relation commerciale ;
- la facturation de l'abonnement au Service ;
- les logs techniques et la sécurité de la plateforme.
La présente Politique décrit principalement les traitements pour lesquels Bulléo est responsable. Pour les traitements où Bulléo est sous-traitant, l'information des personnes relève de la crèche responsable de traitement ; la présente Politique donne néanmoins un aperçu transparent des données concernées.
3. Données traitées, finalités et bases légales
3.1 Traitements pour lesquels Bulléo est RESPONSABLE
| Finalité | Catégories de données | Base légale (art. 6 RGPD) |
|---|---|---|
| Création et gestion des comptes pro (personnel / directeurs) | Nom, e-mail, téléphone, mot de passe (haché), photo de profil | Exécution du contrat (art. 6.1.b) |
| Authentification et sécurité des accès | Identifiants, journaux de connexion, jetons de session | Intérêt légitime (art. 6.1.f) : sécurité du Service |
| Facturation de l'abonnement | Coordonnées de la structure, données de facturation | Exécution du contrat (art. 6.1.b) + obligation légale comptable (art. 6.1.c) |
| Relation commerciale et prospection | Nom, e-mail, téléphone, société | Intérêt légitime (art. 6.1.f) / consentement pour la prospection électronique (art. 6.1.a) |
| Assistance et support | Données de contact, contenu des échanges | Exécution du contrat / intérêt légitime |
| Logs techniques, supervision, détection d'incidents | Adresse IP, journaux applicatifs, données de diagnostic | Intérêt légitime (art. 6.1.f) : sécurité et bon fonctionnement |
3.2 Traitements pour lesquels Bulléo est SOUS-TRAITANT (responsable = la crèche)
Ces traitements sont réalisés pour le compte de la crèche cliente. Les bases légales indiquées sont celles que la crèche mobilise en tant que responsable ; elles sont fournies à titre informatif.
| Catégorie de personnes | Données traitées | Finalités | Base légale usuelle |
|---|---|---|---|
| Enfants | Nom, prénom, date et lieu de naissance, genre, groupe | Gestion administrative de l'accueil | Exécution du contrat d'accueil ; obligation légale (réglementation PMI) |
| Enfants — données de santé (art. 9 RGPD) | Alertes santé / PAI, allergies, mesures de croissance (poids/taille/PC), vaccinations, visites médicales, épisodes fébriles, traitements et médicaments | Sécurité et suivi sanitaire de l'enfant | Art. 9.2.a (consentement explicite) et/ou art. 9.2.h (médecine préventive / gestion des services de soins), obligations PMI |
| Enfants — photos et vidéos | Médias (galerie), photos taggant l'enfant | Suivi et communication avec les familles | Consentement (art. 6.1.a / 9.2.a) — autorisations parentales |
| Autorisations parentales | Droits parentaux (photo, diffusion, vidéo, sorties, soins d'urgence, médicaments, crème solaire, transport) | Respect des choix des parents | Consentement (art. 6.1.a) |
| Parents | Nom, e-mail, téléphones, adresse postale, profession, n° allocataire CAF, régime de sécurité sociale, revenus annuels (barème CAF/PSU), photo | Gestion administrative et facturation, calcul du tarif CAF/PSU | Exécution du contrat ; obligation légale (barème CAF) |
| Personnel (RH) | Fiche employé, contrats, qualifications / diplômes, pointages | Gestion RH et respect des taux d'encadrement (PMI) | Exécution du contrat de travail ; obligation légale |
| Opérationnel | Présences / pointages, planning, messagerie parents↔équipe, médias, documents, pré-inscriptions (formulaire public) | Fonctionnement quotidien de la crèche | Exécution du contrat ; intérêt légitime |
| Facturation des familles | Comptes clients / débiteurs, mandats SEPA, encaissements | Facturation de l'accueil | Exécution du contrat ; obligation légale comptable |
| Accès mobile | Comptes d'accès mobiles (parents / employés), jetons de notification push | Accès à l'application mobile et notifications | Exécution du contrat ; intérêt légitime |
Données sensibles — mineurs. Les données de santé des enfants relèvent des catégories particulières de données (art. 9 RGPD) et concernent des mineurs. Elles bénéficient d'une protection renforcée : accès restreint, minimisation, sécurité accrue et, en principe, consentement explicite des titulaires de l'autorité parentale, recueilli par la crèche.
4. Destinataires des données
Les données sont accessibles, selon les besoins et les habilitations :
- au personnel habilité de la crèche responsable de traitement (selon un modèle de permissions par rôle) ;
- aux parents concernés, pour les données de leurs propres enfants (via l'application mobile) ;
- au personnel autorisé de Bulléo, strictement pour l'exploitation, la maintenance et le support du Service ;
- aux sous-traitants ultérieurs listés à la section 5 ;
- aux autorités administratives ou judiciaires lorsque la loi l'exige (ex. PMI, CAF, administration fiscale).
Bulléo ne vend jamais de données personnelles et ne les utilise pas à des fins publicitaires tierces.
5. Sous-traitants ultérieurs
Bulléo recourt aux prestataires suivants, qui présentent des garanties appropriées et sont liés par des engagements contractuels conformes à l'article 28 du RGPD :
| Prestataire | Rôle | Localisation des données | Transferts hors UE |
|---|---|---|---|
| Supabase, Inc. | Base de données, authentification, stockage de fichiers, fonctions | AWS eu-central-1 — Francfort (UE) | Entité hors UE : encadré par CCT / SCC — DPA Supabase |
| Resend | Envoi d'e-mails transactionnels | UE (Irlande) | Le cas échéant, CCT / SCC |
| Vercel Inc. | Hébergement de l'application web (statique, via CDN mondial — aucune donnée personnelle applicative stockée) | CDN mondial ; données applicatives chez Supabase (UE) | Entité US : CCT / SCC et/ou EU-U.S. Data Privacy Framework |
| Expo / EAS (à venir) | Notifications push mobiles | États-Unis | Entité US : CCT / SCC le cas échéant |
La liste des sous-traitants ultérieurs à jour figure également dans le DPA.
6. Transferts hors de l'Union européenne
Les données sont hébergées dans l'Union européenne (AWS Francfort pour la base de données et le stockage ; Irlande pour l'e-mail).
Certains prestataires disposent d'une entité mère hors UE (États-Unis). Dans ce cas, les éventuels transferts sont encadrés par des clauses contractuelles types de la Commission européenne (CCT / SCC) et, lorsque cela s'applique, par l'adhésion au EU-U.S. Data Privacy Framework, complétées le cas échéant par des mesures supplémentaires.
7. Durées de conservation
Les données ne sont conservées que le temps nécessaire aux finalités poursuivies, puis archivées ou supprimées. Le détail figure dans la Politique de conservation des données.
En synthèse :
- Dossier enfant / famille : durée du contrat d'accueil, puis archivage limité ;
- Documents PMI (certificat médical, vaccins) : jusqu'à la fin du contrat d'accueil, sous réserve des obligations réglementaires ;
- Données de facturation : conservation ~10 ans (obligation comptable) ;
- Comptes pro inactifs, logs, messagerie, médias : durées proportionnées détaillées dans la politique dédiée.
8. Sécurité
Bulléo met en œuvre des mesures techniques et organisationnelles appropriées (art. 32 RGPD), notamment : chiffrement des flux (TLS), stockage privé des fichiers sensibles avec accès par URL signée à durée limitée, cloisonnement des données par structure (Row Level Security), gestion fine des permissions par rôle, mots de passe stockés sous forme hachée, journalisation et supervision. Le détail des mesures figure dans le DPA.
9. Droits des personnes
Conformément aux articles 15 à 22 du RGPD, toute personne concernée dispose des droits suivants :
- droit d'accès à ses données (art. 15) ;
- droit de rectification (art. 16) ;
- droit à l'effacement (« droit à l'oubli », art. 17), dans les limites des obligations légales de conservation ;
- droit à la limitation du traitement (art. 18) ;
- droit à la portabilité (art. 20) ;
- droit d'opposition (art. 21) ;
- droit de retirer son consentement à tout moment, lorsque le traitement repose sur le consentement (sans effet rétroactif) ;
- droit de définir des directives relatives au sort de ses données après son décès.
Comment exercer ses droits
- Pour les données traitées par une crèche (enfants, parents, RH, opérationnel) : la personne s'adresse en priorité à la crèche, responsable de traitement. Bulléo, en tant que sous-traitant, assiste la crèche pour répondre à ces demandes.
- Pour les données dont Bulléo est responsable (comptes pro, prospects, facturation de l'abonnement, logs) : la personne s'adresse directement à Bulléo.
Canal de contact : contact@bulleo.app — ou par courrier à : Julien HENRY (EI), 2Q Route de Villemoisan, 49370 Bécon-les-Granits, France.
Bulléo répond dans un délai d'un mois (prolongeable de deux mois pour les demandes complexes). Une vérification d'identité peut être demandée. La procédure complète est décrite dans la Procédure d'exercice des droits.
10. Délégué à la protection des données (DPO)
Bulléo n'a pas désigné de Délégué à la protection des données (désignation non obligatoire au regard de son activité et de sa taille). Le point de contact pour toute question relative aux données personnelles est : contact@bulleo.app.
11. Réclamation auprès de la CNIL
Toute personne peut introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL) 3 Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 Téléphone : 01 53 73 22 22 — www.cnil.fr
12. Cookies et traceurs
Bulléo n'utilise que des traceurs strictement nécessaires au fonctionnement du Service : stockage local du jeton de session d'authentification, indispensable pour maintenir l'utilisateur connecté. Ces traceurs sont exemptés de consentement (art. 82 de la loi Informatique et Libertés / lignes directrices CNIL), car indispensables à la fourniture du service expressément demandé par l'utilisateur.
Aucun cookie de mesure d'audience, de profilage ou publicitaire tiers n'est déposé. Si de tels traceurs venaient à être introduits, un bandeau de recueil du consentement serait mis en place au préalable et la présente section mise à jour.
13. Modifications
La présente Politique peut évoluer. La version applicable est celle publiée à la date de consultation. Les modifications substantielles seront portées à la connaissance des utilisateurs.