Microtaches.com

RGPD et sécurité des données sur les plateformes de micro-tâches

L'équipe Microtaches · Mis à jour le 2026-06-25 · Légal & sécurité

Inscription, justificatif d'identité, IBAN, données démographiques fines : une plateforme de micro-tâches collecte plus d'informations sensibles qu'un compte e-commerce classique. Voici le cadre RGPD applicable, les 8 questions à se poser avant de s'inscrire, les red flags à reconnaître, et ce que Microtaches met concrètement en place — sans embellir.

Pourquoi ce sujet compte vraiment

Une plateforme de micro-tâches collecte bien plus qu'un site e-commerce classique. À l'inscription : email, nom, téléphone, pays. Pour le profil : âge, genre, niveau d'études, situation familiale, revenus, centres d'intérêt — c'est exactement ce qu'un courtier en données rêve d'obtenir. Pour le paiement : IBAN, justificatif d'identité, justificatif de domicile (KYC). Pour les missions : adresse IP, empreinte navigateur, parfois géolocalisation.

Si la plateforme est mal sécurisée ou peu scrupuleuse, ces données peuvent fuiter (voir les arnaques fréquentes documentées dans notre guide anti-arnaques) ou être revendues à des tiers. Pour le worker, le risque est concret : usurpation d'identité, ouverture de comptes bancaires frauduleux, démarchage agressif, profil revendu à des annonceurs.

Le cadre RGPD applicable

Les 6 bases légales possibles

Le RGPD impose qu'aucune donnée ne soit traitée sans une base légale explicite. Pour une plateforme de micro-tâches, trois bases sont pertinentes : l'exécution du contrat (vous acceptez les CGU pour travailler, donc nom/email/IBAN sont nécessaires), l'obligation légale (KYC anti-blanchiment, déclaration DAC7), et le consentement (données démographiques pour le ciblage des missions, newsletters, cookies analytics). Une plateforme qui invoque le « consentement » pour traiter votre IBAN se trompe — c'est une obligation contractuelle, pas un choix.

Vos 7 droits utilisateur

  • Droit d'accès : obtenir une copie de toutes vos données dans un format lisible (généralement JSON ou PDF) sous 1 mois.
  • Droit de rectification : corriger une donnée erronée (nom mal orthographié, mauvais pays, etc.).
  • Droit à l'effacement (« droit à l'oubli ») : supprimer définitivement votre compte et toutes les données associées, sauf celles que la plateforme doit conserver pour obligation légale (factures pendant 10 ans, KYC pendant 5 ans après la fermeture).
  • Droit à la portabilité : récupérer vos données dans un format réutilisable pour les transférer ailleurs.
  • Droit d'opposition : refuser un traitement marketing ou de profilage.
  • Droit à la limitation : geler un traitement contesté pendant son examen.
  • Droit de réclamation : saisir la CNIL en France (ou son équivalent UE) gratuitement et en ligne si la plateforme ne répond pas sous 1 mois.

DPO, représentant UE et transferts hors Europe

Une plateforme qui dépasse certains seuils (suivi à grande échelle, données sensibles) doit désigner un Délégué à la protection des données (DPO) joignable par email. Si la plateforme est basée hors UE (États-Unis, Royaume-Uni post-Brexit, etc.) mais cible des résidents européens, elle doit avoir un représentant UE nommément désigné dans ses mentions légales. Les transferts de données vers les États-Unis sont encadrés depuis 2023 par le Data Privacy Framework — une plateforme US qui ne le mentionne nulle part est en infraction.

Checklist : 8 questions à se poser avant de s'inscrire

  1. Où est le siège social ? Cherchez les mentions légales — SIRET français, registre du commerce, adresse postale réelle. Une boîte postale offshore est un mauvais signal.
  2. Où sont hébergées les données ? Une plateforme sérieuse précise son hébergeur (OVH, Scaleway, AWS Europe, etc.) et la région. « Cloud mondial » sans précision = drapeau rouge.
  3. L'IBAN est-il chiffré au repos ? Une politique de confidentialité honnête mentionne explicitement « chiffrement AES-256 », « coffre-fort », ou un équivalent. Sinon, demandez par email — l'absence de réponse claire est un signal.
  4. Combien de temps les données sont-elles conservées ? Le RGPD impose une durée limitée et justifiée. Une plateforme qui garde « indéfiniment » vos données est en infraction.
  5. Quels sous-traitants ont accès à vos données ? La liste doit être publique (Resend pour les emails, Stripe pour les paiements, etc.). Une plateforme qui refuse de divulguer ses sous-traitants vous traite mal.
  6. Le DPO est-il joignable ? Cherchez un email dpo@ ou privacy@. Envoyez un test : si pas de réponse en 1 mois, c'est révélateur.
  7. La suppression de compte est-elle effective ? Lisez la procédure dans les CGU. « Désactivation » ≠ suppression. Une vraie suppression efface les données démographiques et anonymise l'historique.
  8. La plateforme est-elle conforme DAC7 ? Depuis 2023, toute plateforme de l'UE doit déclarer les revenus des utilisateurs dépassant 2 000 € ou 30 prestations par an. Voir notre guide DAC7.

5 red flags qui doivent vous faire fuir

  1. Pas de mentions légales détaillées ou un simple email Gmail comme contact. Aucune entreprise sérieuse ne fonctionne ainsi en Europe.
  2. Politique de confidentialité absente, en anglais uniquement ou copiée-collée d'un autre site (les fautes ou références à d'autres entreprises sont parlantes).
  3. Refus explicite de supprimer un compte ou suppression conditionnée à un paiement. Illégal dans toute l'UE.
  4. Revente affichée ou suspectée de données démographiques à des partenaires non identifiés (« nos partenaires marketing » sans liste précise = revente déguisée).
  5. Demande de documents excessifs : photo de votre carte bancaire (jamais nécessaire), code de votre boîte mail, accès à vos contacts. Ce sont des arnaques caractérisées.

Plateforme RGPD-conforme vs non-conforme

Ce que fait Microtaches concrètement

Microtaches est une entité française basée à Paris, hébergée en Union européenne. Notre approche RGPD se résume en cinq points factuels.

1. IBAN et données financières chiffrés AES-256 via un coffre-fort dédié (Vault). L'IBAN n'est jamais stocké en clair dans la base, même pour les admins. La lecture passe par une fonction sécurisée qui trace chaque accès.

2. KYC immutable et chiffré. Les documents d'identité soumis pour la vérification KYC sont stockés dans un bucket privé avec accès strictement restreint. Les messages échangés avec l'équipe KYC sont stockés dans une table immuable (impossibles à modifier ou supprimer même pour un admin), ce qui protège le worker en cas de litige.

3. Suppression de compte effective via une fonction serveur dédiée. La procédure efface vos données démographiques, anonymise vos transactions et missions, et révoque vos tokens. Les données conservées pour obligation légale (DAC7, anti-blanchiment) sont conservées 5 ans dans un espace séparé puis détruites.

4. Aucune revente de données démographiques. Vos réponses au wizard démographique servent uniquement à cibler les missions pertinentes (par exemple, une mission « parents d'enfants en bas âge » ne vous est proposée que si vous l'avez indiqué). Nous ne revendons aucune donnée à des courtiers, annonceurs ou partenaires marketing.

5. Liste de sous-traitants publique dans la politique de confidentialité : Lovable Cloud (Supabase) pour la base de données et l'authentification, Resend pour les emails transactionnels, providers IA pour les fonctionnalités d'aide. Aucun sous-traitant marketing.

Comment exercer vos droits RGPD en pratique

  1. Identifier le bon contact : DPO (dpo@, privacy@) ou à défaut le contact général. Sur Microtaches : privacy@microtaches.com.
  2. Formuler la demande par écrit en précisant le droit invoqué (accès, suppression, portabilité, etc.) et en joignant une pièce d'identité pour éviter l'usurpation.
  3. Attendre 1 mois maximum. La plateforme peut prolonger de 2 mois si la demande est complexe, mais doit vous prévenir.
  4. En cas de silence ou de refus, saisir la CNIL en ligne (cnil.fr/plaintes) — c'est gratuit et l'instruction est sérieuse.
Une plateforme française, vos données protégées

Microtaches est basé à Paris, hébergé en UE, IBAN chiffré AES-256, KYC immutable, suppression de compte effective, aucune revente de données démographiques. 1 Ops = 0,0042 € SEPA / 0,0082 € en boutique, retrait dès 5 000 Ops.

Créer mon compte gratuit
Puis-je vraiment supprimer mon compte Microtaches ?
Oui. La procédure est documentée dans la politique de confidentialité et exécutée via une fonction serveur dédiée. Vos données démographiques sont effacées, vos missions et transactions anonymisées, vos tokens révoqués. Les données que nous devons conserver pour obligation légale (DAC7, traçabilité anti-blanchiment des retraits) sont conservées 5 ans dans un espace séparé puis détruites. Si vous n'avez jamais déclenché de KYC, la suppression est totale immédiatement.
Mes données démographiques sont-elles revendues à des annonceurs ?
Non. Les réponses au wizard démographique servent uniquement à cibler les missions adaptées à votre profil (par exemple, certaines missions sont restreintes à un groupe « parents » ou « étudiants »). Aucune donnée n'est revendue à des courtiers, des partenaires marketing ou des annonceurs. La liste exhaustive de nos sous-traitants est publique dans la politique de confidentialité.
Que se passe-t-il si Microtaches fait faillite ?
Le RGPD impose qu'en cas de liquidation, le mandataire judiciaire désigné soit responsable des données et garantisse leur destruction ou leur transfert dans un cadre conforme. En pratique : les soldes Ops convertis en euros seraient inscrits au passif (ce qui rend important de ne pas accumuler des soldes excessifs — voir notre guide sur le seuil de retrait), et les données seraient détruites ou transférées à un repreneur sous contrôle de la CNIL.
Une plateforme hébergée hors UE est-elle automatiquement illégale ?
Non, mais elle doit respecter trois conditions : désigner un représentant UE dans ses mentions légales (article 27 du RGPD), utiliser un mécanisme de transfert valide (Data Privacy Framework pour les États-Unis depuis 2023, ou clauses contractuelles types), et offrir le même niveau de droits qu'une plateforme européenne. La plupart des plateformes US grand public sont aujourd'hui conformes, mais beaucoup de petites plateformes ne le sont pas — vérifiez systématiquement les mentions légales.
Comment savoir si mon IBAN est vraiment chiffré ?
Le seul moyen sérieux est de lire la politique de confidentialité : une plateforme honnête mentionne explicitement « chiffrement AES-256 », « coffre-fort », « Vault », ou un équivalent. À défaut, écrivez à l'équipe support ou au DPO. Une réponse vague (« nous prenons la sécurité au sérieux » sans détails techniques) est un signal d'alerte. Sur Microtaches, l'IBAN est chiffré AES-256 via Supabase Vault et n'est jamais lisible en clair dans la base, même côté admin.
Que faire si une plateforme refuse de répondre à ma demande RGPD ?
Attendez d'abord 1 mois (délai légal de réponse). Si silence ou refus, saisissez la CNIL via cnil.fr/plaintes — c'est gratuit, en ligne, et l'instruction est sérieuse. Vous pouvez aussi saisir l'autorité de protection des données du pays où la plateforme a son siège (CNIL pour la France, ICO pour le Royaume-Uni, etc.). Les amendes RGPD peuvent atteindre 4 % du chiffre d'affaires mondial, ce qui motive généralement une réponse rapide.