Politique de confidentialité

Le responsable de traitement des données personnelles collectées sur le site facturflow.fr et dans le cadre du Service Facturflow est :

RLN CONSULTING, SAS (Société par Actions Simplifiée) au capital de 500 €, immatriculée au RCS de Créteil sous le numéro 949 252 514.

Siège social : 3 ter Avenue Léon Blum, 94700 Maisons-Alfort, France.

Contact RGPD : support@facturflow.fr (ou à défaut, support@facturflow.fr).

Dans le cadre du fonctionnement du Service, nous collectons les catégories de données suivantes :

— Données d'identification du compte Cabinet : nom et prénom du dirigeant, nom du cabinet, adresse email, mot de passe (haché par Supabase Auth via bcrypt).

— Données de connexion email des Clients finaux : adresse email IMAP, mot de passe d'application chiffré (AES symétrique + HMAC via clé Fernet stockée hors base de données).

— Contenu des factures collectées : fichiers PDF originaux, métadonnées extraites (fournisseur, montant, date), expéditeur de l'email source.

— Données techniques et de service : adresse IP (logs de sécurité, rate limiting), date et heure des connexions, événements applicatifs.

Aucune donnée bancaire n'est stockée par Facturflow. Le traitement du paiement est exclusivement opéré par Stripe, certifié PCI-DSS niveau 1.

Aucune donnée sensible au sens de l'article 9 du RGPD (santé, opinions politiques, religion, etc.) n'est volontairement collectée. Si de telles données apparaissent par erreur dans une facture transmise, elles sont conservées dans le cadre de la facture mais ne font l'objet d'aucun traitement spécifique.

Les finalités du traitement sont :

— Fournir le Service (collecte, extraction, restitution des factures) — base juridique : exécution du contrat (article 6.1.b RGPD).

— Gérer la facturation et la relation commerciale — base juridique : exécution du contrat.

— Assurer la sécurité du Service (détection d'intrusion, audit logs) — base juridique : intérêt légitime (article 6.1.f RGPD).

— Répondre aux demandes de support — base juridique : exécution du contrat.

— Le cas échéant, envoyer des communications marketing — base juridique : consentement explicite (article 6.1.a RGPD), révocable à tout moment.

Les durées de conservation appliquées sont :

— Compte Cabinet et données associées : pendant toute la durée de l'abonnement, puis trente (30) jours après résiliation pour permettre une éventuelle réactivation. Au-delà, les données sont supprimées définitivement, sauf obligation légale de conservation.

— Factures collectées (PDFs + métadonnées) : dix (10) ans conformément à l'article L123-22 du Code de commerce, qui impose la conservation des pièces comptables. Cette durée s'applique même en cas de demande de suppression RGPD par le Cabinet (article 17.3.b RGPD prévoit cette exception pour obligation légale).

— Logs techniques et adresses IP : six (6) mois.

— Données de prospection commerciale (le cas échéant) : trois (3) ans à compter du dernier contact.

Vos données sont accessibles aux personnels habilités de Facturflow. Aucune donnée n'est cédée ou louée à des tiers à des fins commerciales.

Nous faisons appel aux sous-traitants suivants, sélectionnés pour leur conformité RGPD :

— Supabase Inc. (hébergement base de données et stockage) — Région : Ireland (EU).

— Stripe Payments Europe Ltd (paiement) — Région : Ireland (EU) avec transferts vers Stripe Inc. (USA) sous clauses contractuelles types (SCC).

— Resend Inc. (emails transactionnels) — Région : Germany (EU).

— Sentry Inc. (monitoring d'erreurs) — Région : USA, sous SCC.

— Fly.io Inc. (hébergement backend) — Région : Paris (EU), sous SCC pour services US.

Certains sous-traitants susmentionnés sont établis aux États-Unis. Les transferts de données vers ces sous-traitants sont encadrés par les Clauses Contractuelles Types (SCC) approuvées par la Commission européenne le 4 juin 2021, garantissant un niveau de protection adéquat.

Le cas échéant, ces sous-traitants sont également certifiés au titre du Data Privacy Framework (DPF) EU-US.

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

— Droit d'accès (article 15) : obtenir la confirmation que des données vous concernant sont traitées, et en recevoir une copie.

— Droit de rectification (article 16) : faire corriger les données inexactes ou incomplètes.

— Droit à l'effacement (article 17) : demander la suppression de vos données, sous réserve des exceptions légales (notamment obligation de conservation comptable).

— Droit à la limitation du traitement (article 18) : suspendre temporairement le traitement.

— Droit à la portabilité (article 20) : recevoir vos données dans un format structuré.

— Droit d'opposition (article 21) : vous opposer à certains traitements, notamment marketing.

— Droit de retrait du consentement à tout moment.

Pour exercer ces droits, contactez-nous à support@facturflow.fr. Une réponse vous sera apportée sous trente (30) jours maximum.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (www.cnil.fr).

Le site facturflow.fr utilise un nombre minimal de cookies :

— Cookie de session d'authentification : nécessaire au fonctionnement du Service (essentiel, non soumis à consentement).

— Plausible Analytics : outil de mesure d'audience respectueux de la vie privée, sans cookie et sans collecte d'identifiants individuels. Il agrège uniquement des données statistiques anonymes.

— Sentry (côté frontend) : ne dépose pas de cookie en l'absence d'erreur. En cas d'erreur, un identifiant temporaire est généré pour le débogage.

Aucun cookie publicitaire ou de tracking comportemental tiers n'est utilisé.

Facturflow met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :

— Chiffrement en transit (HTTPS/TLS 1.3) et au repos (Fernet AES + HMAC pour les credentials sensibles).

— Isolation stricte entre cabinets via Row Level Security (RLS) PostgreSQL.

— Authentification via JWT signés (RS256) avec rotation des clés.

— Audits réguliers et monitoring continu via Sentry.

Cette Politique de confidentialité peut être modifiée pour s'adapter à des évolutions réglementaires ou techniques. Toute modification substantielle sera notifiée par email aux utilisateurs.

La date de dernière mise à jour est indiquée en haut de cette page.