Comptabilities

Politique de confidentialité

Dernière mise à jour : 25 mai 2026

1. Responsable du traitement

Le responsable du traitement des données personnelles collectées via Comptabilities est :

Tissy

SARL au capital de 1 000 €

128 rue de la Boétie, 75008 Paris

SIREN : 899 344 477 — TVA : FR74 899 344 477

Contact RGPD : contact@comptabilities.fr

2. Données collectées et finalités

Catégorie de donnéesDonnées concernéesFinalitéBase légale
IdentitéNom, prénom, adresse emailCréation et gestion du compte, authentificationExécution du contrat (art. 6.1.b RGPD)
Authentification tierceJeton OAuth Google (lecture profil)Connexion via GoogleConsentement (art. 6.1.a RGPD)
Données financières professionnellesTransactions bancaires, montants, descriptions, catégories, factures PDFFonctionnement du service de pré-comptabilitéExécution du contrat (art. 6.1.b RGPD)
Données d'entrepriseNoms des sociétés, comptes bancaires, prestataires, collaborateursGestion multi-entités et analytiqueExécution du contrat (art. 6.1.b RGPD)
Données de navigationLogs d'accès, adresse IP, actions en sessionSécurité, détection de fraude, débogageIntérêt légitime (art. 6.1.f RGPD)
Données bancaires (à venir)Soldes et transactions via agrégateur bancaire agréé DSP2Synchronisation automatique des transactionsConsentement explicite (art. 6.1.a RGPD)

* La fonctionnalité de connexion bancaire automatique, lorsqu'elle sera disponible, nécessitera un consentement explicite distinct et renouvelable tous les 90 jours conformément à la DSP2.

3. Durée de conservation

Type de donnéesDurée de conservation
Données de compte (nom, email)Durée du compte + 3 ans après clôture
Données financières et comptables10 ans à compter de l'exercice comptable (obligation légale)
Factures PDF10 ans (obligation légale comptable)
Logs de sécurité / d'accès12 mois glissants
Consentements bancaires DSP2Durée du consentement + 5 ans (preuve)

À l'expiration de ces délais, les données sont supprimées définitivement ou anonymisées de manière irréversible.

4. Destinataires et sous-traitants

Vos données sont traitées par les sous-traitants suivants, liés par des contrats conformes au RGPD (art. 28) :

Sous-traitantRôleLocalisationGaranties
SupabaseHébergement base de données PostgreSQL et stockage des factures PDFEU (Frankfurt)DPA RGPD — supabase.com/legal/dpa
VercelHébergement applicatif Next.js et serveurs edgeÉtats-UnisDPA RGPD intégré aux CGS — Clauses Contractuelles Types
StripePaiement, facturation et envoi des reçus/facturesÉtats-Unis (EU data dans l'EEE)Certifié PCI-DSS Level 1 — DPA RGPD intégré aux CGS — Data Privacy Framework EU-US
ResendEnvoi d'emails transactionnels (vérification, relances, notifications)États-UnisDPA RGPD — resend.com/legal/dpa
Google (OAuth)AuthentificationEU + US (SCCs)Google Cloud DPA
OpenRouterGateway vers les modèles IA (Gemini, Claude) pour catégorisation et extractionÉtats-Unis (Cloudflare)DPA via Privacy Policy OpenRouter — les requêtes ne sont pas utilisées pour l'entraînement
Anthropic (Claude API)Catégorisation IA des transactions et extraction de facturesÉtats-UnisAnthropic DPA — les données ne sont pas utilisées pour l'entraînement
Google (Gemini via OpenRouter)Catégorisation IA des transactionsÉtats-Unis (transferts encadrés par OpenRouter)Conditions OpenRouter + Google AI — pas d'entraînement sur les requêtes API
Frankfurter APITaux de change en temps réelEU (open source)Données publiques, pas de données personnelles transmises

* Une connexion bancaire automatique via agrégateur agréé DSP2 (type Bridge by Bankin') pourrait être ajoutée ultérieurement. Cette fonctionnalité, lorsqu'elle sera disponible, fera l'objet d'une mise à jour de cette politique et d'un consentement explicite distinct.

Aucune donnée n'est vendue à des tiers ou utilisée à des fins publicitaires.

5. Transferts hors Union européenne

Certains sous-traitants (Vercel, Stripe, Resend, Google, OpenRouter, Anthropic) sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes suivants :

  • Vercel : Clauses Contractuelles Types (CCT) intégrées aux Data Processing Addendum, hébergement multi-région (notamment EU pour les déploiements production)
  • Stripe : Certifié PCI-DSS Level 1, DPA RGPD intégré aux conditions générales de service, adhésion au Data Privacy Framework EU-US, données de paiement traitées dans l'EEE
  • Resend : Accord de traitement des données (DPA) conforme au RGPD, Clauses Contractuelles Types (CCT)
  • Google : Clauses Contractuelles Types (CCT) adoptées par la Commission européenne + adhésion au Data Privacy Framework EU-US
  • OpenRouter : transit des requêtes IA vers le modèle choisi (Google Gemini, Anthropic Claude). Pas de stockage long terme côté OpenRouter, pas d'utilisation pour l'entraînement
  • Anthropic : Accord de traitement des données (DPA) avec engagement de non-utilisation des données pour l'entraînement des modèles

Vous pouvez obtenir une copie de ces garanties en contactant contact@comptabilities.fr.

6. Vos droits

Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :

DroitCe que vous pouvez demander
Droit d'accès (art. 15)Obtenir une copie de toutes les données vous concernant
Droit de rectification (art. 16)Corriger des données inexactes ou incomplètes
Droit à l'effacement (art. 17)Supprimer votre compte et vos données (sous réserve des obligations légales de conservation)
Droit à la portabilité (art. 20)Recevoir vos données dans un format structuré et lisible par machine (JSON, CSV)
Droit d'opposition (art. 21)Vous opposer au traitement fondé sur l'intérêt légitime
Droit à la limitation (art. 18)Suspendre temporairement le traitement de vos données
Retrait du consentementRetirer à tout moment un consentement donné (connexion bancaire, cookies analytics)

Pour exercer vos droits, contactez-nous à contact@comptabilities.fr. Nous vous répondrons dans un délai maximum de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr

Pour exercer vos droits : contact@comptabilities.fr

7. Cookies

Comptabilities utilise uniquement les cookies suivants :

CookieTypeFinalitéDurée
next-auth.session-tokenStrictement nécessaireMaintien de la session authentifiée30 jours (renouvelé à chaque connexion)
next-auth.csrf-tokenStrictement nécessaireProtection contre les attaques CSRFSession
next-auth.callback-urlStrictement nécessaireRedirection après connexionSession

Ces cookies sont strictement nécessaires au fonctionnement du service et ne requièrent pas de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ou de tracking tiers n'est utilisé.

8. Sécurité

Nous mettons en œuvre les mesures de sécurité techniques et organisationnelles suivantes :

  • Chiffrement des mots de passe (bcrypt, coût 12)
  • Transport chiffré (HTTPS / TLS 1.2+) pour toutes les communications
  • Chiffrement au repos de la base de données (AES-256 par Supabase)
  • Séparation des droits d'accès base de données (clé anonyme vs clé service role)
  • Row Level Security (RLS) activé sur toutes les tables, isolation multi-tenant stricte
  • Stockage des factures dans un bucket privé avec URLs signées à durée limitée
  • Authentification par session sécurisée (NextAuth, JWT 4 heures max)
  • Accès administrateur restreint par rôles et permissions granulaires
  • Sauvegarde automatique Supabase (point-in-time recovery)
  • Idempotence des webhooks Stripe pour éviter les doubles traitements
  • Audit logs des actions sensibles avec rétention 12 mois

En cas de violation de données présentant un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l'article 33 du RGPD.

9. Modifications de la politique

La présente politique peut être mise à jour pour refléter l'évolution du service ou des obligations légales. En cas de modification substantielle, vous serez informé par email avec un préavis de 30 jours.

10. Contact

Pour toute question relative à cette politique ou à vos données personnelles :

Tissy

Email : contact@comptabilities.fr

Adresse : 128 rue de la Boétie, 75008 Paris