Politique de confidentialité
Dernière mise à jour : 26 mars 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via Comptabilities est :
Tissy
SARL au capital de 1 000 €
128 rue de la Boétie, 75008 Paris
SIREN : 899 344 477 — TVA : FR74 899 344 477
Contact RGPD : contact@comptabilities.fr
2. Données collectées et finalités
| Catégorie de données | Données concernées | Finalité | Base légale |
|---|---|---|---|
| Identité | Nom, prénom, adresse email | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b RGPD) |
| Authentification tierce | Jeton OAuth Google (lecture profil) | Connexion via Google | Consentement (art. 6.1.a RGPD) |
| Données financières professionnelles | Transactions bancaires, montants, descriptions, catégories, factures PDF | Fonctionnement du service de pré-comptabilité | Exécution du contrat (art. 6.1.b RGPD) |
| Données d'entreprise | Noms des sociétés, comptes bancaires, prestataires, collaborateurs | Gestion multi-entités et analytique | Exécution du contrat (art. 6.1.b RGPD) |
| Données de navigation | Logs d'accès, adresse IP, actions en session | Sécurité, détection de fraude, débogage | Intérêt légitime (art. 6.1.f RGPD) |
| Données bancaires (à venir) | Soldes et transactions via agrégateur bancaire agréé DSP2 | Synchronisation automatique des transactions | Consentement explicite (art. 6.1.a RGPD) |
* La fonctionnalité de connexion bancaire automatique, lorsqu'elle sera disponible, nécessitera un consentement explicite distinct et renouvelable tous les 90 jours conformément à la DSP2.
3. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte (nom, email) | Durée du compte + 3 ans après clôture |
| Données financières et comptables | 10 ans à compter de l'exercice comptable (obligation légale) |
| Factures PDF | 10 ans (obligation légale comptable) |
| Logs de sécurité / d'accès | 12 mois glissants |
| Consentements bancaires DSP2 | Durée du consentement + 5 ans (preuve) |
À l'expiration de ces délais, les données sont supprimées définitivement ou anonymisées de manière irréversible.
4. Destinataires et sous-traitants
Vos données sont traitées par les sous-traitants suivants, liés par des contrats conformes au RGPD (art. 28) :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Hébergement base de données PostgreSQL | EU (Frankfurt, à confirmer) | DPA RGPD — supabase.com/privacy |
| Stripe | Paiement, facturation et envoi des reçus/factures | États-Unis (EU data dans l'EEE) | Certifié PCI-DSS Level 1 — DPA RGPD intégré aux CGS — Data Privacy Framework EU-US |
| Resend | Envoi d'emails transactionnels (vérification, relances, notifications) | États-Unis | DPA RGPD — resend.com/legal/dpa |
| Google (OAuth) | Authentification | EU + US (SCCs) | Google Cloud DPA |
| Anthropic (Claude API) | Catégorisation IA des transactions | États-Unis | Anthropic DPA — les données ne sont pas utilisées pour l'entraînement |
| Frankfurter API | Taux de change en temps réel | EU (open source) | Données publiques, pas de données personnelles transmises |
| Bridge by Bankin' (à venir) | Agrégation bancaire DSP2 | France (agréé ACPR) | Agréé AISP — données bancaires non stockées par l'agrégateur |
Aucune donnée n'est vendue à des tiers ou utilisée à des fins publicitaires.
5. Transferts hors Union européenne
Certains sous-traitants (Google, Anthropic) sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes suivants :
- Stripe : Certifié PCI-DSS Level 1, DPA RGPD intégré aux conditions générales de service, adhésion au Data Privacy Framework EU-US, données de paiement traitées dans l'EEE
- Resend : Accord de traitement des données (DPA) conforme au RGPD, Clauses Contractuelles Types (CCT)
- Google : Clauses Contractuelles Types (CCT) adoptées par la Commission européenne + adhésion au Data Privacy Framework EU-US
- Anthropic : Accord de traitement des données (DPA) avec engagement de non-utilisation des données pour l'entraînement des modèles
Vous pouvez obtenir une copie de ces garanties en contactant contact@comptabilities.fr.
6. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
| Droit | Ce que vous pouvez demander |
|---|---|
| Droit d'accès (art. 15) | Obtenir une copie de toutes les données vous concernant |
| Droit de rectification (art. 16) | Corriger des données inexactes ou incomplètes |
| Droit à l'effacement (art. 17) | Supprimer votre compte et vos données (sous réserve des obligations légales de conservation) |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine (JSON, CSV) |
| Droit d'opposition (art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime |
| Droit à la limitation (art. 18) | Suspendre temporairement le traitement de vos données |
| Retrait du consentement | Retirer à tout moment un consentement donné (connexion bancaire, cookies analytics) |
Pour exercer vos droits, contactez-nous à contact@comptabilities.fr. Nous vous répondrons dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
Pour exercer vos droits : contact@comptabilities.fr
7. Cookies
Comptabilities utilise uniquement les cookies suivants :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
| next-auth.session-token | Strictement nécessaire | Maintien de la session authentifiée | 30 jours (renouvelé à chaque connexion) |
| next-auth.csrf-token | Strictement nécessaire | Protection contre les attaques CSRF | Session |
| next-auth.callback-url | Strictement nécessaire | Redirection après connexion | Session |
Ces cookies sont strictement nécessaires au fonctionnement du service et ne requièrent pas de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
8. Sécurité
Nous mettons en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
- Chiffrement des mots de passe (bcrypt, coût 12)
- Transport chiffré (HTTPS / TLS 1.2+) pour toutes les communications
- Séparation des droits d'accès base de données (clé anonyme vs clé service role)
- Authentification par session sécurisée (NextAuth)
- Accès administrateur restreint par rôles
- Sauvegarde automatique Supabase (point-in-time recovery)
En cas de violation de données présentant un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l'article 33 du RGPD.
9. Modifications de la politique
La présente politique peut être mise à jour pour refléter l'évolution du service ou des obligations légales. En cas de modification substantielle, vous serez informé par email avec un préavis de 30 jours.
10. Contact
Pour toute question relative à cette politique ou à vos données personnelles :