Politique de confidentialité
Dernière mise à jour : 25 mai 2026
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via Comptabilities est :
Tissy
SARL au capital de 1 000 €
128 rue de la Boétie, 75008 Paris
SIREN : 899 344 477 — TVA : FR74 899 344 477
Contact RGPD : contact@comptabilities.fr
2. Données collectées et finalités
| Catégorie de données | Données concernées | Finalité | Base légale |
|---|---|---|---|
| Identité | Nom, prénom, adresse email | Création et gestion du compte, authentification | Exécution du contrat (art. 6.1.b RGPD) |
| Authentification tierce | Jeton OAuth Google (lecture profil) | Connexion via Google | Consentement (art. 6.1.a RGPD) |
| Données financières professionnelles | Transactions bancaires, montants, descriptions, catégories, factures PDF | Fonctionnement du service de pré-comptabilité | Exécution du contrat (art. 6.1.b RGPD) |
| Données d'entreprise | Noms des sociétés, comptes bancaires, prestataires, collaborateurs | Gestion multi-entités et analytique | Exécution du contrat (art. 6.1.b RGPD) |
| Données de navigation | Logs d'accès, adresse IP, actions en session | Sécurité, détection de fraude, débogage | Intérêt légitime (art. 6.1.f RGPD) |
| Données bancaires (à venir) | Soldes et transactions via agrégateur bancaire agréé DSP2 | Synchronisation automatique des transactions | Consentement explicite (art. 6.1.a RGPD) |
* La fonctionnalité de connexion bancaire automatique, lorsqu'elle sera disponible, nécessitera un consentement explicite distinct et renouvelable tous les 90 jours conformément à la DSP2.
3. Durée de conservation
| Type de données | Durée de conservation |
|---|---|
| Données de compte (nom, email) | Durée du compte + 3 ans après clôture |
| Données financières et comptables | 10 ans à compter de l'exercice comptable (obligation légale) |
| Factures PDF | 10 ans (obligation légale comptable) |
| Logs de sécurité / d'accès | 12 mois glissants |
| Consentements bancaires DSP2 | Durée du consentement + 5 ans (preuve) |
À l'expiration de ces délais, les données sont supprimées définitivement ou anonymisées de manière irréversible.
4. Destinataires et sous-traitants
Vos données sont traitées par les sous-traitants suivants, liés par des contrats conformes au RGPD (art. 28) :
| Sous-traitant | Rôle | Localisation | Garanties |
|---|---|---|---|
| Supabase | Hébergement base de données PostgreSQL et stockage des factures PDF | EU (Frankfurt) | DPA RGPD — supabase.com/legal/dpa |
| Vercel | Hébergement applicatif Next.js et serveurs edge | États-Unis | DPA RGPD intégré aux CGS — Clauses Contractuelles Types |
| Stripe | Paiement, facturation et envoi des reçus/factures | États-Unis (EU data dans l'EEE) | Certifié PCI-DSS Level 1 — DPA RGPD intégré aux CGS — Data Privacy Framework EU-US |
| Resend | Envoi d'emails transactionnels (vérification, relances, notifications) | États-Unis | DPA RGPD — resend.com/legal/dpa |
| Google (OAuth) | Authentification | EU + US (SCCs) | Google Cloud DPA |
| OpenRouter | Gateway vers les modèles IA (Gemini, Claude) pour catégorisation et extraction | États-Unis (Cloudflare) | DPA via Privacy Policy OpenRouter — les requêtes ne sont pas utilisées pour l'entraînement |
| Anthropic (Claude API) | Catégorisation IA des transactions et extraction de factures | États-Unis | Anthropic DPA — les données ne sont pas utilisées pour l'entraînement |
| Google (Gemini via OpenRouter) | Catégorisation IA des transactions | États-Unis (transferts encadrés par OpenRouter) | Conditions OpenRouter + Google AI — pas d'entraînement sur les requêtes API |
| Frankfurter API | Taux de change en temps réel | EU (open source) | Données publiques, pas de données personnelles transmises |
* Une connexion bancaire automatique via agrégateur agréé DSP2 (type Bridge by Bankin') pourrait être ajoutée ultérieurement. Cette fonctionnalité, lorsqu'elle sera disponible, fera l'objet d'une mise à jour de cette politique et d'un consentement explicite distinct.
Aucune donnée n'est vendue à des tiers ou utilisée à des fins publicitaires.
5. Transferts hors Union européenne
Certains sous-traitants (Vercel, Stripe, Resend, Google, OpenRouter, Anthropic) sont établis aux États-Unis. Ces transferts sont encadrés par les mécanismes suivants :
- Vercel : Clauses Contractuelles Types (CCT) intégrées aux Data Processing Addendum, hébergement multi-région (notamment EU pour les déploiements production)
- Stripe : Certifié PCI-DSS Level 1, DPA RGPD intégré aux conditions générales de service, adhésion au Data Privacy Framework EU-US, données de paiement traitées dans l'EEE
- Resend : Accord de traitement des données (DPA) conforme au RGPD, Clauses Contractuelles Types (CCT)
- Google : Clauses Contractuelles Types (CCT) adoptées par la Commission européenne + adhésion au Data Privacy Framework EU-US
- OpenRouter : transit des requêtes IA vers le modèle choisi (Google Gemini, Anthropic Claude). Pas de stockage long terme côté OpenRouter, pas d'utilisation pour l'entraînement
- Anthropic : Accord de traitement des données (DPA) avec engagement de non-utilisation des données pour l'entraînement des modèles
Vous pouvez obtenir une copie de ces garanties en contactant contact@comptabilities.fr.
6. Vos droits
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
| Droit | Ce que vous pouvez demander |
|---|---|
| Droit d'accès (art. 15) | Obtenir une copie de toutes les données vous concernant |
| Droit de rectification (art. 16) | Corriger des données inexactes ou incomplètes |
| Droit à l'effacement (art. 17) | Supprimer votre compte et vos données (sous réserve des obligations légales de conservation) |
| Droit à la portabilité (art. 20) | Recevoir vos données dans un format structuré et lisible par machine (JSON, CSV) |
| Droit d'opposition (art. 21) | Vous opposer au traitement fondé sur l'intérêt légitime |
| Droit à la limitation (art. 18) | Suspendre temporairement le traitement de vos données |
| Retrait du consentement | Retirer à tout moment un consentement donné (connexion bancaire, cookies analytics) |
Pour exercer vos droits, contactez-nous à contact@comptabilities.fr. Nous vous répondrons dans un délai maximum de 30 jours.
Vous disposez également du droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) : www.cnil.fr
Pour exercer vos droits : contact@comptabilities.fr
7. Cookies
Comptabilities utilise uniquement les cookies suivants :
| Cookie | Type | Finalité | Durée |
|---|---|---|---|
| next-auth.session-token | Strictement nécessaire | Maintien de la session authentifiée | 30 jours (renouvelé à chaque connexion) |
| next-auth.csrf-token | Strictement nécessaire | Protection contre les attaques CSRF | Session |
| next-auth.callback-url | Strictement nécessaire | Redirection après connexion | Session |
Ces cookies sont strictement nécessaires au fonctionnement du service et ne requièrent pas de consentement au sens de l'article 82 de la loi Informatique et Libertés. Aucun cookie publicitaire ou de tracking tiers n'est utilisé.
8. Sécurité
Nous mettons en œuvre les mesures de sécurité techniques et organisationnelles suivantes :
- Chiffrement des mots de passe (bcrypt, coût 12)
- Transport chiffré (HTTPS / TLS 1.2+) pour toutes les communications
- Chiffrement au repos de la base de données (AES-256 par Supabase)
- Séparation des droits d'accès base de données (clé anonyme vs clé service role)
- Row Level Security (RLS) activé sur toutes les tables, isolation multi-tenant stricte
- Stockage des factures dans un bucket privé avec URLs signées à durée limitée
- Authentification par session sécurisée (NextAuth, JWT 4 heures max)
- Accès administrateur restreint par rôles et permissions granulaires
- Sauvegarde automatique Supabase (point-in-time recovery)
- Idempotence des webhooks Stripe pour éviter les doubles traitements
- Audit logs des actions sensibles avec rétention 12 mois
En cas de violation de données présentant un risque pour vos droits et libertés, nous nous engageons à vous notifier dans les 72 heures conformément à l'article 33 du RGPD.
9. Modifications de la politique
La présente politique peut être mise à jour pour refléter l'évolution du service ou des obligations légales. En cas de modification substantielle, vous serez informé par email avec un préavis de 30 jours.
10. Contact
Pour toute question relative à cette politique ou à vos données personnelles :
