Conformité RGPD
Comment Finovia se conforme au Règlement Général sur la Protection des Données (UE) 2016/679.
Chez Finovia, nous prenons la protection des données au sérieux. Cette page explique comment nous nous conformons au Règlement Général sur la Protection des Données (RGPD) et comment nous protégeons les données personnelles de nos utilisateurs. En tant que plateforme traitant des données de facturation et commerciales, nous comprenons l'importance de la confiance et de la transparence.
1. Responsable du traitement
Aronis, exploitant la plateforme Finovia, est le responsable du traitement des données personnelles collectées via le Service. Pour les données saisies par nos utilisateurs (factures, fiches clients, etc.), nos utilisateurs sont les responsables du traitement et Finovia agit en tant que sous-traitant.
- Contact protection des données : [email protected]
- Adresse : 92 place des cistes 13400 Aubagne
2. Activités de traitement des données
2.1 En tant que responsable du traitement
Nous traitons les données personnelles suivantes pour la gestion des comptes et la fourniture du service :
| Catégorie de données | Finalité | Base juridique | Conservation |
|---|---|---|---|
| Nom, email | Création de compte et authentification | Contrat | Durée du compte + 30 jours |
| Informations de paiement (via Stripe) | Facturation de l'abonnement | Contrat | 10 ans (obligation légale) |
| IP, navigateur, appareil | Sécurité et analyses | Intérêt légitime | 12 mois |
| Adresse email | Communications marketing | Consentement | Jusqu'au retrait |
2.2 En tant que sous-traitant
Lorsque nos utilisateurs créent des factures, devis et fiches clients, ils saisissent les données personnelles de leurs propres clients et contacts. Dans ce contexte, Finovia agit en tant que sous-traitant pour le compte de nos utilisateurs (responsables du traitement). Nous traitons ces données uniquement selon les instructions de nos utilisateurs et conformément à nos Conditions Générales d'Utilisation.
3. Sous-traitants ultérieurs
Nous faisons appel aux sous-traitants ultérieurs suivants pour fournir notre Service :
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| Stripe | Traitement des paiements | États-Unis (CCT en place) |
| Resend | Emails transactionnels | États-Unis (CCT en place) |
| Google Analytics | Analyses du site web | États-Unis (CCT, basé sur le consentement) |
| Hébergeur | Hébergement de l'infrastructure | France / UE |
4. Localisation du stockage des données
Toutes les données principales (bases de données, fichiers, sauvegardes) sont stockées sur des serveurs situés dans l'Union européenne (France). Nous ne transférons pas vos données en dehors de l'UE, sauf via les sous-traitants listés ci-dessus, qui disposent de garanties appropriées (Clauses Contractuelles Types) conformément au Chapitre V du RGPD.
5. Mesures techniques et organisationnelles
Nous mettons en oeuvre les mesures suivantes pour protéger les données personnelles (RGPD Art. 32) :
- Chiffrement en transit : Toutes les données transmises via HTTPS avec TLS 1.2 ou supérieur.
- Chiffrement au repos : Base de données et stockage de fichiers chiffrés au niveau de l'infrastructure.
- Authentification : Hachage sécurisé des mots de passe (bcrypt), support OAuth 2.0, sessions basées sur des jetons avec expiration automatique.
- Contrôle d'accès : Contrôle d'accès basé sur les rôles (RBAC) avec isolation des données par entreprise via des filtres de requêtes au niveau de la base de données.
- Surveillance : Vérifications automatisées de l'état de tous les services d'infrastructure (base de données, cache, API, prestataire de paiement) avec alertes en temps réel.
- Sauvegardes : Sauvegardes automatisées régulières avec capacité de restauration à un point dans le temps.
- Réponse aux incidents : Procédure documentée de réponse aux incidents avec notification de violation sous 72 heures aux autorités de contrôle conformément à l'Art. 33 du RGPD.
6. Vos droits en vertu du RGPD
En tant que personne concernée, vous disposez des droits suivants en vertu du RGPD :
Droit d'accès (Art. 15)
Vous avez le droit d'obtenir la confirmation que nous traitons vos données personnelles et de recevoir une copie de ces données. Vous pouvez exporter vos données directement depuis les paramètres de votre compte Finovia.
Droit de rectification (Art. 16)
Vous pouvez corriger les données inexactes directement dans votre compte ou en nous contactant.
Droit à l'effacement (Art. 17)
Vous pouvez demander la suppression de votre compte et de vos données personnelles. Veuillez noter que nous sommes légalement tenus de conserver certains documents financiers (factures, relevés de paiement) pendant une durée maximale de 10 ans. La suppression du compte peut être initiée depuis les paramètres de votre compte.
Droit à la portabilité des données (Art. 20)
Vous pouvez exporter vos données dans des formats structurés et lisibles par machine (CSV, Excel) depuis votre compte Finovia à tout moment.
Droit à la limitation du traitement (Art. 18)
Vous pouvez demander la limitation du traitement dans certaines circonstances, par exemple lorsque vous contestez l'exactitude des données ou vous opposez au traitement.
Droit d'opposition (Art. 21)
Vous pouvez vous opposer au traitement fondé sur l'intérêt légitime. Pour le marketing direct, vous pouvez vous désabonner à tout moment en utilisant le lien dans nos emails.
7. Comment exercer vos droits
Pour exercer l'un de ces droits, vous pouvez :
- Utiliser les options en libre-service dans les paramètres de votre compte Finovia (export de données, suppression de compte).
- Nous envoyer un email à [email protected] avec votre demande.
- Nous vérifierons votre identité et répondrons dans un délai de 30 jours (prolongeable de 60 jours pour les demandes complexes, avec notification).
8. Cookies et gestion du consentement
Nous implémentons Google Consent Mode v2 pour les analyses. Les cookies strictement nécessaires (authentification, gestion de session) ne requièrent pas de consentement. Les cookies analytiques et marketing ne sont activés qu'après votre consentement explicite via notre bandeau de cookies. Vous pouvez retirer votre consentement à tout moment.
9. Données des mineurs
Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles auprès de mineurs. Si nous apprenons que nous avons collecté des données d'un mineur, nous prendrons les mesures nécessaires pour les supprimer rapidement.
10. Autorité de contrôle
Si vous estimez que vos droits en matière de protection des données ont été violés, vous avez le droit de déposer une réclamation auprès de votre autorité de contrôle locale. Pour les utilisateurs en France, il s'agit de la CNIL (Commission Nationale de l'Informatique et des Libertés) sur www.cnil.fr.
11. Mises à jour de cette page
Nous pouvons mettre à jour cette page de conformité RGPD à mesure que nos pratiques évoluent ou que les réglementations changent. Les modifications substantielles seront communiquées via le Service ou par email.