Politique de confidentialité RGPD
Date de dernière mise à jour : 5 mai 2026
1. Introduction
Polsia Inc. (ci-après « nous », « notre », « Doxilio ») accorde une importance particulière à la protection de vos données personnelles. La présente politique de confidentialité vous informe de la manière dont nous collectons, utilisons, stockons et protégeons vos données dans le cadre de l'utilisation du service Doxilio, conformément au Règlement Général sur la Protection des Données (RGPD - UE 2016/679) et à la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Responsable du traitement :
Polsia Inc.
Société de droit américain (Delaware, États-Unis)
Email : dpo@polsia.com
2. Données personnelles collectées
Dans le cadre de l'utilisation de Doxilio, nous collectons les catégories de données personnelles suivantes :
| Catégorie de données | Exemples | Base légale |
|---|---|---|
| Données d'identification | Nom, prénom, email, mot de passe (hashé), numéro de téléphone | Exécution du contrat |
| Données professionnelles | Nom de l'entreprise, SIRET, adresse professionnelle, secteur d'activité, numéro de TVA | Exécution du contrat |
| Données de facturation | Factures, devis, montants, dates, références clients | Exécution du contrat + Obligations légales (conservation comptable) |
| Données de contacts clients | Nom, email, téléphone, adresse des clients de l'utilisateur | Exécution du contrat (gestion administrative) |
| Données de connexion | Adresse IP, logs de connexion, cookies de session | Intérêt légitime (sécurité du service) |
| Données d'utilisation | Historique d'utilisation, pages consultées, fonctionnalités utilisées | Intérêt légitime (amélioration du service) |
| Données de paiement | Informations de paiement traitées via Stripe (non stockées directement par Doxilio) | Exécution du contrat |
| Données d'authentification renforcée (2FA SMS) | Numéro de téléphone mobile (pour réception de codes SMS à 6 chiffres), journaux d'envoi (horodatage, statut de validation/échec) | Intérêt légitime (sécurité du compte) ou exécution du contrat (si 2FA rendu obligatoire) |
| Données de vérification SIRET (API INSEE) | Numéro SIRET soumis par l'utilisateur ; réponse de l'API SIRENE (dénomination, adresse, code NAF, statut radiation) ; jeton anonymisé de confirmation de validité | Exécution du contrat + intérêt légitime (lutte contre la fraude à l'identité) |
3. Finalités du traitement
Nous utilisons vos données personnelles pour les finalités suivantes :
- Fourniture du service : Créer et gérer votre compte, générer des devis et factures, envoyer des relances automatiques, gérer vos contacts clients
- Gestion administrative et comptable : Facturation, recouvrement, respect des obligations comptables
- Amélioration du service : Analyse de l'utilisation, statistiques anonymisées, développement de nouvelles fonctionnalités
- Sécurité et prévention des fraudes : Détection des comportements suspects, protection contre les accès non autorisés
- Communication : Envoi d'emails transactionnels (confirmations, notifications), support client
- Conformité légale : Respect des obligations légales (conservation des factures pendant 10 ans, coopération avec les autorités)
4. Base légale du traitement
Conformément à l'article 6 du RGPD, les traitements de données personnelles reposent sur les bases légales suivantes :
- Exécution du contrat : Le traitement est nécessaire à l'exécution du contrat vous liant à Doxilio (article 6.1.b)
- Obligations légales : Certains traitements sont nécessaires pour respecter des obligations légales, notamment la conservation des factures (article 6.1.c)
- Intérêt légitime : Certains traitements reposent sur notre intérêt légitime à assurer la sécurité et l'amélioration du service (article 6.1.f)
- Consentement : Pour les traitements non nécessaires à la fourniture du service (ex : newsletter marketing), votre consentement explicite sera recueilli (article 6.1.a)
5. Destinataires des données
Vos données personnelles sont accessibles uniquement aux personnes et entités suivantes :
5.1. Personnel autorisé de Polsia Inc.
Les salariés et sous-traitants de Polsia Inc. ayant besoin d'accéder aux données pour assurer le fonctionnement, la maintenance et le support du service.
5.2. Sous-traitants techniques
- Render Services Inc. (hébergement web, États-Unis/Europe)
- Neon Database (hébergement base de données, Europe/États-Unis)
- Stripe Inc. (traitement sécurisé des paiements par carte bancaire)
- Postmark / ActiveCampaign LLC (envoi d'emails transactionnels : confirmations, relances, notifications)
- Anthropic PBC (traitement IA pour génération de documents et relances automatiques)
Ces prestataires agissent en qualité de sous-traitants au sens du RGPD et sont soumis à des obligations contractuelles strictes de sécurité et de confidentialité.
5.3. Autorités légales
En cas de réquisition judiciaire ou administrative, nous pouvons être amenés à communiquer des données personnelles aux autorités compétentes.
6. Transferts de données hors UE
Certains de nos sous-traitants (Render, Stripe, Postmark, Anthropic) sont basés aux États-Unis. Les transferts de données personnelles hors de l'Espace Économique Européen (EEE) sont encadrés par les mécanismes juridiques suivants, conformément au Chapitre V du RGPD :
Nota bene : Le Privacy Shield EU-États-Unis a été invalidé par la Cour de Justice de l'Union Européenne (arrêt Schrems II, C-311/18, 16 juillet 2020) et ne constitue plus une base légale valide pour les transferts de données vers les États-Unis.
-
EU-US Data Privacy Framework (DPF) : décision d'adéquation de la Commission européenne du 10 juillet 2023 (décision UE 2023/1795) pour les sous-traitants américains certifiés DPF.
- Stripe Inc. — certifié DPF (traitement des paiements)
- Anthropic PBC — Clauses Contractuelles Types (CCT) version 2021 adoptées par décision d'exécution (UE) 2021/914
- ActiveCampaign LLC (Postmark) — certifié DPF (envoi d'emails transactionnels)
-
Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision 2021/914) pour les sous-traitants non couverts par le DPF :
- Render Services Inc. — CCT pour le transfert vers des pays tiers
- Neon Database — CCT (hébergement EU préféré si disponible)
- Mesures techniques complémentaires : chiffrement des données en transit (TLS 1.3) et au repos, pseudonymisation des données d'analyse, minimisation des données transmises aux sous-traitants.
Nous veillons à ce que tout transfert hors EEE repose sur un mécanisme juridique valide et que vos données bénéficient d'un niveau de protection substantiellement équivalent à celui garanti au sein de l'Union européenne. Vous pouvez obtenir une copie des garanties applicables en nous contactant à dpo@polsia.com.
7. Durée de conservation des données
Nous conservons vos données personnelles pendant les durées suivantes :
| Catégorie de données | Durée de conservation | Justification |
|---|---|---|
| Données de compte actif | Pendant toute la durée d'utilisation du service | Exécution du contrat |
| Factures et devis | 10 ans après clôture de l'exercice comptable | Obligation légale (article L.123-22 du Code de commerce) |
| Données de compte supprimé | 30 jours après suppression du compte | Délai de rétractation, récupération en cas d'erreur |
| Logs de connexion | 12 mois | Obligation légale (LCEN, article 6-II) |
| Données de paiement | 13 mois (carte bancaire, via Stripe uniquement) | Gestion des litiges et contestations |
| Données de prospects (non-clients) | 3 ans à compter du dernier contact | Intérêt légitime (prospection commerciale) |
| Numéro de téléphone 2FA (SMS) | Pendant toute la durée d'activation du 2FA sur le compte ; supprimé dans les 30 jours suivant la désactivation du 2FA | Exécution du contrat (sécurité) |
| Journaux de codes SMS 2FA | 12 mois maximum | Intérêt légitime (traçabilité des incidents de sécurité, article 6-II LCEN) |
| Données de vérification SIRET (API INSEE) | Numéro SIRET : pendant toute la durée d'activité du compte. Réponse API (dénomination, adresse, code NAF) : 5 ans après fermeture du compte. Jeton de validation : 12 mois. | Exécution du contrat + intérêt légitime (lutte contre la fraude) |
À l'issue de ces durées, vos données sont supprimées de manière sécurisée et irréversible.
8. Sécurité des données
Nous mettons en œuvre toutes les mesures techniques et organisationnelles appropriées pour protéger vos données contre :
- L'accès non autorisé
- La divulgation, l'altération ou la destruction accidentelle ou illicite
- La perte ou le vol de données
Ces mesures incluent notamment :
- Chiffrement des données : Toutes les communications sont chiffrées via HTTPS (TLS 1.3). Les mots de passe sont hashés avec bcrypt.
- Sauvegardes régulières : Sauvegardes quotidiennes automatiques avec conservation sur 30 jours
- Authentification sécurisée : Politique de mots de passe renforcée, sessions sécurisées
- Contrôle d'accès : Accès limité aux seules personnes autorisées
- Surveillance et audit : Monitoring des accès et des incidents de sécurité
9. Vos droits (RGPD)
Conformément au RGPD, vous disposez des droits suivants :
9.1. Droit d'accès (article 15)
Vous pouvez demander à accéder à l'ensemble de vos données personnelles traitées par Doxilio.
9.2. Droit de rectification (article 16)
Vous pouvez demander la correction de vos données inexactes ou incomplètes directement depuis votre compte ou en nous contactant.
9.3. Droit à l'effacement / « droit à l'oubli » (article 17)
Vous pouvez demander la suppression de vos données, sous réserve des obligations légales de conservation (par exemple, les factures doivent être conservées 10 ans).
9.4. Droit à la limitation du traitement (article 18)
Vous pouvez demander la suspension temporaire du traitement de vos données dans certains cas (contestation de l'exactitude, opposition au traitement).
9.5. Droit à la portabilité (article 20)
Vous pouvez récupérer vos données dans un format structuré, couramment utilisé et lisible par machine (CSV, JSON) pour les transférer à un autre service.
9.6. Droit d'opposition (article 21)
Vous pouvez vous opposer au traitement de vos données pour des motifs légitimes, notamment pour les traitements reposant sur l'intérêt légitime (prospection commerciale, statistiques).
9.7. Droit de retirer votre consentement (article 7)
Si un traitement repose sur votre consentement, vous pouvez le retirer à tout moment sans affecter la licéité du traitement antérieur.
9.8. Droit de définir des directives post-mortem (article 85 de la loi Informatique et Libertés)
Vous pouvez définir des directives relatives au sort de vos données après votre décès.
10. Exercer vos droits
Pour exercer vos droits, vous pouvez :
- Accéder aux paramètres de votre compte sur doxilio.fr
- Envoyer un email à notre Délégué à la Protection des Données (DPO) : dpo@polsia.com
Délai de réponse : Nous nous engageons à répondre à votre demande dans un délai maximum de 1 mois à compter de la réception de votre demande. Ce délai peut être prolongé de 2 mois en cas de complexité ou de volume élevé de demandes.
Justificatif d'identité : Afin de garantir la sécurité de vos données, nous pourrons vous demander de fournir une copie d'une pièce d'identité pour traiter votre demande.
11. Réclamation auprès de la CNIL
Si vous estimez que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de l'autorité de contrôle française :
Commission Nationale de l'Informatique et des Libertés (CNIL)
3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, France
Téléphone : 01 53 73 22 22
Site web : www.cnil.fr
12. Cookies et traceurs
Doxilio utilise uniquement les cookies suivants :
- Cookie de session (connect.sid) : Authentification et maintien de session utilisateur. Ce cookie est strictement nécessaire au fonctionnement du service ; sans lui, l'utilisateur ne peut pas rester connecté. Durée : 30 jours. Aucun consentement préalable requis (article 82 de la loi Informatique et Libertés, guidelines CNIL sur les cookies exemptés).
-
Cookie d'analyse de fréquentation (polsia_vid) : Ce cookie est utilisé exclusivement pour mesurer la fréquentation du service (comptage de visiteurs uniques). Il bénéficie de l'exemption de consentement prévue par la délibération CNIL n° 2020-091 du 17 septembre 2020 sous réserve du respect des conditions cumulatives suivantes, que Doxilio respecte :
- Finalité strictement limitée à la mesure d'audience interne (pas de finalité publicitaire)
- Données non recoupées avec d'autres traitements ni transmises à des tiers
- Données utilisées pour la production de statistiques anonymes uniquement
- Cookie limité à un sous-domaine Doxilio (pas de tracking inter-sites)
- Durée de vie limitée à 13 mois maximum
- Information des utilisateurs dans la présente politique
Aucun cookie publicitaire ou de traçage tiers n'est utilisé.
Vous pouvez configurer votre navigateur pour bloquer les cookies, mais cela peut affecter le fonctionnement de l'application (impossibilité de rester connecté). Pour le cookie de session, le blocage empêche toute utilisation du service.
13. Utilisation de l'intelligence artificielle
Doxilio utilise des modèles d'intelligence artificielle (fournis par Anthropic) pour générer automatiquement :
- Des devis et factures à partir de descriptions en langage naturel
- Des messages de relance personnalisés
- Des attestations fiscales conformes à la réglementation
Garanties :
- Les données traitées par l'IA ne sont pas utilisées pour entraîner les modèles (conformément à la politique d'Anthropic)
- Les données sont traitées de manière temporaire et ne sont pas stockées par le prestataire IA au-delà du traitement
- L'utilisateur reste responsable de la vérification et de la validation des documents générés avant envoi à ses clients
14. Mineurs
Le service Doxilio est destiné aux professionnels et n'est pas destiné aux mineurs de moins de 18 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous avez connaissance qu'un mineur a créé un compte, merci de nous contacter immédiatement.
15. Modifications de la politique de confidentialité
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment pour refléter les évolutions réglementaires, technologiques ou de notre service.
En cas de modification substantielle, nous vous informerons par email ou via une notification dans l'application au moins 30 jours avant l'entrée en vigueur des changements.
La version en vigueur est toujours accessible sur doxilio.fr/politique-rgpd.html.
16. Contact du Délégué à la Protection des Données (DPO)
Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits :
Délégué à la Protection des Données (DPO)
Shiyntum Mbock
Email : shiyntum.mbock@gmail.com
Téléphone : 07 88 76 35 12
17. Vérification du numéro SIRET via l'API INSEE
Dans le cadre de votre inscription et de la création de votre espace professionnel sur Doxilio, nous vérifions la validité de votre numéro SIRET (Système d'Identification du Répertoire des Établissements) auprès de l'Institut national de la statistique et des études économiques (INSEE) via l'API SIRENE.
17.1. Données collectées et traitées
- Numéro SIRET que vous nous transmettez lors de votre inscription
- Réponse de l'API INSEE : dénomination sociale, adresse du siège, code NAF (nomenclature d'activités française), forme juridique, indicateur de radiation (actif/inactif)
- Jeton de validation : token anonymisé confirmant que le SIRET a été vérifié avec succès, stocké en base
17.2. Finalité du traitement (article 13 RGPD)
La vérification du numéro SIRET poursuit les finalités suivantes :
- Validation de l'identité professionnelle : confirmer que l'utilisateur est bien affilié à une entreprise régulièrement immatriculée au Répertoire SIREN
- Pré-remplissage des informations de facturation : reprendre automatiquement la dénomination sociale et l'adresse de l'entreprise depuis les données INSEE pour accélérer la création du compte
- Lutte contre la fraude à l'identité : détecter les numéros SIRET fictifs ou belong à des entreprises radiées
- Conformité aux obligations légales : toute entreprise facturée en France doit être identifiable par son SIRET (article L.123-22 du Code de commerce)
17.3. Base légale
Le traitement repose sur deux bases légales cumulatives :
- Exécution du contrat (article 6.1.b RGPD) : la vérification du SIRET est nécessaire à l'exécution du contrat de fourniture du service Doxilio, car elle conditionne la création d'un espace professionnel conforme
- Intérêt légitime (article 6.1.f RGPD) : Polsia Inc. a un intérêt légitime à lutter contre la fraude à l'identité et à garantir l'intégrité de son service
17.4. Destinataires des données
Votre numéro SIRET est transmis exclusively à l'INSEE (via l'API SIRENE). Les données de réponse (dénomination, adresse, etc.) sont stockées en base de données sécurisée (hébergée par Neon Database / Render). Aucun autre tiers n'est destinataire de ces données.
17.5. Transferts hors UE
Les données de l'INSEE sont hébergées en France/Europe. Les données stockées par Doxilio transitent via les mêmes mécanismes que les autres données (voir section 6 : CCT avec Render / Neon Database).
17.6. Conservation
Le numéro SIRET est conservé pendant toute la durée d'activité de votre compte. En cas de suppression de compte, il est supprimé dans un délai de 30 jours. La réponse de l'API INSEE (dénomination, adresse, code NAF) est conservée pendant 5 ans après la fermeture du compte pour des raisons de traçabilité et de conformité. Le jeton de validation est conservé 12 mois.
17.7. Vos droits
Vous pouvez exercer vos droits d'accès, de rectification et d'effacement sur les données de vérification SIRET vous concernant (voir section 9). La rectification du numéro SIRET est possible depuis les paramètres de votre compte. Le droit à l'effacement est applicable dans les limites des obligations légales de conservation comptable (10 ans pour les factures).
18. Authentification à deux facteurs (2FA) par SMS
Doxilio peut vous proposer ou vous imposer l'authentification à deux facteurs (2FA) par envoi d'un code de vérification à usage unique (OTP) par SMS sur votre téléphone mobile.
18.1. Données collectées et traitées
- Numéro de téléphone mobile : le numéro que vous nous fournissez pour recevoir les codes SMS. Ce numéro est stocké de manière sécurisée et chiffrée.
- Code SMS à 6 chiffres : code généré de manière aléatoire, envoyé en clair par notre prestataire SMS. Ce code a une validité de 5 minutes et est détruit immédiatement après vérification.
- Journaux d'envoi : horodatage de chaque envoi de code, indicateur de succès/échec de validation, adresse IP au moment de la demande (pour des raisons de sécurité et de traçabilité).
18.2. Finalité du traitement (article 13 RGPD)
- Sécurité du compte : protéger votre compte Doxilio contre les accès non autorisés en cas de compromission de votre mot de passe
- Prévention de la fraude : empêcher l'usurpation d'identité et les accès frauduleux
- Traçabilité des incidents de sécurité : journaliser les tentatives d'authentification pour détecter des comportements suspects
18.3. Base légale
Si le 2FA est facultatif : le traitement repose sur votre consentement explicite (article 6.1.a RGPD). Vous pouvez refuser ou désactiver le 2FA à tout moment (sous réserve qu'il ne soit pas devenu obligatoire entre-temps). Le retrait du consentement vaut uniquement pour les traitements futurs, non pour les traitements passés.
Si le 2FA est rendu obligatoire : par décision de Polsia Inc. (renforcement de la sécurité pour tous les utilisateurs) ou par obligation réglementaire, la base légale est l'exécution du contrat (article 6.1.b RGPD). Dans ce cas, le refus du 2FA peut entraîner l'impossibilité d'accéder au service.
18.4. Prestataire de services SMS
Les codes SMS sont envoyés via un prestataire tiers de routage SMS (sous-traitant au sens du RGPD). Ce prestataire agit uniquement sur nos instructions et n'utilise pas vos données pour ses propres finalités. L'identité du prestataire est disponible sur demande auprès de notre DPO.
18.5. Durée de conservation
- Numéro de téléphone : conservé pendant toute la durée d'activation du 2FA sur votre compte. Supprimé dans les 30 jours suivant la désactivation du 2FA.
- Codes SMS : non stockés (ils sont vérifiés en temps réel et détruits après validation ou expiration).
- Journaux d'envoi : conservés pendant 12 mois maximum, conformément à l'obligation de traçabilité de l'article 6-II de la LCEN (Loi pour la Confiance dans l'Économie Numérique).
18.6. Vos droits
Vous pouvez à tout moment désactiver le 2FA SMS (si le 2FA est facultatif) et choisir une méthode alternative (application d'authentification TOTP). Vous pouvez exercer votre droit d'effacement sur votre numéro de téléphone en désactivant le 2FA ou en nous contactant à dpo@polsia.com.
18.7. Pas d'utilisation du numéro à des fins de marketing
Votre numéro de téléphone utilisé pour le 2FA n'est jamais utilisé à des fins de marketing, de prospection ou de communication non sollicitée. Il est exclusively destiné à l'envoi des codes de vérification.