Politique de Confidentialité
Conforme au Règlement Général sur la Protection des Données (RGPD)
Dernière mise à jour : Décembre 2025 — Version 1.0
Document en cours de préparation – Version Bêta
Certaines informations légales seront complétées avant la mise en production commerciale. Les champs marqués entre crochets [ ] sont en attente de finalisation.
La présente Politique de Confidentialité décrit la manière dont Arqiv collecte, utilise, stocke et protège les données personnelles dans le cadre de l'utilisation de notre plateforme SaaS de gestion documentaire et comptable.
Arqiv est une solution destinée aux cabinets comptables permettant la collecte, la validation et la gestion de documents professionnels. Notre service traite des données pour le compte de cabinets comptables (nos clients) et de leurs propres clients (utilisateurs finaux).
Cette politique s'applique au site vitrine, à l'application SaaS Arqiv, et à toutes les communications associées (emails, SMS, notifications).
Navigation rapide
1. Responsable du Traitement
Le responsable du traitement des données est :
- Nom du service
- Arqiv
- Raison sociale
- [À compléter]
- Siège social
- [À compléter]
- Pays
- Belgique
- Email de contact
- arqiv.contact@gmail.com
- DPO (Délégué à la Protection des Données)
- dpo@arqiv.fr
2. Données Collectées
Dans le cadre de l'utilisation d'Arqiv, les données suivantes sont collectées :
2.1 Données d'identification et d'authentification
| Donnée | Source | Obligatoire |
|---|---|---|
| Adresse email | Inscription | Oui |
| Mot de passe (hashé) | Inscription | Oui |
| Nom complet | Profil | Non |
| Numéro de téléphone | Profil | Non |
| Photo de profil | Profil | Non |
| Nom de l'entreprise | Profil | Non |
| Fonction/Poste | Profil | Non |
2.2 Données relatives aux clients des cabinets
Les cabinets comptables peuvent saisir des informations sur leurs propres clients :
- Nom et prénom / Raison sociale
- Adresse email professionnelle
- Numéro de téléphone
- SIRET (France) / Numéro TVA (Belgique)
- Statut du dossier (actif, urgent, en attente)
2.3 Documents et fichiers uploadés
- Documents comptables (factures, relevés bancaires)
- Documents fiscaux (déclarations, bilans)
- Documents juridiques (contrats, KBIS, pièces d'identité)
- Métadonnées : nom du fichier, type, taille, date d'upload
- Données extraites par OCR/IA : montants, dates, TVA, informations fournisseur
- Résultats de validation : score de confiance, anomalies détectées
2.4 Données de facturation et paiement
- Identifiant client Stripe
- Plan souscrit et statut d'abonnement
- Dates de période de facturation
- Montant et historique des paiements
- URL des factures
Les données de carte bancaire ne sont jamais stockées sur nos serveurs. Elles sont traitées exclusivement par Stripe (certifié PCI-DSS).
2.5 Données techniques et de connexion
- Adresse IP (dans les journaux d'audit)
- User-Agent (navigateur)
- Horodatages des actions
- Actions effectuées (journal d'audit)
2.6 Données de communication
- Historique des emails envoyés (relances documentaires)
- Historique des SMS/WhatsApp (notifications et rappels)
- Contenu des messages
- Statut de lecture
Arqiv n'exploite jamais les données à des fins commerciales ou publicitaires.
3. Finalités des Traitements
3.1 Exécution du contrat
- Création et gestion de votre compte utilisateur
- Fourniture des services de gestion documentaire
- Traitement et validation automatisée des documents
- Gestion des communications avec vos clients (relances)
- Facturation et gestion des abonnements
- Support technique et assistance
3.2 Intérêt légitime
- Amélioration de nos services et de l'expérience utilisateur
- Détection et prévention des fraudes
- Sécurisation de la plateforme
- Statistiques d'utilisation agrégées (anonymisées)
3.3 Obligation légale
- Conservation des documents comptables et fiscaux
- Réponse aux demandes des autorités compétentes
- Traçabilité des opérations (journal d'audit)
3.4 Consentement
- Collecte de données analytiques (PostHog)
- Communications marketing (si consenties)
4. Base Légale des Traitements
| Traitement | Base légale (Art. 6 RGPD) |
|---|---|
| Gestion du compte utilisateur | Exécution du contrat (Art. 6.1.b) |
| Traitement des documents | Exécution du contrat (Art. 6.1.b) |
| Facturation Stripe | Exécution du contrat (Art. 6.1.b) |
| Communications transactionnelles | Exécution du contrat (Art. 6.1.b) |
| Journal d'audit | Intérêt légitime (Art. 6.1.f) |
| Sécurité de la plateforme | Intérêt légitime (Art. 6.1.f) |
| Conservation légale des documents | Obligation légale (Art. 6.1.c) |
| Analytics (PostHog) | Consentement (Art. 6.1.a) |
| Communications marketing | Consentement (Art. 6.1.a) |
5. Destinataires des Données
5.1 Accès interne
Les données sont accessibles à notre équipe technique (maintenance et support), équipe support client, et direction (supervision). Chaque accès est soumis à des règles strictes de confidentialité et au principe du moindre privilège.
5.2 Accès par les cabinets comptables
Les cabinets comptables (nos clients) ont accès aux données de leurs propres clients qu'ils ont saisis dans la plateforme.
Nous ne vendons jamais vos données personnelles à des tiers.
6. Sous-traitants (Article 28 RGPD)
Nous faisons appel aux sous-traitants suivants pour le traitement de vos données :
| Prestataire | Service | Localisation | Garanties |
|---|---|---|---|
| Supabase | Base de données, Auth, Stockage | 🇪🇺 UE (Francfort) | ✓ DPA, SOC2 |
| Google Cloud | Document AI (OCR), Gemini (IA) | 🇪🇺 UE | ✓ DPA, ISO 27001 |
| Vercel | Hébergement application | 🇪🇺 UE (Edge) | ✓ DPA, CCT |
| Stripe | Paiements, Abonnements | 🇪🇺 UE | ✓ PCI-DSS, DPA |
| Resend | Envoi d'emails transactionnels | 🇺🇸 US | ✓ CCT |
| Twilio | SMS et WhatsApp | 🇺🇸 US | ✓ CCT, SOC2 |
| PostHog | Analytics (sur consentement) | 🇪🇺 UE | ✓ DPA |
| Sentry | Monitoring d'erreurs | 🇺🇸 US | ✓ CCT |
| Upstash | Cache Redis, Rate limiting | 🇪🇺 UE | ✓ DPA |
Légende : DPA = Data Processing Agreement, CCT = Clauses Contractuelles Types, SOC2 = Certification SOC2
7. Transferts hors Union Européenne
Certains de nos sous-traitants sont situés en dehors de l'Union Européenne, principalement aux États-Unis. Pour ces transferts, nous mettons en œuvre les garanties suivantes conformément au RGPD :
Mécanismes de transfert
- Clauses Contractuelles Types (CCT) adoptées par la Commission Européenne
- Data Processing Agreements (DPA) spécifiques avec chaque sous-traitant
- Mesures techniques supplémentaires : chiffrement des données en transit et au repos
| Sous-traitant (hors UE) | Pays | Mécanisme de transfert |
|---|---|---|
| Resend | États-Unis | Clauses contractuelles types |
| Twilio | États-Unis | Clauses contractuelles types |
| Sentry | États-Unis | Clauses contractuelles types |
Données conservées exclusivement en UE
- ✓ Base de données principale (Supabase EU - Francfort)
- ✓ Documents uploadés (Supabase Storage EU)
- ✓ Analytics (PostHog EU)
- ✓ Traitement IA (Google Cloud EU)
8. Durées de Conservation
| Type de données | Durée de conservation | Justification |
|---|---|---|
| Compte utilisateur | Durée de la relation + 3 ans | Prescription légale |
| Documents comptables | 10 ans | Obligation légale (Code de commerce) |
| Documents fiscaux | 6 ans | Obligation légale (LPF) |
| Documents sociaux/paie | 5 ans | Obligation légale (Code du travail) |
| Données de facturation | 10 ans | Obligation légale comptable |
| Journaux d'audit | 5 ans | Intérêt légitime (sécurité) |
| Données analytiques | 26 mois | Conformité CNIL |
À l'issue des durées de conservation, les données sont supprimées de manière sécurisée ou anonymisées de manière irréversible pour des finalités statistiques.
9. Sécurité des Données
Mesures techniques
- Chiffrement en transit (HTTPS/TLS 1.3)
- Chiffrement au repos des données sensibles
- Hashage des données PII
- Authentification sécurisée (Supabase Auth)
- Row Level Security (RLS) par utilisateur
- Rate limiting contre les attaques
- URLs signées pour les documents
Mesures organisationnelles
- Principe du moindre privilège
- Journalisation de toutes les actions sensibles
- Contrats de confidentialité
- Sensibilisation à la protection des données
Gestion des incidents
En cas de violation de données personnelles, nous nous engageons à notifier l'autorité de contrôle (CNIL) dans les 72 heures si la violation présente un risque, et à informer les personnes concernées si la violation présente un risque élevé.
10. Droits des Personnes (RGPD)
Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :
Droit d'accès (Art. 15)
Obtenir une copie de vos données personnelles
Droit de rectification (Art. 16)
Corriger vos données inexactes
Droit à l'effacement (Art. 17)
Supprimer vos données personnelles
Droit à la portabilité (Art. 20)
Récupérer vos données au format JSON
Droit à la limitation (Art. 18)
Limiter le traitement de vos données
Droit d'opposition (Art. 21)
S'opposer au traitement
Comment exercer vos droits ?
Par email : dpo@arqiv.fr
Via l'application :
- Accès et portabilité : Paramètres > RGPD > Exporter mes données
- Rectification : Paramètres > Profil
- Effacement : Paramètres > RGPD > Supprimer mon compte
- Gestion des consentements : Paramètres > Confidentialité
Délai de réponse : 1 mois maximum (prolongeable de 2 mois si complexe)
Droit de réclamation
Vous pouvez introduire une réclamation auprès de l'autorité de contrôle compétente :
France :
CNIL - www.cnil.fr
Belgique :
12. Traitement par Intelligence Artificielle
Notre plateforme utilise des technologies d'intelligence artificielle pour :
- Extraction OCR : lecture automatique des documents
- Classification : catégorisation automatique des documents
- Validation : détection d'anomalies et incohérences
- Scoring de risque : évaluation du niveau de risque des dossiers
Traitement par Google Cloud
- • Document AI : extraction OCR des documents
- • Gemini : analyse et validation intelligente
- • Localisation : serveurs Google Cloud UE
- • Conservation : documents supprimés après traitement (pas de stockage long terme par Google)
Décisions automatisées (Article 22 RGPD)
Les traitements automatisés sont des aides à la décision. Toute décision finale concernant la validation ou le rejet d'un document est effectuée par un utilisateur humain. Vous avez le droit d'obtenir une intervention humaine, d'exprimer votre point de vue et de contester la décision.
Aucun document n'est utilisé pour entraîner un modèle IA public.
Aucune revente de données à des tiers.
13. Modifications de la Politique
Nous nous réservons le droit de modifier la présente Politique de Confidentialité à tout moment.
En cas de modification substantielle :
- Notification par email à l'adresse associée à votre compte
- Notification dans l'application
- Publication de la nouvelle version avec date de mise à jour
14. Contact
Pour toute question relative aux données personnelles ou exercer vos droits RGPD :
Contact général
arqiv.contact@gmail.comDélégué à la Protection des Données (DPO)
dpo@arqiv.frInformations à compléter avant mise en production
Les éléments suivants doivent être renseignés :
| Information | Statut |
|---|---|
| Raison sociale de l'éditeur | ❌ À compléter |
| Adresse complète du siège social | ❌ À compléter |
| Numéro BCE / SIRET | ❌ À compléter |
| URL officielle du site web | ❌ À compléter |
| Date de mise en vigueur de la politique | ❌ À compléter |
Informations déjà disponibles :
- ✅ Nom du service : Arqiv
- ✅ Email de contact : arqiv.contact@gmail.com
- ✅ Email DPO : dpo@arqiv.fr
- ✅ Localisation : Belgique
- ✅ Hébergement données : UE (Supabase Francfort)
- ✅ Sous-traitants identifiés et documentés
- ✅ Durées de conservation définies
- ✅ Droits RGPD implémentés dans l'application