Qoovert s'engage à protéger la vie privée et les données personnelles de ses utilisateurs. La présente politique explique quelles données nous collectons, pourquoi, combien de temps nous les conservons, et quels sont vos droits.
1. Responsable du traitement
QOO GROUP, SAS immatriculée au RCS de Paris sous le numéro 100 855 618, dont le siège social est situé 60 rue François 1er, 75008 Paris, est responsable du traitement des données personnelles collectées sur qoovert.com.
Contact : contact@qoovert.com
2. Données collectées et finalités
| Donnée | Finalité | Base légale | Conservation |
|---|---|---|---|
| Création de compte, authentification, communication transactionnelle | Exécution du contrat | Durée de l'abonnement + 3 ans | |
| Mot de passe (haché) | Authentification | Exécution du contrat | Durée de l'abonnement |
| Données de paiement | Facturation (gérée par Stripe) | Exécution du contrat / Obligation légale | 10 ans (obligation comptable) |
| PDF téléversés | Analyse anti-fraude en mémoire | Exécution du contrat | Non conservés par défaut après analyse |
| Résultats d'analyse | Scoring, audit trail, historique fournisseur | Exécution du contrat | Durée configurable, 730 jours par défaut |
| Montants exacts | Analyse anti-fraude pendant le traitement | Exécution du contrat | Non conservés en clair par défaut ; tranche et empreinte HMAC conservées |
| Fournisseur, numéro de facture, nom de fichier | Historique, dédoublonnage, audit du score | Exécution du contrat | Pseudonymes et empreintes HMAC ; valeurs exactes chiffrées uniquement si audit détaillé requis |
| Date de facture | Analyse temporelle et saisonnalité | Exécution du contrat | Mois de facture conservé ; date exacte non stockée en clair |
| IBAN | Détection de doublons et alertes anti-fraude | Intérêt légitime | Hash SHA-256 lorsque conservé durablement |
| Logs techniques et journaux d'accès | Sécurité, audit, prévention de la fraude | Intérêt légitime | IP/User-Agent non stockés par défaut ; exportables et supprimables avec le compte |
| Feedback (OK / Fraude) | Amélioration du modèle de scoring | Intérêt légitime | Durée de l'abonnement |
Les montants HT/TVA/TTC sont utilisés pendant l'analyse en mémoire, puis remplacés au stockage par une tranche de montant et une empreinte HMAC destinée au dédoublonnage. Les montants exacts ne sont pas conservés en clair par défaut. Une conservation chiffrée séparée peut être activée uniquement sur demande contractuelle explicite du client.
Les identifiants métier sensibles sont minimisés : le fournisseur est affiché sous forme de pseudonyme, le numéro de facture est masqué, la date exacte est remplacée par le mois, et le nom du fichier original est remplacé par un nom technique. Les champs nécessaires à un audit détaillé peuvent être conservés dans un payload chiffré avec une clé dérivée par cabinet et une version de clé documentée.
3. Destinataires des données
Vos données ne sont jamais vendues ni cédées à des tiers à des fins commerciales. Elles peuvent être partagées avec les sous-traitants strictement nécessaires au fonctionnement du Service :
- Hetzner Online GmbH (Allemagne) — hébergement de l'infrastructure
- Stripe Payments Europe Ltd (Irlande) — traitement des paiements
- Resend (États-Unis, certifié DPF) — envoi d'emails transactionnels
- Sentry (États-Unis, certifié DPF) — supervision technique des erreurs (logs sans données factures)
- Pennylane (France, si vous activez l'intégration) — synchronisation de vos factures entrantes via l'API Pennylane. Les jetons d'accès OAuth sont chiffrés au repos (AES-128). Vous pouvez révoquer la connexion à tout moment depuis
/integrations. - Axeptio (France) — plateforme de gestion du consentement (CMP) conforme CNIL. Enregistre votre choix de consentement aux cookies dans un cookie technique (durée 6 mois).
Tous nos sous-traitants sont liés par des Data Processing Agreements (DPA) conformes au RGPD. Les transferts hors UE sont encadrés par les clauses contractuelles types de la Commission européenne ou le Data Privacy Framework.
4. Cookies et traceurs
Qoovert utilise une plateforme de gestion du consentement (CMP) Axeptio conforme aux recommandations de la CNIL. Vous pouvez à tout moment modifier vos choix en cliquant sur le bouton « Gérer mes cookies » en bas à gauche de chaque page.
Catégories de cookies utilisés :
- Cookies techniques (essentiels, pas de consentement requis) : authentification (JWT), préférences d'interface, session Stripe pour le paiement.
- Cookie de consentement Axeptio (essentiel) : enregistre votre choix pour 6 mois.
- Mesure d'audience privacy-first : nous utilisons Plausible Analytics qui ne dépose aucun cookie et respecte l'anonymat (conforme à l'exemption CNIL).
- Aucun cookie publicitaire ou de tracking tiers n'est déposé.
5. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès à vos données
- Droit de rectification en cas d'inexactitude
- Droit à l'effacement (suppression du compte et des données associées)
- Droit à la portabilité (export de vos données dans un format réutilisable)
- Droit d'opposition au traitement basé sur l'intérêt légitime
- Droit de limitation du traitement
- Droit de retirer votre consentement à tout moment
Pour exercer ces droits, écrivez à contact@qoovert.com, exportez vos données via /auth/account/export, ou supprimez directement votre compte depuis la page Mon compte (bouton « Supprimer mon compte » en bas de page). La suppression est immédiate et irréversible : vos résultats d'analyse, historiques fournisseur, journaux d'accès, modèles personnalisés, jetons OAuth et données associées sont effacés, et tout abonnement Stripe actif est annulé sans reconduction. Nous répondrons à toute demande par email sous un délai maximal de 30 jours.
Vous avez également le droit d'introduire une réclamation auprès de la CNIL : cnil.fr ou par courrier au 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
6. Sécurité
Qoovert met en œuvre les mesures techniques et organisationnelles appropriées pour protéger vos données : chiffrement HTTPS/TLS pour toutes les communications, hachage bcrypt des mots de passe, accès restreint aux bases de données, sauvegardes chiffrées, journalisation des accès.
7. Modifications
La présente politique peut être mise à jour. Toute modification substantielle vous sera notifiée par email au moins 30 jours avant son entrée en vigueur.
8. Contact
Pour toute question relative à vos données personnelles : contact@qoovert.com