Politique de Confidentialité

Politique de confidentialité — MyFact

Chez MyFact ("nous", "notre"), la protection de vos données personnelles est une priorité. Cette politique explique quelles données nous collectons, pourquoi nous les collectons, comment nous les utilisons et quels sont vos droits (dont le RGPD).

Données que nous collectons

Nous collectons uniquement les données nécessaires au fonctionnement du service et au respect des obligations légales. Catégories principales :

• Identité : nom, prénom, adresse e‑mail et identifiants d'authentification.
• Informations professionnelles : raison sociale, numéro SIRET/TVA, adresse de facturation et logo.
• Données clients et de facturation : coordonnées de vos clients utilisées pour établir les factures et contrats.
• Informations de paiement et transactions : statut des paiements, factures et reçus (les données cartes bancaires sont traitées par notre prestataire de paiement).
• Données d'utilisation : adresses IP, métadonnées appareil/navigateur, journaux et diagnostics pour sécuriser et améliorer le service.

Utilisation des données

Nous traitons les données à des fins principales :

• Fournir, exploiter et améliorer la plateforme MyFact (génération, envoi et archivage de devis, factures et contrats).
• Gérer les paiements, abonnements et litiges de facturation.
• Authentifier les utilisateurs, prévenir la fraude et sécuriser les comptes.
• Assurer le support client et répondre aux demandes techniques.
• Analyser des données anonymisées afin d'améliorer l'expérience utilisateur.

Base juridique du traitement

Nous nous appuyons sur l'une ou plusieurs des bases légales suivantes selon la finalité :

• Exécution d'un contrat : pour fournir les services demandés.
• Obligation légale : conservation fiscale et comptable.
• Intérêt légitime : exploitation, sécurité et amélioration du service, concilié avec vos droits.
• Consentement : pour certaines options (communications marketing, fonctionnalités IA optionnelles).

Durée de conservation

Nous conservons les données personnelles le temps nécessaire pour fournir le service, respecter nos obligations légales et traiter les éventuels litiges. Les données d'un compte actif sont conservées tant que le compte existe ; certains documents (factures, justificatifs fiscaux) sont archivés 5 à 10 ans selon la réglementation.

Vos droits

Vous pouvez accéder, corriger, supprimer ou demander la portabilité de vos données, ainsi que demander la limitation ou l'opposition au traitement. Pour exercer vos droits, utilisez les paramètres de votre compte ou contactez-nous à dpo@drag-and-code-tunisia.com. Nous répondons dans les délais légaux (généralement 30 jours).

Cookies et traçage

Nous utilisons des cookies et technologies similaires pour faire fonctionner le site, mémoriser vos préférences et collecter des analyses anonymes. Vous pouvez gérer les cookies depuis votre navigateur. Nous utilisons des mesures analytiques agrégées pour améliorer la plateforme.

Les emails envoyés via MyFact peuvent contenir un pixel léger pour suivre la livraison et l'ouverture ; les destinataires sont informés dans le pied de page de l'email et l'information apparaît dans votre tableau de bord.

Sécurité

Nous appliquons des mesures techniques et organisationnelles reconnues pour protéger les données :

• Chiffrement : TLS pour les données en transit et chiffrement au repos (AES‑256) lorsque cela est applicable.
• Contrôles d'accès et principe du moindre privilège pour les systèmes internes.
• Tests de sécurité réguliers, surveillance et procédures de réaction aux incidents.
• Sauvegardes automatisées et plans de reprise après sinistre.

Sous‑traitants

Nous faisons appel à un nombre limité de prestataires de confiance pour fournir la plateforme. Ces prestataires traitent les données pour notre compte et sont liés par des accords de traitement des données (DPA) :

• Supabase (UE) — hébergement de la base de données, authentification et stockage de fichiers.
• Stripe — traitement des paiements (les données bancaires sont gérées directement par Stripe).
• Brevo (Sendinblue) — envoi des emails transactionnels.
• Mistral AI (France/UE) — génération assistée par IA (DPA en place).
• Botpress Cloud — chatbot optionnel pour les clients Business.
• Google / Microsoft — fournisseurs OAuth optionnels.

Nous signons des DPA et évaluons les garanties techniques et juridiques de nos prestataires.

OAuth et connexion tiers

Si vous vous connectez via Google ou Microsoft, ces fournisseurs vous authentifient et nous partagent des informations de profil limitées (nom, email). La connexion OAuth est optionnelle et vous pouvez créer un compte local.

• Google LLC — Politique de confidentialité Google | DPA
• Microsoft Corporation — Politique de confidentialité Microsoft | DPA

Lorsque des transferts de données interviennent, les fournisseurs s'appuient sur des cadres internationaux reconnus (ex. EU–US Data Privacy Framework) ou des garanties équivalentes.

La connexion OAuth est optionnelle ; les données partagées sont limitées au strict nécessaire pour l'authentification.

Chatbot et support

Notre chatbot optionnel (Botpress) assiste les demandes de support. Les conversations transmises au fournisseur sont traitées pour générer des réponses.

Les transferts et garanties juridiques (DPA, CCT ou décisions d'adéquation) sont en place lorsque nécessaire.

Nous disposons d'un DPA avec le fournisseur de chatbot et limitons la conservation des logs de conversation. botpress.com/privacy

Ne saisissez pas de données personnelles sensibles (ex. numéro de sécurité sociale, mots de passe, coordonnées bancaires) dans le chat.

Traitement assisté par IA (Mistral AI)

Lorsque vous utilisez des fonctionnalités IA, le contenu des documents et métadonnées pertinents sont envoyés au fournisseur d'IA pour générer les résultats. Nous limitons les données transmises et disposons de protections contractuelles.

Données typiquement transmises à l'IA :

• Noms et coordonnées des clients figurant sur les documents.
• Informations commerciales : lignes de facture, montants et conditions de paiement.
• Contenu libre et clauses contractuelles que vous fournissez.

Le fournisseur d'IA n'utilise pas vos données pour entraîner des modèles publics ; la rétention et l'utilisation sont encadrées par le DPA.

Le traitement IA repose le plus souvent sur l'exécution du contrat et, le cas échéant, sur votre consentement pour les options facultatives.

Consultez notre accord de traitement des données pour l'IA : mistral.ai/terms

Contact & DPO

Pour toute question sur cette politique ou pour exercer vos droits, contactez notre Délégué à la Protection des Données (DPO) à molka.zitouni@drag-and-code-tunisia.com ou utilisez le formulaire de support depuis votre compte.

Nous visons une réponse sous 30 jours.

Vous pouvez également déposer une plainte auprès de l'autorité de protection des données de votre pays (ex. CNIL en France). www.cnil.fr/fr/plaintes