Politique de confidentialité (RGPD)
Dernière mise à jour : 2 juillet 2026
Responsable du traitement
Le responsable du traitement est Dafio, 14 rue du Général Exelmans, 78140 Vélizy-Villacoublay, France. Pour toute question relative à vos données ou pour exercer vos droits : « À COMPLÉTER : email données/DPO, ex. dpo@dafio.fr ».
Données collectées
Nous traitons : les données de compte (e-mail, nom, mot de passe haché, journaux de connexion) ; les données de votre société (raison sociale, SIREN, coordonnées) ; et les données métier que vous saisissez ou importez (clients, fournisseurs, factures, écritures comptables, opérations bancaires, pièces justificatives). Nous ne collectons pas de données sensibles au sens du RGPD.
Finalités et bases légales
Vos données sont traitées pour : fournir et administrer le service (base : exécution du contrat) ; assurer la sécurité, prévenir la fraude et améliorer le service (base : intérêt légitime) ; respecter nos obligations légales, notamment comptables et fiscales (base : obligation légale) ; et, le cas échéant, vous adresser des communications pour lesquelles votre consentement serait requis (base : consentement). Aucune donnée n'est vendue à des tiers et aucune décision entièrement automatisée produisant des effets juridiques n'est prise à votre encontre.
Destinataires et sous-traitants
Vos données sont accessibles aux seules personnes habilitées de l'éditeur et à des sous-traitants encadrés par des accords conformes à l'article 28 du RGPD : hébergement (OVHcloud (hébergement, Union européenne / France)), envoi d'e-mails (Brevo (e-mails transactionnels, Union européenne / France)), transmission des factures électroniques (Iopole (transmission des factures électroniques via plateforme agréée, France)), lecture automatique des factures (Mistral AI (lecture automatique des factures fournisseurs — OCR, Union européenne / France)), agrégation bancaire (Bridge (agrégation bancaire DSP2, agréé ACPR, France)), assistant financier (Mistral AI (Copilote DAF, Union européenne / France)), encaissement (Stripe (encaissement des abonnements et, si activé, paiement en ligne des factures — États-Unis, avec garanties appropriées)), prélèvements SEPA (GoCardless (prélèvements SEPA, si activé — Royaume-Uni, décision d'adéquation)), supervision technique (Sentry (supervision technique et détection d'erreurs — région à confirmer selon la configuration)) et prise de rendez-vous (Calendly (prise de rendez-vous, si utilisé — États-Unis, avec garanties appropriées)).
Transferts hors Union européenne
La majorité des données sont hébergées et traitées au sein de l'Union européenne (hébergement, e-mails, OCR, Copilote, agrégation bancaire, facture électronique). Certains prestataires sont situés hors UE : Stripe et Calendly (États-Unis) et GoCardless (Royaume-Uni). Ces transferts sont encadrés par des garanties appropriées au sens du RGPD (clauses contractuelles types de la Commission européenne, cadre de protection des données UE–États-Unis, et décision d'adéquation pour le Royaume-Uni). « À COMPLÉTER : faire confirmer par un juriste la localisation et la garantie exacte de chaque sous-traitant réellement activé, et retirer de cette liste ceux qui ne le sont pas. »
Durées de conservation
Les données de compte sont conservées le temps de la relation contractuelle. Les données comptables et de facturation sont conservées conformément aux obligations légales (jusqu'à 10 ans pour les pièces comptables). À l'issue de la relation, un délai de 30 jours est appliqué avant suppression ou anonymisation définitive, sous réserve des obligations légales de conservation.
Vos droits
Conformément au RGPD, vous disposez des droits d'accès, de rectification, d'effacement, de limitation, d'opposition et de portabilité, ainsi que du droit de définir des directives relatives au sort de vos données après votre décès. Vous pouvez les exercer à « À COMPLÉTER : email données/DPO, ex. dpo@dafio.fr » ; une réponse vous sera apportée dans un délai d'un mois. Vous pouvez également introduire une réclamation auprès de la CNIL (www.cnil.fr).
Sécurité
Mots de passe hachés (bcrypt), échanges chiffrés (HTTPS/TLS), isolation des données de chaque société au niveau de la base (Row Level Security forcée), chiffrement au repos des secrets d'authentification (AES-256-GCM), journalisation des accès et registre d'audit inviolable (chaînage SHA-256). Les accès internes sont restreints au strict nécessaire.
Cookies et traceurs
Le service utilise un stockage local strictement nécessaire à l'authentification, exempté de consentement. Aucun cookie de mesure d'audience ou de publicité n'est déposé ; si tel devenait le cas, un bandeau de consentement conforme aux recommandations de la CNIL serait mis en place au préalable.
Modification de la politique
La présente politique peut être mise à jour pour refléter les évolutions du service ou de la réglementation. La date de dernière mise à jour figure en tête de page ; les modifications substantielles vous seront notifiées.
lib/legal.ts (champs marqués « À COMPLÉTER ») et faites valider par un juriste avant mise en ligne. Supprimez ce bandeau une fois la validation faite.