Politique de confidentialité

1. Responsable de traitement

Le responsable de traitement est Devixo SAS, dont les coordonnées complètes figurent dans les mentions légales.

Délégué à la Protection des Données (DPO) : dpo@devixo.fr

2. Données collectées

Devixo collecte uniquement les données strictement nécessaires :

• Compte : email, mot de passe (hashé bcrypt), prénom, nom, raison sociale, SIRET, téléphone professionnel ;
• Activité : devis, factures, clients, catalogue de prestations, paiements (références Stripe / Meshulam, jamais le numéro de carte) ;
• Logs techniques : adresse IP, user-agent, horodatage des connexions et actions sensibles (audit NF525) ;
• Communications : emails envoyés et reçus, tickets support, préférences de notifications.

3. Finalités et bases légales

4. Destinataires et sous-traitants

Les données sont accessibles aux équipes Devixo (support, ingénierie) sur la base du strict nécessaire. Les sous-traitants suivants interviennent dans le fonctionnement du service :

• Vercel Inc. — hébergement applicatif (région fra1, Francfort, UE).
• Neon Inc. — base de données Postgres (région eu-west-1, Francfort, UE).
• Resend Inc.— envoi d'emails transactionnels (UE / US, clauses contractuelles types).
• AWS S3 Frankfurt — stockage des PDF de devis et factures (UE).
• Stripe Payments Europe Ltd. — encaissement (Irlande, UE).
• DocuSign France SAS — signature électronique eIDAS niveau 2 (option, UE).
• Anthropic PBC — IA générative (États-Unis, données chiffrées en transit, pas de stockage).
• Pappers — auto-complétion entreprise via SIRET (France).

Chaque sous-traitant est lié par un accord de traitement de données (DPA) conforme à l'article 28 RGPD.

5. Transferts hors Union Européenne

Devixo privilégie l'hébergement et le traitement en Union Européenne. Les rares transferts vers les États-Unis (Resend, Anthropic) sont encadrés par les Clauses Contractuelles Types (CCT) approuvées par la Commission européenne (décision UE 2021/914) et, lorsque possible, par le Data Privacy Framework (DPF) UE-USA.

6. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

• droit d'accès (art. 15) ;
• droit de rectification (art. 16) ;
• droit à l'effacement (art. 17) ;
• droit à la limitation du traitement (art. 18) ;
• droit à la portabilité (art. 20) ;
• droit d'opposition (art. 21) ;
• droit de retirer son consentement à tout moment (art. 7) ;
• droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés).

Pour exercer vos droits, contactez dpo@devixo.fr. Une réponse vous sera apportée sous 30 jours maximum (art. 12 RGPD).

Si vous estimez vos droits non respectés, vous pouvez introduire une réclamation auprès de la CNIL (3 place de Fontenoy, 75007 Paris).

7. Sécurité

• chiffrement TLS 1.3 en transit ;
• chiffrement AES-256 au repos sur la base de données ;
• hash bcrypt cost 10 sur les mots de passe ;
• contrôle d'accès par rôle (owner, manager, freelance) ;
• journal d'audit immuable (NF525) ;
• sauvegardes quotidiennes chiffrées en zone UE ;
• tests de sécurité réguliers, audit pré-prod.

8. Cookies

Voir la politique cookies dédiée pour la liste exhaustive, leurs finalités et durées. Aucun cookie tiers de tracking publicitaire n'est posé sans votre consentement.