DevixoRetour au site

Politique de confidentialité

Dernière mise à jour : 7 mai 2026 · Version 1.0

Conforme au Règlement (UE) 2016/679 (RGPD), à la loi Informatique et Libertés modifiée et aux lignes directrices de la CNIL.

1. Introduction

La présente politique de confidentialité a pour objet d'informer les utilisateurs du Service Devixo des traitements de données à caractère personnel mis en œuvre par SAS Devixo (ci-après « Devixo »), des finalités poursuivies, des bases légales, des durées de conservation, des destinataires, des transferts éventuels hors Union européenne, ainsi que des droits dont disposent les personnes concernées.

2. Responsable de traitement

Le responsable du traitement des données collectées sur le site devixo.fr et dans le cadre du Service est :

SAS Devixo (en cours de constitution)

Siège : France (adresse précise à l'immatriculation)

Contact général : contact@devixo.fr

Délégué à la protection des données (DPO) : dpo@devixo.fr

Devixo agit en qualité de responsable de traitement pour les données des artisans et entreprises clientes (compte utilisateur, facturation, support). Devixo agit en qualité de sous-traitantau sens de l'article 28 RGPD pour les données de clients finaux que les artisans confient au Service via leurs devis et factures (voir DPA).

3. Données collectées

Devixo collecte uniquement les données strictement nécessaires aux finalités décrites :

  • Données d'authentification (via Clerk) : nom, prénom, adresse email, mot de passe (haché et salé par Clerk), jeton de session, identifiant unique Clerk, fournisseur OAuth éventuel (Google).
  • Données business artisan : raison sociale, forme juridique, SIRET, adresse, numéro de TVA, IBAN (chiffré), assurance décennale, RC pro, médiateur de la consommation, logo, signature scannée, identifiant Telegram.
  • Données clients finaux(saisies par l'artisan) : nom, prénom, adresse, téléphone, email, historique de devis et factures.
  • Données de paiement(via Stripe) : moyen de paiement tokenisé (Devixo n'accède pas au numéro de carte), historique de transactions, statut d'abonnement.
  • Données de signature électronique (via DocuSign) : certificat de signature, IP, horodatage, hash du document.
  • Données techniques: adresse IP, user-agent, logs applicatifs, identifiant d'appareil, journaux d'audit NF525 (chaînage par hash).
  • Données conversationnelles IA (via Vercel AI Gateway / Anthropic) : prompts envoyés, réponses générées. Devixo applique le mode Zero Data Retention de Vercel AI Gateway : les conversations ne sont pas conservées par Anthropic au-delà du temps strictement nécessaire à la réponse.

Devixo ne collecte aucune donnée sensible au sens de l'article 9 RGPD (santé, opinions, orientation sexuelle, etc.) ni aucune donnée relative aux mineurs.

4. Finalités et bases légales

FinalitéBase légale (art. 6 RGPD)
Création de compte, exécution du Service, support clientExécution du contrat (art. 6.1.b)
Émission de factures, comptabilité, audit NF525Obligation légale (art. 6.1.c) — Code général des impôts, Code de commerce
Prévention de la fraude, sécurité, journaux d'auditIntérêt légitime (art. 6.1.f) — sécurité du Service
Génération de devis assistée par IAExécution du contrat (art. 6.1.b)
Envoi d'emails commerciaux à propos de DevixoIntérêt légitime B2B (art. 6.1.f) avec opt-out facile
Cookies analytiques et tiersConsentement (art. 6.1.a) recueilli via le bandeau cookies
Vérification SIRET et solvabilité (Pappers)Intérêt légitime (art. 6.1.f) — anti-fraude B2B

5. Durées de conservation

  • Données de compte (artisan) : pendant toute la durée de la relation contractuelle, puis 3 ans à compter de la résiliation au titre de la prospection commerciale (article L.34-5 CPCE), puis suppression.
  • Pièces comptables (devis, factures, justificatifs) : 10 ansà compter de la clôture de l'exercice (article L.123-22 du Code de commerce et article 102 B du LPF).
  • Journaux d'audit NF525 : 10 ans (alignement comptable et exigences techniques NF525).
  • Données clients finaux saisies par l'artisan: durée fixée par l'artisan en sa qualité de responsable de traitement, dans la limite des durées légales applicables. Devixo propose une suppression automatique au-delà de 90 jours après résiliation (sauf opposition explicite).
  • Logs techniques : 12 mois maximum.
  • Conversations IA : Zero Data Retention côté Anthropic. Devixo conserve uniquement le résultat final intégré au devis ou à la facture.
  • Cookies non essentiels : 13 mois maximum conformément aux recommandations CNIL ; renouvellement du consentement au-delà.

6. Destinataires et sous-traitants

Les données sont traitées par les équipes habilitées de Devixo et par les sous-traitants techniques limitativement énumérés dans notre accord de traitement des données (DPA). Devixo ne procède à aucune cession ni location de données à des tiers à des fins commerciales.

7. Transferts hors Union européenne

Certains sous-traitants techniques de Devixo sont établis hors Union européenne, notamment aux États-Unis (Vercel, Clerk, Anthropic, Resend) et au Royaume-Uni (Telegram). Ces transferts sont encadrés par :

  • le EU-US Data Privacy Framework(décision d'adéquation de la Commission européenne du 10 juillet 2023) pour les sous-traitants américains adhérents ;
  • les Clauses Contractuelles Types (CCT) de la Commission européenne (décision 2021/914) pour les sous-traitants non couverts par le DPF ;
  • la décision d'adéquation Royaume-Uni du 28 juin 2021 pour Telegram ;
  • des mesures supplémentaires (chiffrement TLS, pseudonymisation, mode ZDR pour l'IA) afin de garantir un niveau de protection substantiellement équivalent au niveau européen.

La liste détaillée et les pays concernés figurent dans le DPA.

8. Droits des personnes concernées

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès : obtenir la confirmation que vos données sont traitées et en obtenir copie.
  • Droit de rectification : faire corriger des données inexactes ou incomplètes.
  • Droit à l'effacement(« droit à l'oubli »), sous réserve des obligations légales de conservation (notamment comptables).
  • Droit à la limitation du traitement.
  • Droit d'oppositionaux traitements fondés sur l'intérêt légitime.
  • Droit à la portabilité de vos données dans un format structuré, couramment utilisé et lisible par machine (export JSON / CSV proposé).
  • Droit de retirer votre consentement à tout moment pour les traitements fondés sur celui-ci, sans remettre en cause la licéité des traitements antérieurs.
  • Droit de définir des directives relatives au sort de vos données après votre décès (article 85 LIL).

Pour exercer ces droits, écrivez à dpo@devixo.fren précisant l'objet de votre demande et en joignant, le cas échéant, un justificatif d'identité. Devixo répond dans un délai d'un mois, prorogeable de deux mois en cas de complexité ou de demandes multiples.

9. Sécurité

Devixo met en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données :

  • chiffrement TLS 1.3 de bout en bout des communications ;
  • chiffrement au repos (Neon, Vercel Blob) ;
  • chaînage des journaux d'audit par hash SHA-256 (NF525) ;
  • authentification multi-facteurs disponible sur les comptes artisans (via Clerk) ;
  • cloisonnement des accès interne par le principe de moindre privilège ;
  • sauvegardes quotidiennes chiffrées avec rétention de 30 jours ;
  • tests d'intrusion réguliers et veille sur les vulnérabilités (CVE) ;
  • registre des activités de traitement tenu à jour conformément à l'article 30 RGPD.

En cas de violation de données susceptible d'engendrer un risque pour les droits et libertés des personnes, Devixo notifie la CNIL dans les 72 heures et informe les personnes concernées dans les meilleurs délais (articles 33 et 34 RGPD).

10. Cookies

L'utilisation des cookies est décrite en détail dans notre politique cookies. Aucun cookie non essentiel n'est déposé sans consentement préalable, conformément à la délibération CNIL 2020-091.

11. Réclamation auprès de la CNIL

Sans préjudice de tout autre recours, vous avez le droit d'introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) — 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 — téléphone : 01 53 73 22 22 — site : www.cnil.fr/fr/plaintes.

12. Modifications

Devixo se réserve le droit de modifier la présente politique pour l'adapter aux évolutions du Service ou de la réglementation. Toute modification substantielle est notifiée par email aux utilisateurs au moins 15 jours avant son entrée en vigueur. La version applicable est celle en ligne à la date de votre visite.