Version : 2.0 Date d'entrée en vigueur : [DATE PUBLICATION] Dernière mise à jour : [DATE PUBLICATION]
La présente politique décrit la manière dont Dativo SAS (ou, tant que la société n'est pas immatriculée, M. Guillaume BACA agissant pour le compte de la société en formation) collecte, utilise et protège vos données personnelles dans le cadre du service MonAuditPA, accessible à l'adresse https://www.monauditpa.fr.
Elle est rédigée conformément au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
1. Responsable du traitement
Dénomination : Dativo SAS (société par actions simplifiée) — en cours d'immatriculation Représentant légal : M. Guillaume BACA, Président Adresse du siège social : 274 rue du Bas, 80300 Senlis-le-Sec SIREN : En cours d'immatriculation RCS : RCS Amiens — en cours d'immatriculation Email de contact : audit@monauditpa.fr
Tant que Dativo SAS n'est pas immatriculée au Registre du commerce et des sociétés, le responsable du traitement est M. Guillaume BACA, agissant personnellement pour le compte de la société en formation, domicilié à l'adresse ci-dessus.
2. Contact dédié à la protection des données
Pour toute question relative au traitement de vos données personnelles, à l'exercice de vos droits, ou à la conformité de nos traitements au RGPD, vous pouvez nous contacter à l'adresse suivante :
- Email : dpo@monauditpa.fr
- Courrier : Dativo SAS — Protection des données — [ADRESSE POSTALE]
3. Données collectées et caractère obligatoire
3.1 Dans le cadre du pré-diagnostic gratuit
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse email | Obligatoire | Création du compte, envoi du rapport préliminaire |
| Mot de passe (hash bcrypt) | Obligatoire | Authentification sécurisée |
| Numéro SIREN | Obligatoire | Identification de l'entreprise cliente |
| Données d'entreprise issues de l'API Sirene INSEE (raison sociale, forme juridique, code NAF, adresse, effectifs) | Automatique | Pré-remplissage des informations de l'entreprise |
| Factures uploadées (maximum 2) | Facultatif | Pré-analyse automatisée des formats et volumes |
| Réponses au questionnaire (version limitée) | Facultatif | Pré-diagnostic de conformité |
3.2 Dans le cadre de l'audit payant
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse email, SIREN, raison sociale | Obligatoire | Identification et contractualisation |
| Nom, qualité et date de nomination des dirigeants (source : API RNE-INPI) | Obligatoire | Vérification d'éligibilité à la clause Multi-SIREN (article 4 des CGV) |
| Réponses au questionnaire (version complète) | Obligatoire | Réalisation de l'audit commandé |
| Factures uploadées | Facultatif | Analyse détaillée des flux facturation |
| Données de paiement | Obligatoire | Traitement exclusivement par Stripe ; aucune donnée bancaire n'est stockée par Dativo |
3.3 Lors de la navigation sur le site
| Donnée | Caractère | Finalité |
|---|---|---|
| Adresse IP (anonymisée ≥ 2 octets) | Automatique | Mesure d'audience via Matomo Analytics |
| Cookies techniques (PHPSESSID, csrf_token) | Automatique | Fonctionnement du site et sécurité |
Conséquences d'un refus de fournir les données obligatoires : l'impossibilité de créer un compte, de souscrire au service et/ou d'obtenir un rapport d'audit.
4. Finalités et bases légales du traitement
| Finalité | Base légale | Référence |
|---|---|---|
| Création et gestion du compte utilisateur | Exécution du contrat ou mesures précontractuelles | Art. 6.1.b RGPD |
| Réalisation de l'audit et génération du rapport | Exécution du contrat | Art. 6.1.b RGPD |
| Envoi d'emails transactionnels (confirmation, notification, relance questionnaire) | Exécution du contrat | Art. 6.1.b RGPD |
| Vérification de l'éligibilité Multi-SIREN (consultation RNE-INPI) | Exécution du contrat + intérêt légitime à prévenir la fraude | Art. 6.1.b et 6.1.f RGPD |
| Facturation et conservation des pièces comptables | Obligation légale (comptabilité) | Art. 6.1.c RGPD — L.123-22 Code de commerce |
| Mesure d'audience anonyme (Matomo) | Intérêt légitime (amélioration du service) | Art. 6.1.f RGPD |
| Relances en cas de questionnaire non terminé | Intérêt légitime (finalisation de la prestation commandée) | Art. 6.1.f RGPD |
| Prévention et gestion des contentieux | Intérêt légitime | Art. 6.1.f RGPD |
4.1 Justification des intérêts légitimes invoqués (art. 13.1.d RGPD)
Conformément à l'article 6.1.f du RGPD, nous avons procédé à une mise en balance entre nos intérêts et les droits des personnes concernées :
- Mesure d'audience Matomo : l'intérêt d'améliorer le service est proportionné au faible impact (données anonymisées, pas de cookies déposés, pas de pistage cross-site, pas de partage avec des tiers). Les personnes ne peuvent pas raisonnablement s'attendre à ne pas être comptabilisées statistiquement.
- Relances questionnaire : l'intérêt de finaliser une prestation commandée par le client lui-même est proportionné, les relances sont strictement liées à l'exécution du contrat, limitées en nombre (maximum 2) et assorties d'un lien de désinscription.
- Vérification RNE-INPI : l'intérêt de prévenir la fraude à la clause Multi-SIREN est proportionné ; les données consultées sont publiques, limitées à ce qui est nécessaire à la vérification contractuelle, et conservées uniquement le temps nécessaire.
Vous pouvez à tout moment vous opposer à un traitement fondé sur l'intérêt légitime (voir article 9 ci-dessous).
5. Décision automatisée et intervention humaine (art. 22 RGPD)
5.1 Existence d'un traitement automatisé
Le rapport d'audit que vous commandez est généré par un traitement automatisé assisté par intelligence artificielle (règles métier + modèle de langage fourni par Anthropic). Ce traitement produit des effets significatifs au sens de l'article 22 du RGPD, puisque ses conclusions sont destinées à éclairer vos décisions en matière de mise en conformité avec la réforme de la facturation électronique.
5.2 Logique sous-jacente
Le traitement fonctionne en trois étapes :
- Collecte structurée de vos réponses au questionnaire d'audit et, le cas échéant, de vos factures téléchargées.
- Analyse par règles métier codées manuellement par Dativo, confrontant vos réponses au cadre réglementaire applicable (ordonnance 2021-1190, décret 2022-1299, cahier des charges externe PPF/PA).
- Enrichissement par modèle de langage (Anthropic) pour la formulation des recommandations personnalisées, sur la base des données pseudonymisées transmises à l'API.
5.3 Vos droits face au traitement automatisé
Conformément à l'article 22.3 du RGPD, vous disposez des droits suivants :
- Droit à l'intervention humaine : vous pouvez demander qu'une personne physique relise, commente ou corrige manuellement le rapport généré.
- Droit d'exprimer votre point de vue : vous pouvez nous faire part de vos observations sur le contenu du rapport.
- Droit de contester la décision : vous pouvez contester les conclusions du rapport et demander leur réexamen.
Ces droits s'exercent à l'adresse dpo@monauditpa.fr.
5.4 Base de licéité
Ce traitement automatisé est fondé sur l'article 22.2.a du RGPD : il est nécessaire à la conclusion ou à l'exécution du contrat d'audit que vous avez souscrit.
5.5 Transparence AI Act (article 50 du règlement (UE) 2024/1689) et minimisation
Conformément à l'article 50 du règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées en matière d'intelligence artificielle (« AI Act »), nous vous informons en détail du recours au modèle de langage (LLM) fourni par Anthropic PBC (États-Unis) pour la génération des sections rédigées de votre rapport.
- Données transmises à Anthropic : profil entreprise (secteur d'activité, taille, régime TVA, vague d'obligation), scores par axe, libellés des non-conformités bloquantes et majeures. Ni votre SIREN, ni votre raison sociale, ni votre adresse, ni votre email ne sont transmis au modèle.
- Finalité : personnalisation sectorielle des paragraphes rédigés, adaptation du ton selon la taille d'entreprise et le niveau de conformité constaté.
- Durée : l'appel à l'API est synchrone. Conformément aux engagements contractuels d'Anthropic applicables aux appels API de production, les données ne sont pas réutilisées pour l'entraînement du modèle (opt-out par défaut de tout programme d'entraînement) et font l'objet d'une rétention opérationnelle limitée à 30 jours maximum à des fins de sécurité et de prévention des abus. À l'issue de cette période, les données sont supprimées des systèmes d'Anthropic.
- Transfert hors UE : États-Unis, encadré par les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46.2.c du RGPD (voir également la section 7 ci-dessous).
- Base légale : exécution du contrat (article 6.1.b du RGPD).
- Information dans le rapport : la section « Mentions légales » du rapport PDF détaille, conformément à l'article 50 de l'AI Act, les sections rédigées par IA, le modèle utilisé, les données transmises et les droits du Client.
Le rapport reste un outil d'aide à la décision et ne constitue pas une décision automatisée produisant des effets juridiques à votre égard au sens de l'article 22 du RGPD. Vos droits d'intervention humaine, d'expression de point de vue et de contestation s'exercent dans les conditions prévues à la section 5.3 ci-dessus, à l'adresse dpo@monauditpa.fr.
6. Destinataires et sous-traitants (art. 28 RGPD)
6.1 Sous-traitants de Dativo
Nous faisons appel aux sous-traitants suivants, encadrés par des contrats de sous-traitance (DPA) conformes à l'article 28 du RGPD :
| Sous-traitant | Finalité | Localisation | Encadrement |
|---|---|---|---|
| Stripe Payments Europe Ltd | Traitement des paiements CB et SEPA | Irlande (UE) + États-Unis | SCCs + DPF |
| Brevo (ex-Sendinblue) | Envoi d'emails transactionnels | France | DPA signé |
| OVH SAS | Hébergement site et base de données | France (Gravelines / Roubaix) | DPA signé |
| Anthropic PBC | Fournisseur du système d'IA générative (modèle Claude) utilisé pour la rédaction de certaines sections du rapport (synthèse exécutive, analyse sectorielle, commentaires par axe). Données minimisées — aucun identifiant direct transmis (voir sections 5.5 et 7). | États-Unis | Clauses contractuelles types (SCCs) article 46 RGPD + DPA |
6.2 Sources de données externes (non sous-traitants)
Ces organismes ne sont pas nos sous-traitants : ils mettent à disposition des données publiques dans le cadre de leurs missions de service public.
| Source | Donnée récupérée | Fondement |
|---|---|---|
| INSEE — API Sirene | Raison sociale, forme juridique, adresse, code NAF, effectifs à partir du SIREN | Licence ouverte Etalab |
| INPI — Registre National des Entreprises (RNE) | Identité et qualité des dirigeants à partir du SIREN (vérification clause Multi-SIREN) | Données publiques — articles L.123-6 et R.123-220 du Code de commerce |
6.3 Cas particulier : factures uploadées contenant des données de tiers
Lorsque vous téléchargez vos propres factures fournisseurs pour analyse, ces documents peuvent contenir des données personnelles de tiers (contacts commerciaux, dirigeants de vos fournisseurs, etc.). Pour ces données :
- Vous demeurez responsable de traitement ; vous devez disposer d'une base légale pour nous les transmettre.
- Dativo intervient en qualité de sous-traitant au sens de l'article 28 du RGPD.
- Les conditions de cette sous-traitance sont encadrées par l'article 13 des Conditions Générales de Vente, qui vaut accord de sous-traitance écrit conformément à l'article 28.3 du RGPD.
- Les factures sont utilisées uniquement pour l'analyse nécessaire à votre audit et supprimées dans un délai de 30 jours après la génération du rapport.
7. Transferts de données hors Union européenne
Certains de nos sous-traitants (Stripe, Anthropic) peuvent traiter des données aux États-Unis. Ces transferts sont encadrés par :
- Les clauses contractuelles types adoptées par la Commission européenne (décision 2021/914), conformément à l'article 46.2.c du RGPD.
- Stripe bénéficie en outre de la certification EU-US Data Privacy Framework (décision d'adéquation de la Commission européenne du 10 juillet 2023).
- Anthropic : transfert fondé exclusivement sur les SCCs et un DPA signé avec Dativo.
Aucune donnée directement identifiante (nom, email, SIREN en clair dans le prompt) n'est transmise à Anthropic. Seules les réponses structurées au questionnaire sont envoyées, après pseudonymisation. Nous attirons toutefois votre attention sur le fait que la pseudonymisation n'équivaut pas à une anonymisation irréversible au sens du considérant 26 du RGPD : les données pseudonymisées restent soumises au RGPD.
Vous pouvez obtenir une copie des SCCs applicables sur simple demande à dpo@monauditpa.fr.
8. Durées de conservation
| Donnée | Durée | Fondement |
|---|---|---|
| Compte utilisateur (email, hash mot de passe, SIREN) | Durée de vie du compte, puis 30 jours de rétention technique avant effacement définitif | Minimisation (art. 5.1.c RGPD) |
| Données d'audit (questionnaire, rapport) | 12 mois à compter de la génération du rapport | Intérêt légitime + durée de garantie contractuelle |
| Factures uploadées par le client | Supprimées sous 30 jours après génération du rapport | Minimisation |
| Données de vérification Multi-SIREN (dirigeants RNE-INPI) | Durée de l'abonnement + 1 an (preuve contractuelle) | Obligation contractuelle + prévention du contentieux |
| Données de facturation Dativo (factures émises) | 10 ans | Article L.123-22 Code de commerce |
| Logs de connexion serveur | 12 mois maximum | LCEN + recommandation CNIL |
| Logs Matomo | 13 mois | Recommandation CNIL |
| Données de prospection (emails commerciaux B2B) | 3 ans à compter du dernier contact | Recommandation CNIL B2B |
9. Vos droits
Conformément aux articles 15 à 22 du RGPD et aux articles 49 et suivants de la loi Informatique et Libertés, vous disposez des droits suivants sur vos données personnelles :
- Droit d'accès (art. 15 RGPD) : obtenir la confirmation que vos données sont traitées et en recevoir une copie.
- Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes.
- Droit à l'effacement (art. 17 RGPD) : demander la suppression de vos données, sous réserve des obligations légales de conservation (comptabilité, preuve contractuelle).
- Droit à la limitation du traitement (art. 18 RGPD) : demander le gel du traitement de vos données dans certaines hypothèses.
- Droit à la portabilité (art. 20 RGPD) : recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
- Droit d'opposition (art. 21 RGPD) : vous opposer à un traitement fondé sur l'intérêt légitime, pour des raisons tenant à votre situation particulière.
- Droit de ne pas faire l'objet d'une décision automatisée (art. 22 RGPD) : voir article 5 de la présente politique.
- Droit de définir des directives relatives au sort de vos données après votre mort (art. 85 de la loi Informatique et Libertés) : vous pouvez définir des directives générales auprès d'un tiers de confiance certifié par la CNIL, ou des directives particulières auprès de Dativo, concernant la conservation, l'effacement ou la communication de vos données après votre décès.
9.1 Comment exercer vos droits
Vous pouvez exercer ces droits par :
- Email : dpo@monauditpa.fr
- Courrier : Dativo SAS — Protection des données — [ADRESSE POSTALE]
Nous vous répondrons dans un délai d'un mois à compter de la réception de votre demande (art. 12.3 RGPD). Ce délai peut être prolongé de deux mois en cas de complexité ou de nombre élevé de demandes, auquel cas nous vous en informerons dans le mois suivant votre demande.
Nous pourrons vous demander une preuve d'identité en cas de doute raisonnable sur votre identité (art. 12.6 RGPD).
9.2 Droit d'introduire une réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données ne respecte pas la réglementation, vous pouvez introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés (CNIL) :
- Site : https://www.cnil.fr
- Adresse : 3 Place de Fontenoy — TSA 80715 — 75334 PARIS CEDEX 07
- Téléphone : +33 (0)1 53 73 22 22
10. Sécurité des données (art. 32 RGPD)
Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données contre tout accès non autorisé, perte, destruction ou altération :
- Chiffrement en transit : toutes les communications entre le navigateur et nos serveurs sont chiffrées via TLS 1.2 minimum (HTTPS).
- Chiffrement des mots de passe : stockés sous forme de hash bcrypt avec salage automatique ; jamais en clair.
- Tokens cryptographiques : les liens d'accès aux rapports et de réinitialisation de mot de passe utilisent des tokens aléatoires à usage unique, à durée de validité limitée.
- Protection CSRF : jetons anti-CSRF sur tous les formulaires sensibles.
- Accès restreint par rôle : l'interface d'administration est protégée par authentification forte et restreinte aux seuls administrateurs habilités.
- Hébergement sécurisé : serveur dédié OVH localisé en France, accès SSH restreint par clé et filtrage IP, mises à jour de sécurité régulières, fail2ban et CrowdSec.
- Sauvegardes : sauvegardes quotidiennes chiffrées de la base de données.
- Journalisation : traçabilité des accès administrateurs pour détection d'incidents.
- Procédure de notification de violation : en cas de violation de données susceptible d'engendrer un risque pour vos droits et libertés, nous notifierons la CNIL sous 72 heures (art. 33 RGPD) et vous informerons sans délai si le risque est élevé (art. 34 RGPD).
11. Cookies et traceurs
Le site monauditpa.fr utilise uniquement :
11.1 Cookies techniques strictement nécessaires
| Nom | Type | Finalité | Durée |
|---|---|---|---|
PHPSESSID |
Technique | Gestion de la session utilisateur | Session (supprimé à la fermeture du navigateur) |
csrf_token |
Technique | Protection contre les attaques CSRF | Session |
Ces cookies ne nécessitent pas de consentement préalable conformément à l'article 82 de la loi Informatique et Libertés (exemption pour les cookies strictement nécessaires à la fourniture d'un service expressément demandé par l'utilisateur).
11.2 Mesure d'audience : Matomo Analytics
Matomo est configuré en mode respectueux de la vie privée, conformément aux lignes directrices de la CNIL permettant l'exemption de consentement :
- Anonymisation des adresses IP sur au moins 2 octets (IP tronquée avant stockage).
- Pas de suivi cross-site ni cross-device.
- Pas de partage des données avec des tiers ou à des fins commerciales.
- Pas de cookies déposés sur le terminal de l'utilisateur.
- Durée de conservation des logs limitée à 13 mois.
- Exclusion des pages d'authentification et de paiement.
11.3 Aucun traceur publicitaire
Aucun cookie publicitaire, de pistage tiers ou de réseau social n'est utilisé sur ce site. Nous ne pratiquons ni retargeting, ni profilage publicitaire, ni partage de données à des fins marketing. C'est la raison pour laquelle aucune bannière de consentement aux cookies n'est affichée — cette configuration est couverte par l'exemption de l'article 82 de la loi Informatique et Libertés telle qu'interprétée par la CNIL.
12. Prospection commerciale B2B
Dans la mesure où MonAuditPA est un service exclusivement B2B (professionnels agissant pour les besoins de leur activité, voir article 2 des CGV), nous pouvons être amenés à vous adresser des communications commerciales sur nos produits et services sans consentement préalable, à la condition que :
- l'objet de la sollicitation soit en rapport avec votre fonction professionnelle,
- vous disposiez à tout moment d'un moyen simple et gratuit de vous y opposer (lien de désinscription dans chaque email).
Cette pratique est conforme à la doctrine CNIL en matière de prospection B2B.
13. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment, notamment pour la mettre en conformité avec toute évolution réglementaire, technique ou organisationnelle.
En cas de modification substantielle (ajout d'un sous-traitant, nouvelle finalité, modification des durées de conservation, changement de base légale, modification de la logique du traitement automatisé), les utilisateurs disposant d'un compte seront informés par email au moins 15 jours avant l'entrée en vigueur des modifications. Une bannière informative sera également affichée sur le site pendant 30 jours pour les visiteurs non connectés.
La date de dernière mise à jour est indiquée en haut de la présente politique. La version applicable est celle publiée sur le site au moment de la consultation.
14. Droit applicable
La présente politique est régie par le droit français et le droit de l'Union européenne. Toute difficulté d'interprétation ou d'application sera soumise, à défaut d'accord amiable, aux juridictions compétentes conformément à l'article 16 des Conditions Générales de Vente.
15. Contact
Pour toute question relative à cette politique ou au traitement de vos données personnelles :
- Email dédié protection des données : dpo@monauditpa.fr
- Courrier : Dativo SAS — Protection des données — [ADRESSE POSTALE COMPLÈTE]
- Formulaire en ligne : https://www.monauditpa.fr/contact
Document établi en conformité avec le Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978 modifiée.
À compléter dès immatriculation : remplacer "En cours d'immatriculation" par les valeurs SIREN/RCS réelles. dpo@monauditpa.fr — alias email à créer sur le serveur mail.