Politique de Confidentialité
Dernière mise à jour : 24 avril 2026
1. Responsable du traitement
Stratifia SAS
SIREN : 102 413 804
Siège social : 60 rue François 1er, 75008 Paris, France
Directeur de la publication : Daniel Kotché
DPO : dpo@stratifia.com
2. Données collectées
2.1 Données d'identification
- Nom, prénom, adresse email
- Numéro de téléphone (optionnel, pour la vérification)
- Mot de passe (stocké chiffré via bcrypt)
2.2 Données professionnelles
- Nom de l'entreprise, SIRET, adresse professionnelle
- Logo d'entreprise
- Informations bancaires (IBAN/BIC pour les factures)
2.3 Données commerciales
- Clients (nom, email, téléphone, adresse, SIRET)
- Devis et factures (montants, lignes, statuts)
- Projets, tâches, rendez-vous
- Historique des échanges email
2.4 Données techniques
- Adresse IP (sécurité et rate limiting)
- Données de navigation anonymisées (monitoring via Sentry)
- Tokens d'authentification JWT
3. Finalités et bases légales du traitement
| Finalité | Base légale |
|---|---|
| Gestion du compte et authentification | Exécution du contrat |
| Fourniture du Service (devis, factures, CRM) | Exécution du contrat |
| Génération de contenus par IA | Exécution du contrat |
| Emails transactionnels (vérification, relances) | Exécution du contrat |
| Facturation et gestion des abonnements | Exécution du contrat / Obligation légale |
| Sécurité du Service (rate limiting, anti-fraude) | Intérêt légitime |
| Monitoring des erreurs techniques (Sentry) | Intérêt légitime |
| Amélioration du Service | Intérêt légitime |
| Statistiques et études de marché (données anonymisées uniquement) | Intérêt légitime (art. 6.1.f + art. 89 RGPD) |
4. Sous-traitants et transferts de données
| Sous-traitant | Finalité | Localisation |
|---|---|---|
| AWS (Amazon Web Services) | Hébergement des serveurs | France (eu-west-3) |
| Stripe | Paiement sécurisé | Union Européenne |
| OpenAI | Génération de contenus IA | États-Unis (CCT) |
| Twilio | Vérification SMS/WhatsApp | États-Unis (CCT) |
| Sentry | Monitoring des erreurs | Union Européenne |
| Google Workspace | Email professionnel | Union Européenne |
Pour les transferts hors de l'UE (OpenAI, Twilio), des clauses contractuelles types (CCT) approuvées par la Commission européenne sont en place pour garantir un niveau de protection adéquat.
4.1 Utilisation des API Google (Gmail & Google Agenda)
La connexion du compte Google est strictement optionnelle. Elle peut être révoquée à tout moment depuis Société > Email dans l'application, ou depuis les Autorisations tierces de votre compte Google.
Scopes OAuth demandés :
| Scope | Utilisation dans Stratifia |
|---|---|
userinfo.email | Identifier le compte Google connecté |
gmail.modify | Lire, afficher et envoyer des emails depuis votre adresse Gmail. Aucune suppression définitive n'est effectuée. |
gmail.settings.basic | Lire votre signature Gmail pour l'ajouter automatiquement aux envois. Aucune modification n'est écrite. |
calendar, calendar.events | Lire et créer des rendez-vous dans votre agenda. Aucune modification ni suppression d'événements existants. |
4.1.1 Engagement « Limited Use » — Conformité Google API Services
L'utilisation et le transfert par Stratifia des informations reçues des API Google respectent la politique « Google API Services User Data Policy », y compris les exigences d'usage limité.
Stratifia's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Stratifia s'engage à :
- Ne jamais utiliser les données Gmail à des fins publicitaires, directes ou indirectes
- Ne jamais entraîner de modèles d'IA généralistes sur le contenu des emails des Utilisateurs. Les emails sont classifiés à la volée par OpenAI uniquement pour détecter les échanges commerciaux, sans stockage dans aucun jeu d'entraînement
- Ne jamais transférer les données Gmail à des tiers, sauf aux sous-traitants techniques strictement nécessaires (AWS Europe, OpenAI pour classification à la volée) ou en cas d'obligation légale
- Ne jamais permettre à aucun humain de consulter les données Gmail d'un Utilisateur, sauf : (a) avec son consentement explicite, (b) pour assurer la sécurité du Service, (c) pour se conformer à la loi, ou (d) sur données anonymisées et agrégées
4.1.2 Conservation et suppression des données Google
Lors de la déconnexion du compte Gmail (Société > Email > Déconnecter), Stratifia supprime immédiatement :
- Le jeton de rafraîchissement OAuth
- L'adresse Gmail connectée
- La signature Gmail mise en cache
Les emails importés peuvent être supprimés depuis l'interface ou en totalité lors de la suppression du compte.
5. Durées de conservation
| Données | Durée |
|---|---|
| Compte utilisateur | Jusqu'à suppression par l'Utilisateur |
| Devis et factures | 10 ans après émission (art. L123-22 Code de commerce) |
| Données de paiement Stripe | Selon la politique de Stripe |
| Logs techniques | 12 mois |
| Codes OTP | 10 minutes (Redis temporaire) |
| Données anonymisées post-suppression | Conservées sans limitation — voir 5.1 |
5.1 Anonymisation après suppression du compte
Lors de la suppression du compte, certaines données commerciales sont anonymisées de manière irréversible et conservées à des fins statistiques, conformément à l'article 89 du RGPD.
Données anonymisées conservées :
- Montants HT/TTC des devis et factures
- Taux de TVA appliqués
- Catégories de produits et services
- Prix unitaires des prestations
- Taux de conversion (devis envoyés vs acceptés)
- Délais de paiement et de signature
Données définitivement supprimées :
- Noms, prénoms, emails, téléphones
- Adresses, SIRET, coordonnées bancaires
- Logos, signatures électroniques
- Contenus des conversations IA et des emails
- Mots de passe et tokens d'authentification
Droit d'opposition : Avant de supprimer votre compte, vous pouvez vous opposer à cette anonymisation en écrivant à dpo@stratifia.com. Dans ce cas, l'intégralité de vos données sera supprimée sans conservation.
6. Vos droits (RGPD)
6.1 Droit d'accès (art. 15 RGPD)
Obtenez une copie de vos données depuis Paramètres > Mes données.
6.2 Droit de rectification (art. 16 RGPD)
Corrigez vos données directement depuis votre espace personnel.
6.3 Droit à l'effacement (art. 17 RGPD)
Supprimez votre compte et toutes vos données identifiantes depuis Paramètres > Mes données. Action irréversible. Certaines données commerciales sont anonymisées (voir 5.1). Les factures sont conservées 10 ans sous forme anonymisée (obligation légale).
6.4 Droit à la portabilité (art. 20 RGPD)
Exportez toutes vos données en format JSON depuis Paramètres > Mes données.
6.5 Droit d'opposition (art. 21 RGPD)
Opposez-vous au traitement de vos données pour motifs légitimes, sauf lorsque le traitement est nécessaire à l'exécution du contrat.
6.6 Droit de limitation (art. 18 RGPD)
Demandez la limitation du traitement de vos données dans les cas prévus par le RGPD.
7. Exercer vos droits
Deux façons d'exercer vos droits :
- En ligne : Paramètres > Mes données (suppression de compte, export de données)
- Par email : dpo@stratifia.com avec preuve d'identité
Délai de réponse : 1 mois maximum, conformément au RGPD.
8. Sécurité des données
- Chiffrement des communications (TLS/SSL)
- Hachage des mots de passe (bcrypt)
- Tokens JWT avec rotation automatique
- Rate limiting (protection force brute)
- Sanitization des contenus IA (protection XSS)
- Vérification d'identité par OTP (email/SMS)
- Hébergement en France sur AWS (région Paris)
- Sauvegardes régulières des bases de données
9. Cookies
Stratifia n'utilise aucun cookie tiers de traçage ou publicitaire. Seuls des cookies techniques essentiels au fonctionnement du Service sont utilisés (tokens d'authentification stockés dans le localStorage du navigateur).
10. Modifications de cette politique
En cas de modification substantielle, les Utilisateurs seront informés par email ou notification dans le Service.
11. Réclamation auprès de la CNIL
Si vous estimez que le traitement de vos données n'est pas conforme au RGPD, vous pouvez introduire une réclamation auprès de la CNIL :
- Site : www.cnil.fr
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
12. Contact
DPO : dpo@stratifia.com
Adresse : 60 rue François 1er, 75008 Paris, France