Données personnelles · RGPD
Politique de confidentialité
Cette page décrit comment Rubis sur l'ongle collecte, utilise et protège vos données personnelles, conformément au Règlement (UE) 2016/679 (RGPD) et à la loi Informatique et Libertés modifiée.
Dernière mise à jour : 7 mai 2026
Sommaire
1. Responsable du traitement
Le responsable du traitement de vos données est Arthur Barré, éditeur du service Rubis sur l'ongle (cf. mentions légales).
Pour toute question liée à vos données : privacy@rubis.pro
2. Données collectées
Nous collectons uniquement les données strictement nécessaires au fonctionnement du service. Aucune donnée n'est revendue à des tiers à des fins commerciales.
2.1 Données d'inscription et de compte
- Email (identifiant de connexion + canal de notification check-in)
- Mot de passe (stocké hashé via Argon2 — nous ne pouvons pas le lire)
- Nom complet (signature des relances)
- Nom de l'organisation et SIRET (optionnel, pour les mises en demeure formelles)
2.2 Données métier saisies par l'utilisateur
- Factures : numéro, montant, dates d'émission et d'échéance, fichier PDF/image source
- Clients du user : nom, email, téléphone, adresse, SIRET (si fourni)
- Plans de relance et templates d'emails que l'utilisateur configure
Important : les données des clients finaux du user sont collectées par l'utilisateur lui-même qui en est responsable de traitement vis-à-vis de ses clients. Rubis agit en tant que sous-traitant au sens de l'article 28 du RGPD pour ces données. Un avenant DPA peut être fourni sur demande.
2.3 Données techniques et journaux
- Logs serveur (adresse IP, user agent, date/heure de connexion) — conservés 30 jours pour la sécurité
- Cookies de session (refresh token httpOnly) — durée de vie 30 jours
- Identifiants Stripe Customer/Subscription (en cas d'abonnement payant)
3. Finalités et bases légales
| Finalité | Base légale |
|---|---|
| Fourniture du service (relances, OCR, dashboard) | Exécution du contrat (art. 6.1.b RGPD) |
| Facturation et abonnement | Exécution du contrat + obligation légale (comptable) |
| Sécurité du service (anti-fraude, logs) | Intérêt légitime (art. 6.1.f) |
| Support utilisateur | Exécution du contrat |
| Statistiques d'usage anonymisées | Intérêt légitime — pas de profiling individuel |
| Communication commerciale | Consentement explicite (opt-in à l'inscription) |
4. Sous-traitants et hébergement
Tout l'hébergement principal (base de données, fichiers PDF, application) reste sur notre infrastructure auto-hébergée en France. Quelques services tiers spécialisés interviennent uniquement pour des fonctions ciblées :
| Sous-traitant | Rôle & localisation |
|---|---|
| Stripe | Traitement des paiements et abonnements. Données : email, nom, CB (jamais stockée chez nous, gérée par Stripe). Stripe est certifié PCI-DSS niveau 1. Hébergement principal : Irlande (UE). |
| Resend | Envoi des emails transactionnels (relances et confirmations). Données : adresses email, contenu des emails. Hébergement : UE/US avec clauses contractuelles types. |
| Mistral AI | OCR sur les factures uploadées. Les fichiers sont envoyés à Mistral pour extraction du texte puis supprimés de leur côté. Hébergement : France. |
Aucun transfert hors UE n'a lieu sans encadrement contractuel approprié (clauses contractuelles types de la Commission européenne).
5. Durée de conservation
- Compte utilisateur actif : conservation tant que le compte est ouvert.
- Compte supprimé : suppression complète des données dans un délai de 30 jours, hors obligations comptables.
- Factures émises et payées : conservation 10 ans (obligation comptable, art. L.123-22 du Code de commerce).
- Logs techniques : 30 jours.
- Données Stripe (factures d'abonnement) : selon politique de Stripe (en général 10 ans).
6. Vos droits
Conformément au RGPD, vous disposez à tout moment des droits suivants :
- Droit d'accès à vos données personnelles
- Droit de rectification en cas de données inexactes
- Droit à l'effacement (« droit à l'oubli »)
- Droit à la portabilité dans un format lisible (export JSON sur demande)
- Droit à la limitation du traitement
- Droit d'opposition au traitement pour motif légitime
- Droit de retirer votre consentement à tout moment, sans rétroactivité
Pour exercer ces droits, écrivez-nous à privacy@rubis.pro en précisant l'email associé à votre compte. Nous répondons dans un délai maximal d'un mois (extensible à trois mois pour les demandes complexes, avec information dans le mois initial).
7. Cookies
Nous utilisons exclusivement des cookies strictement nécessaires au fonctionnement du service. Aucun cookie publicitaire ni de mesure d'audience tierce n'est déposé.
| Cookie | Rôle & durée |
|---|---|
rubis_refresh |
Cookie httpOnly maintenant la session connectée. Durée : 30 jours. |
localStorage access_token |
Token JWT de courte durée (30 min) pour authentifier les appels API. Pas un cookie au sens technique mais un stockage local du navigateur. |
localStorage rubis.sidebar.collapsed |
Préférence d'affichage (sidebar repliée ou non). Aucun tracking. |
8. Sécurité
Nous appliquons les mesures de sécurité usuelles pour un service SaaS :
- Chiffrement des connexions TLS 1.2+ (Let's Encrypt)
- Mots de passe hashés via Argon2id (pas de stockage en clair)
- Tokens d'API rotatés (access tokens 30 min, refresh tokens 30 jours)
- Restrictions d'accès aux clés Stripe par IP allowlist
- Sauvegardes chiffrées de la base de données
- Logs d'accès conservés et audités en cas d'incident
9. Réclamation auprès de la CNIL
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous pouvez adresser une réclamation à la Commission Nationale de l'Informatique et des Libertés (CNIL) .
10. Évolutions de cette politique
Nous pouvons modifier cette politique pour refléter des évolutions légales, techniques ou organisationnelles. Toute modification substantielle sera annoncée par email aux utilisateurs concernés au moins 30 jours avant son entrée en vigueur.