Politique de Confidentialité

Conformément au RGPD (Règlement UE 2016/679)

Dernière mise à jour : juin 2026

Protection de vos données

Factu.me s'engage à protéger vos données personnelles et à respecter votre vie privée. Cette politique décrit comment nous collectons, utilisons, conservons et sécurisons vos informations, conformément au Règlement Général sur la Protection des Données (RGPD) et à la loi Informatique et Libertés.

Vos données Google — Transparence complète

Factu.me vous propose l’option « Se connecter avec Google » pour une inscription et une connexion simplifiées. Conformément à la Google API Services User Data Policy, cette section décrit de manière explicite comment nous interagissons avec les données de votre compte Google.

1. Données auxquelles nous accédons

Lors de la connexion « Se connecter avec Google », nous demandons uniquement l’accès aux informations suivantes, via les scopes OpenID Connect standards (openid, email, profile) :

Votre adresse e-mail Google
Votre nom et prénom publics (profil Google)

Nous n’accédons pas à vos e-mails, contacts, documents Drive, photos, agenda personnel, historique ou à toute autre donnée privée de votre compte Google.

2. Utilisation de ces données

Vos données Google servent exclusivement à :

Créer et authentifier votre compte Factu.me (connexion unique)
Pré-remplir votre profil Factu.me (nom, adresse e-mail)
Vous adresser des e-mails transactionnels (confirmation, notifications de service)

Nous n’utilisons jamais vos données Google à des fins publicitaires, de profilage, d’analyse commerciale ou de revente.

3. Partage des données

Vos données Google ne sont jamais partagées, vendues, louées ou transférées à un tiers. Elles demeurent strictement internes à Factu.me et ne font l’objet d’aucune communication externe. Aucun partenaire, annonceur ou tiers n’y accède.

4. Stockage et protection

Stockage : base de données Supabase hébergée en Union européenne (Francfort, Allemagne)

Chiffrement en transit : TLS 1.3

Chiffrement au repos : AES-256

Isolation : Row Level Security (RLS), vos données ne sont accessibles que par vous

Les jetons d’authentification (tokens) émis par Google sont chiffrés (AES-256-GCM) avant tout stockage en base.

5. Conservation et suppression

Vos données Google (e-mail, nom) sont conservées tant que votre compte est actif.
À la suppression de votre compte — ou sur simple demande à contact@factu.me — l’ensemble de vos données est supprimé sous 30 jours.
Vous pouvez révoquer à tout moment l’accès de Factu.me à votre compte Google depuis votre Google Account → Autorisations.

Conformément aux exigences d’utilisation limitée de Google (Limited Use), l’usage que nous faisons de vos données Google se limite strictement aux finalités décrites ci-dessus, nécessaires au fonctionnement de l’application. Le transfert de ces données vers d’autres applications, à des fins autres que celles-ci, est proscrit.

1. Responsable du traitement

La société Factu.me, SAS au capital variable, immatriculée au RCS de Paris, est le responsable du traitement des données personnelles collectées sur la plateforme.

DPO - Délégué à la Protection des Données

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :

Email : contact@factu.me

2. Données collectées

Données d'inscription

Nom, prénom, adresse email, mot de passe (chiffré)

Données professionnelles

Nom de l'entreprise, SIRET, adresse, secteur d'activité

Données d'utilisation

Documents créés, clients, historique de connexion

Données de paiement

Traitées directement par Stripe et SumUp (PCI-DSS compliant) - Factu.me ne stocke aucune donnée bancaire

3. Finalités du traitement

Fourniture du service

Création et gestion de documents commerciaux

Support technique

Assistance et amélioration du service

Conformité légale

Obligations fiscales et comptables

Communication

Avec consentement préalable pour les newsletters

4. Sécurité des données

Chiffrement

TLS 1.3 en transit, AES-256 au repos

Localisation

Serveurs hébergés en France (Paris)

Isolement

Row Level Security (RLS) pour chaque utilisateur

5. Durée de conservation

Les données sont conservées pendant la durée du contrat, puis :

Compte actif : Conservation illimitée durant la souscription
Après résiliation : Suppression dans un délai de 30 jours

Durées légales spécifiques

10 ans pour les données fiscales et comptables, conformément à l'article L.123-22 du Code de commerce
3 ans pour les données de clients inactifs (dernière connexion ou interaction), après quoi elles sont anonymisées ou supprimées
13 mois pour les cookies de mesure d'audience (consentement renouvelé annuellement)

À l'issue de ces durées, les données sont supprimées définitivement de nos serveurs, sauf obligation légale contraire.

6. Vos droits (RGPD)

Droit d'accès (Art. 15)

Obtenir la confirmation du traitement de vos données et une copie de celles-ci, ainsi que les informations relatives aux finalités, aux catégories de données et aux destinataires

Droit de rectification (Art. 16)

Corriger des données inexactes ou incomplètes. Vous pouvez modifier vos informations directement depuis votre espace utilisateur

Droit à l'effacement (Art. 17)

Demander la suppression de vos données personnelles (« droit à l'oubli »), sous réserve des obligations légales de conservation

Droit à la limitation (Art. 18)

Demander la limitation du traitement de vos données pendant la durée nécessaire à la vérification de l'exactitude ou en cas de contestation

Droit à la portabilité (Art. 20)

Exporter vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV). Disponible directement depuis les paramètres de votre compte

Droit d'opposition (Art. 21)

Vous opposer au traitement de vos données pour des motifs légitimes, ou vous opposer à la prospection commerciale à tout moment

7. Sous-traitants

Factu.me fait appel aux sous-traitants suivants pour le traitement de vos données. Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Supabase

Hébergement de la base de données et des fichiers. Serveurs localisés à Frankfort, Allemagne. Conforme RGPD, certifié SOC 2 Type II.

Stripe

EU / US

Traitement des paiements par carte bancaire. Certifié PCI-DSS Level 1. Données traitées dans l'Union européenne conformément au RGPD.

SumUp

Traitement des paiements par terminal de paiement. Conforme PCI-DSS. Siège social à Londres, Royaume-Uni (adéquation RGPD reconnue).

Vercel

Hébergement de l'application web. Infrastructures certifiées ISO 27001, SOC 2 Type II. Serveurs localisés à Paris, France.

Resend

Envoi d'emails transactionnels (factures, notifications, confirmation de compte). Données hébergées en Union européenne.

OpenRouter

Services d'intelligence artificielle pour la génération et la modification de documents. Hébergé aux États-Unis. Transfert encadré par des clauses contractuelles types (SCCs) conformément au RGPD.

Google Analytics

Mesure d'audience et analyse du trafic. Hébergé aux États-Unis. Transfert encadré par les clauses contractuelles types (SCCs) et le EU-US Data Privacy Framework (DPF, 2023). Données anonymisées le cas échéant.

8. Cookies

Factu.me utilise des cookies pour améliorer votre expérience de navigation et assurer le bon fonctionnement du service. Vous pouvez gérer vos préférences de cookies à tout moment depuis les paramètres de votre navigateur.

Cookies essentiels

Nécessaires au fonctionnement du service : session utilisateur, authentification (token JWT), préférences linguistiques et thème (sombre/clair). Ces cookies ne nécessitent pas de consentement.

Durée : session + 30 jours maximum

Google Analytics

Mesure d'audience et analyse comportementale (pages visitées, durée de visite, source de trafic). Données anonymisées via l'option IP anonymisation. Soumis à votre consentement préalable.

Durée : 13 mois maximum (renouvellement par consentement)

Vercel Analytics

Analyse des performances techniques (temps de chargement, Core Web Vitals, erreurs). Aucune donnée personnelle n'est collectée, uniquement des métriques de performance agrégées.

Durée : session en cours

9. Transferts hors UE

Certains de nos sous-traitants (OpenRouter, Google Analytics) sont susceptibles de traiter des données en dehors de l'Union européenne (États-Unis). Ces transferts sont encadrés par :

Clauses contractuelles types (SCCs) approuvées par la Commission européenne
Évaluations d'impact sur la protection des données (AIPD) lorsqu'elles sont requises
Mesures techniques complémentaires : chiffrement des données en transit et au repos, minimisation des données transférées

10. Réclamations

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle :

CNIL - Commission Nationale de l'Informatique et des Libertés (cnil.fr)

Site web : www.cnil.fr
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07

Exercez vos droits

DPO : contact@factu.me - Réponse sous 30 jours maximum

contact@factu.me

Mentions légales|CGU|CGV|Retour sur Factu.me

Factu.me

Retour à l'accueil

Politique de Confidentialité

Conformément au RGPD (Règlement UE 2016/679)

Dernière mise à jour : juin 2026

Protection de vos données

Vos données Google — Transparence complète

1. Données auxquelles nous accédons

Lors de la connexion « Se connecter avec Google », nous demandons uniquement l’accès aux informations suivantes, via les scopes OpenID Connect standards (openid, email, profile) :

Votre adresse e-mail Google
Votre nom et prénom publics (profil Google)

Nous n’accédons pas à vos e-mails, contacts, documents Drive, photos, agenda personnel, historique ou à toute autre donnée privée de votre compte Google.

2. Utilisation de ces données

Vos données Google servent exclusivement à :

Créer et authentifier votre compte Factu.me (connexion unique)
Pré-remplir votre profil Factu.me (nom, adresse e-mail)
Vous adresser des e-mails transactionnels (confirmation, notifications de service)

Nous n’utilisons jamais vos données Google à des fins publicitaires, de profilage, d’analyse commerciale ou de revente.

3. Partage des données

4. Stockage et protection

Stockage : base de données Supabase hébergée en Union européenne (Francfort, Allemagne)

Chiffrement en transit : TLS 1.3

Chiffrement au repos : AES-256

Isolation : Row Level Security (RLS), vos données ne sont accessibles que par vous

Les jetons d’authentification (tokens) émis par Google sont chiffrés (AES-256-GCM) avant tout stockage en base.

5. Conservation et suppression

Vos données Google (e-mail, nom) sont conservées tant que votre compte est actif.
À la suppression de votre compte — ou sur simple demande à contact@factu.me — l’ensemble de vos données est supprimé sous 30 jours.
Vous pouvez révoquer à tout moment l’accès de Factu.me à votre compte Google depuis votre Google Account → Autorisations.

1. Responsable du traitement

La société Factu.me, SAS au capital variable, immatriculée au RCS de Paris, est le responsable du traitement des données personnelles collectées sur la plateforme.

DPO - Délégué à la Protection des Données

Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre Délégué à la Protection des Données :

Email : contact@factu.me

2. Données collectées

Données d'inscription

Nom, prénom, adresse email, mot de passe (chiffré)

Données professionnelles

Nom de l'entreprise, SIRET, adresse, secteur d'activité

Données d'utilisation

Documents créés, clients, historique de connexion

Données de paiement

Traitées directement par Stripe et SumUp (PCI-DSS compliant) - Factu.me ne stocke aucune donnée bancaire

3. Finalités du traitement

Fourniture du service

Création et gestion de documents commerciaux

Support technique

Assistance et amélioration du service

Conformité légale

Obligations fiscales et comptables

Communication

Avec consentement préalable pour les newsletters

4. Sécurité des données

Chiffrement

TLS 1.3 en transit, AES-256 au repos

Localisation

Serveurs hébergés en France (Paris)

Isolement

Row Level Security (RLS) pour chaque utilisateur

5. Durée de conservation

Les données sont conservées pendant la durée du contrat, puis :

Compte actif : Conservation illimitée durant la souscription
Après résiliation : Suppression dans un délai de 30 jours

Durées légales spécifiques

10 ans pour les données fiscales et comptables, conformément à l'article L.123-22 du Code de commerce
3 ans pour les données de clients inactifs (dernière connexion ou interaction), après quoi elles sont anonymisées ou supprimées
13 mois pour les cookies de mesure d'audience (consentement renouvelé annuellement)

À l'issue de ces durées, les données sont supprimées définitivement de nos serveurs, sauf obligation légale contraire.

6. Vos droits (RGPD)

Droit d'accès (Art. 15)

Obtenir la confirmation du traitement de vos données et une copie de celles-ci, ainsi que les informations relatives aux finalités, aux catégories de données et aux destinataires

Droit de rectification (Art. 16)

Corriger des données inexactes ou incomplètes. Vous pouvez modifier vos informations directement depuis votre espace utilisateur

Droit à l'effacement (Art. 17)

Demander la suppression de vos données personnelles (« droit à l'oubli »), sous réserve des obligations légales de conservation

Droit à la limitation (Art. 18)

Demander la limitation du traitement de vos données pendant la durée nécessaire à la vérification de l'exactitude ou en cas de contestation

Droit à la portabilité (Art. 20)

Exporter vos données dans un format structuré, couramment utilisé et lisible par machine (JSON, CSV). Disponible directement depuis les paramètres de votre compte

Droit d'opposition (Art. 21)

Vous opposer au traitement de vos données pour des motifs légitimes, ou vous opposer à la prospection commerciale à tout moment

7. Sous-traitants

Factu.me fait appel aux sous-traitants suivants pour le traitement de vos données. Chaque sous-traitant est lié par un contrat de sous-traitance conforme à l'article 28 du RGPD :

Supabase

Hébergement de la base de données et des fichiers. Serveurs localisés à Frankfort, Allemagne. Conforme RGPD, certifié SOC 2 Type II.

Stripe

EU / US

Traitement des paiements par carte bancaire. Certifié PCI-DSS Level 1. Données traitées dans l'Union européenne conformément au RGPD.

SumUp

Traitement des paiements par terminal de paiement. Conforme PCI-DSS. Siège social à Londres, Royaume-Uni (adéquation RGPD reconnue).

Vercel

Hébergement de l'application web. Infrastructures certifiées ISO 27001, SOC 2 Type II. Serveurs localisés à Paris, France.

Resend

Envoi d'emails transactionnels (factures, notifications, confirmation de compte). Données hébergées en Union européenne.

OpenRouter

Google Analytics

8. Cookies

Cookies essentiels

Nécessaires au fonctionnement du service : session utilisateur, authentification (token JWT), préférences linguistiques et thème (sombre/clair). Ces cookies ne nécessitent pas de consentement.

Durée : session + 30 jours maximum

Google Analytics

Mesure d'audience et analyse comportementale (pages visitées, durée de visite, source de trafic). Données anonymisées via l'option IP anonymisation. Soumis à votre consentement préalable.

Durée : 13 mois maximum (renouvellement par consentement)

Vercel Analytics

Analyse des performances techniques (temps de chargement, Core Web Vitals, erreurs). Aucune donnée personnelle n'est collectée, uniquement des métriques de performance agrégées.

Durée : session en cours

9. Transferts hors UE

Certains de nos sous-traitants (OpenRouter, Google Analytics) sont susceptibles de traiter des données en dehors de l'Union européenne (États-Unis). Ces transferts sont encadrés par :

Clauses contractuelles types (SCCs) approuvées par la Commission européenne
Évaluations d'impact sur la protection des données (AIPD) lorsqu'elles sont requises
Mesures techniques complémentaires : chiffrement des données en transit et au repos, minimisation des données transférées

10. Réclamations

Si vous estimez que le traitement de vos données personnelles n'est pas conforme à la réglementation, vous disposez du droit d'introduire une réclamation auprès de l'autorité de contrôle :

CNIL - Commission Nationale de l'Informatique et des Libertés (cnil.fr)

Site web : www.cnil.fr
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07

Exercez vos droits

DPO : contact@factu.me - Réponse sous 30 jours maximum

contact@factu.me

Mentions légales|CGU|CGV|Retour sur Factu.me

Politique de Confidentialité – Factu.me | Factu.me