Légal

Politique RGPD & Données personnelles

Dernière mise à jour : 15 mai 2026 · Conforme RGPD (UE 2016/679)

En bref : vos données restent en France, ne sont jamais vendues, et vous pouvez les exporter ou les supprimer en un clic à tout moment.

1. Responsable du traitement

NUVIO SAS, agit en tant que responsable du traitement pour les données fournies dans le cadre de l'utilisation du Service.

Délégué à la Protection des Données (DPO) : dpo@nuvio-ia.fr

2. Données collectées

2.1. Données fournies par l'utilisateur

  • Données de compte : nom, prénom, email, mot de passe haché (PBKDF2-SHA256, 200 000 itérations), photo de profil.
  • Données métier : factures, devis, contrats, informations clients/fournisseurs, écritures comptables, fiches de paie.
  • Conversations IA : historique des échanges avec l'agent NUVIO (utilisé uniquement pour générer les réponses, jamais pour entraîner des modèles tiers).
  • Données bancaires : transactions importées via Open Banking (consentement explicite à chaque connexion).

2.2. Données collectées automatiquement

  • Logs techniques : adresse IP, user-agent, horodatage, action effectuée (conservés 12 mois pour la sécurité).
  • Journal d'audit : hash-chain inviolable des actions sensibles (conservé 10 ans pour conformité comptable).

2.3. Données NON collectées

  • Aucune donnée bancaire complète (n° de carte, CVC) — gérées exclusivement par Stripe.
  • Aucune donnée de tracking publicitaire — pas de Google Analytics, pas de Facebook Pixel, pas de cookies tiers.

3. Finalités du traitement

FinalitéBase légaleDurée
Fournir le Service (génération docs, comptabilité, paie)Exécution du contratDurée de l'abonnement + 90 j
Facturation et recouvrementObligation légale10 ans (Code de commerce)
Sécurité, prévention des fraudesIntérêt légitime12 mois
Audit comptable inviolableObligation légale10 ans
Newsletter, communication produitConsentement (opt-in)Jusqu'au retrait du consentement

4. Hébergement et localisation

L'intégralité des données est hébergée en France 🇫🇷, sur les datacenters de notre prestataire d'infrastructure certifié ISO 27001 et HDS (Hébergeur de Données de Santé, par anticipation).

Aucun transfert hors UE n'est effectué pour les données de production. Les sauvegardes chiffrées sont également stockées en zone européenne.

5. Sécurité

  • Chiffrement au repos : AES-256 sur tous les disques (PostgreSQL TDE).
  • Chiffrement en transit : TLS 1.3 obligatoire (TLS 1.2 minimum).
  • Champs sensibles : chiffrement applicatif supplémentaire (clés bancaires, IBAN, secrets TOTP).
  • 2FA obligatoire pour les rôles PDG / Comptable / Admin / Owner.
  • Postgres RLS (Row-Level Security) forcé pour garantir l'isolation entre teams.
  • Audit log hash-chained : chaque action sensible chaînée par hash SHA-256 — toute altération détectée.
  • Tests d'intrusion annuels par un cabinet indépendant.
  • Politique de mot de passe : minimum 8 caractères, contrôle entropy, refus des mots de passe compromis (HaveIBeenPwned).

6. Vos droits RGPD

Conformément aux articles 15 à 22 du RGPD, vous disposez des droits suivants :

  • Droit d'accès — consulter toutes vos données depuis votre espace personnel.
  • Droit de rectification — modifier toute donnée inexacte directement dans l'app.
  • Droit à l'effacement — supprimer votre compte et toutes vos données associées (sauf obligations comptables).
  • Droit à la portabilité — exporter l'ensemble de vos données dans un format réutilisable (JSON / CSV / FEC).
  • Droit d'opposition — vous opposer au traitement à des fins marketing.
  • Droit à la limitation — geler temporairement le traitement de vos données.

Pour exercer ces droits :

  • Depuis l'app : Profil → Mes données (RGPD) → boutons « Exporter » / « Supprimer »
  • Par email : dpo@nuvio-ia.fr (réponse sous 30 jours maximum)

7. Cookies et traceurs

NUVIO utilise uniquement des cookies fonctionnels strictement nécessaires au fonctionnement du Service (session, préférences, sécurité). Aucun cookie publicitaire ni traceur tiers n'est déposé. Aucune bannière de consentement n'est nécessaire.

8. Notification de violation

En cas de violation de données personnelles susceptible d'engendrer un risque pour vos droits, NUVIO s'engage à notifier la CNIL dans un délai maximum de 72 heures, et à informer les personnes concernées si le risque est élevé.

9. Réclamation auprès de la CNIL

Si vous estimez que vos droits ne sont pas respectés, vous pouvez à tout moment introduire une réclamation auprès de la CNIL :

Commission Nationale de l'Informatique et des Libertés · 3 Place de Fontenoy · TSA 80715 · 75334 Paris Cedex 07 · www.cnil.fr

10. Contact

dpo@nuvio-ia.fr · NUVIO SAS