Légal
Politique de confidentialité
Dernière mise à jour : 14 mai 2026
Altia traite des données à caractère personnel dans le cadre du service Altia Folio. Cette politique explique quelles données on collecte, pourquoi, où elles sont stockées, combien de temps on les conserve et quels droits tu as dessus. Le traitement respecte la loi marocaine n° 09-08 (CNDP) et anticipe les exigences du RGPD européen.
Données collectées
- Données de compte : e-mail, nom, mot de passe (haché bcryptjs, jamais en clair), secret TOTP chiffré si tu actives la 2FA.
- Données comptables : factures, relevés bancaires, pièces de caisse, pièces de personnel, et les champs extraits par OCR (numéro, date, tiers, montants).
- Données d'usage : journal d'activité (qui a déposé / supprimé / exporté quoi et quand), pour la traçabilité.
- Données de la waitlist (mode bêta) : e-mail, prénom optionnel, note optionnelle sur le contexte.
Finalités du traitement
- Fournir le service de préparation et de livraison du dossier comptable mensuel.
- Authentifier les utilisateurs et sécuriser leur accès.
- Permettre l'OCR et le rapprochement bancaire automatiques.
- Envoyer les e-mails transactionnels (vérification, reset, invitations, livraisons, rappels).
- Gérer la file d'attente pour la bêta privée.
Base légale
Les traitements sont fondés sur (i) l'exécution du contrat de service entre toi et Altia, (ii) ton consentement pour les communications marketing éventuelles, et (iii) l'intérêt légitime de l'éditeur pour la sécurité du service (logs, anti-abus).
Localisation et hébergement
Toutes les données structurées sont stockées dans la base Postgres hébergée chez Neon, Inc. en région UE (Région UE (Francfort)). Les fichiers (PDF, photos, relevés, exports ZIP) sont stockés chez Cloudflare, Inc. avec une juridiction de stockage UE. L'application web elle-même tourne sur Vercel Inc. en région UE Francfort.
Sous-traitants et services tiers
Les services suivants traitent ponctuellement certaines données pour notre compte :
- Anthropic (Claude API) : OCR factures et relevés bancaires. Localisation : USA.
- Resend : Envoi e-mails transactionnels. Localisation : USA (DPA EU).
- Twilio (WhatsApp) : Rappels d'échéance. Localisation : USA.
- Sentry : Monitoring erreurs. Localisation : USA (option EU).
- Upstash Redis : Rate limiting. Localisation : UE.
- Google Drive API : Miroir des fichiers vers le Drive du client (option). Localisation : USA.
Lorsqu'un sous-traitant est situé hors UE, les transferts sont encadrés par des Clauses Contractuelles Types (CCT) et des mesures techniques complémentaires.
Durée de conservation
- Compte actif : tant que tu en es titulaire.
- Données comptables : 10 ans après leur dépôt (obligation comptable et fiscale marocaine).
- Journal d'activité : 3 ans, pour la traçabilité et la sécurité.
- Entrées waitlist non invitées : 12 mois, puis purge automatique.
- Sauvegardes : conservées 30 jours.
Tes droits
Tu disposes des droits d'accès, de rectification, de suppression, d'opposition, de limitation et de portabilité sur tes données. Pour les exercer, écris à rgpd@altiafolio.com. Tu peux également t'adresser directement à la CNDP (Maroc) ou à la CNIL (France) si tu estimes que tes droits ne sont pas respectés.
Sécurité
Mots de passe hachés (bcryptjs, coût ≥ 12), 2FA TOTP optionnelle, communications HTTPS, secrets chiffrés en base (AES-256-GCM), isolation multi-tenant par Row-Level Security Postgres, fichiers accessibles uniquement par URL signée à courte durée. Sauvegardes Postgres point-in-time activées.
Contact
Pour toute question sur cette politique : rgpd@altiafolio.com.