Légal

Politique de confidentialité

Dernière mise à jour : 14 mai 2026

Document en v1. Cette page est une première rédaction de bonne foi. Les textes définitifs seront validés par un avocat avant l'ouverture publique d'Altia Folio. Pour toute question, écris à contact@altiafolio.com.

Altia traite des données à caractère personnel dans le cadre du service Altia Folio. Cette politique explique quelles données on collecte, pourquoi, elles sont stockées, combien de temps on les conserve et quels droits tu as dessus. Le traitement respecte la loi marocaine n° 09-08 (CNDP) et anticipe les exigences du RGPD européen.

Données collectées

  • Données de compte : e-mail, nom, mot de passe (haché bcryptjs, jamais en clair), secret TOTP chiffré si tu actives la 2FA.
  • Données comptables : factures, relevés bancaires, pièces de caisse, pièces de personnel, et les champs extraits par OCR (numéro, date, tiers, montants).
  • Données d'usage : journal d'activité (qui a déposé / supprimé / exporté quoi et quand), pour la traçabilité.
  • Données de la waitlist (mode bêta) : e-mail, prénom optionnel, note optionnelle sur le contexte.

Finalités du traitement

  • Fournir le service de préparation et de livraison du dossier comptable mensuel.
  • Authentifier les utilisateurs et sécuriser leur accès.
  • Permettre l'OCR et le rapprochement bancaire automatiques.
  • Envoyer les e-mails transactionnels (vérification, reset, invitations, livraisons, rappels).
  • Gérer la file d'attente pour la bêta privée.

Base légale

Les traitements sont fondés sur (i) l'exécution du contrat de service entre toi et Altia, (ii) ton consentement pour les communications marketing éventuelles, et (iii) l'intérêt légitime de l'éditeur pour la sécurité du service (logs, anti-abus).

Localisation et hébergement

Toutes les données structurées sont stockées dans la base Postgres hébergée chez Neon, Inc. en région UE (Région UE (Francfort)). Les fichiers (PDF, photos, relevés, exports ZIP) sont stockés chez Cloudflare, Inc. avec une juridiction de stockage UE. L'application web elle-même tourne sur Vercel Inc. en région UE Francfort.

Sous-traitants et services tiers

Les services suivants traitent ponctuellement certaines données pour notre compte :

  • Anthropic (Claude API) : OCR factures et relevés bancaires. Localisation : USA.
  • Resend : Envoi e-mails transactionnels. Localisation : USA (DPA EU).
  • Twilio (WhatsApp) : Rappels d'échéance. Localisation : USA.
  • Sentry : Monitoring erreurs. Localisation : USA (option EU).
  • Upstash Redis : Rate limiting. Localisation : UE.
  • Google Drive API : Miroir des fichiers vers le Drive du client (option). Localisation : USA.

Lorsqu'un sous-traitant est situé hors UE, les transferts sont encadrés par des Clauses Contractuelles Types (CCT) et des mesures techniques complémentaires.

Durée de conservation

  • Compte actif : tant que tu en es titulaire.
  • Données comptables : 10 ans après leur dépôt (obligation comptable et fiscale marocaine).
  • Journal d'activité : 3 ans, pour la traçabilité et la sécurité.
  • Entrées waitlist non invitées : 12 mois, puis purge automatique.
  • Sauvegardes : conservées 30 jours.

Tes droits

Tu disposes des droits d'accès, de rectification, de suppression, d'opposition, de limitation et de portabilité sur tes données. Pour les exercer, écris à rgpd@altiafolio.com. Tu peux également t'adresser directement à la CNDP (Maroc) ou à la CNIL (France) si tu estimes que tes droits ne sont pas respectés.

Sécurité

Mots de passe hachés (bcryptjs, coût ≥ 12), 2FA TOTP optionnelle, communications HTTPS, secrets chiffrés en base (AES-256-GCM), isolation multi-tenant par Row-Level Security Postgres, fichiers accessibles uniquement par URL signée à courte durée. Sauvegardes Postgres point-in-time activées.

Contact

Pour toute question sur cette politique : rgpd@altiafolio.com.