Document légal

Politique de confidentialité

Version 1.0 — En vigueur à compter du 19 juin 2026

1.Responsable du traitement

Le responsable du traitement des données personnelles collectées via Quitus est [Jean Murzeau], joignable à [jean.murzeau@essec.edu].

2.Données collectées

2.1 Données de compte

  • Nom, prénom, adresse email, mot de passe (hashé et non lisible).
  • Informations sur l'entreprise : raison sociale, SIRET, adresse, téléphone.
  • Plan d'abonnement souscrit et données de facturation (traitées par Stripe).

2.2 Données métier

  • Informations clients : nom, email, SIRET, adresse.
  • Devis et factures : montants, descriptions de prestations, dates.
  • Données de chantiers : adresses, photos géolocalisées, rapports d'avancement.
  • Données d'équipe : noms et rôles des compagnons.
  • Données de sous-traitants : nom, SIRET, documents de conformité (attestations URSSAF, Kbis, décennale), pistes d'audit horodatées de vérification.

2.3 Données techniques

  • Adresse IP, type de navigateur, pages visitées (logs serveur).
  • Cookies de session strictement nécessaires au fonctionnement du service.

3.Finalités et bases légales des traitements

Exécution du contrat (art. 6.1.b RGPD). Gestion du compte utilisateur, fourniture du service, facturation, envoi d'emails transactionnels (relances, signatures, notifications).

Intérêt légitime (art. 6.1.f RGPD). Amélioration du service, sécurité de la plateforme, prévention des fraudes, statistiques d'usage anonymisées.

Obligation légale (art. 6.1.c RGPD). Conservation des données de facturation (10 ans — obligation comptable), traçabilité des vérifications URSSAF (obligation de vigilance loi n° 75-1334 du 31 décembre 1975).

4.Sous-traitants de données

Quitus fait appel aux sous-traitants suivants, situés en UE ou offrant des garanties RGPD appropriées (clauses contractuelles types) :

SupabaseHébergement base de données et authentificationServeurs en Europe (AWS eu-west-3)
VercelHébergement de l'applicationInfrastructure en Europe
StripeTraitement des paiementsCertifié PCI-DSS, clauses contractuelles types
ResendEnvoi d'emails transactionnelsServeurs en Europe
Anthropic (API Claude)Traitement IA des contenusLes données soumises ne sont pas utilisées pour entraîner les modèles
Super PDP / B2BrouterTransmission de factures électroniques (Peppol)Plateforme agréée DGFiP

5.Durées de conservation

  • Données de compte : durée de l'abonnement + 30 jours après résiliation, puis suppression.
  • Données de facturation : 10 ans (obligation comptable légale).
  • Documents de sous-traitance (attestations, pistes d'audit) : 5 ans après la fin du contrat.
  • Logs techniques : 90 jours.
  • Données de chantier (photos, rapports) : durée de l'abonnement + 30 jours.

6.Vos droits

Conformément au RGPD (Règlement UE 2016/679), vous disposez des droits suivants :

Droit d'Accès (art. 15)Obtenir une copie des données vous concernant.
Droit d'Rectification (art. 16)Corriger des données inexactes ou incomplètes.
Droit d'Effacement (art. 17)Demander la suppression de vos données, sous réserve des obligations légales de conservation.
Droit d'Portabilité (art. 20)Recevoir vos données dans un format structuré et lisible par machine.
Droit d'Opposition (art. 21)Vous opposer à certains traitements fondés sur l'intérêt légitime.

Pour exercer ces droits, contactez-nous à [jean.murzeau@essec.edu]. Vous pouvez également introduire une réclamation auprès de la CNIL (3 Place de Fontenoy, 75007 Paris).

7.Sécurité des données

L'Éditeur met en œuvre les mesures techniques et organisationnelles suivantes :

  • Chiffrement des communications (HTTPS/TLS).
  • Isolation des données par entreprise via Row Level Security (RLS) PostgreSQL.
  • Authentification sécurisée (Supabase Auth, tokens JWT).
  • Clés d'API sensibles stockées exclusivement côté serveur.
  • Sauvegardes automatiques quotidiennes de la base de données.

8.Cookies

Quitus utilise uniquement des cookies strictement nécessaires au fonctionnement du service (cookies de session d'authentification). Aucun cookie publicitaire ou de suivi tiers n'est déposé. Aucun consentement n'est requis pour ces cookies (art. 82 loi Informatique et Libertés).

9.Modifications de la politique

L'Éditeur se réserve le droit de modifier la présente politique à tout moment. Toute modification substantielle sera notifiée par email au moins 15 jours avant son entrée en vigueur. La date de mise à jour figure en en-tête du document.

10.Contact

Responsable du traitement : [Jean Murzeau]

Email : [jean.murzeau@essec.edu]

Adresse postale : [1 place du docteur Hayem 75016 Paris]

CNIL : www.cnil.fr — 3 Place de Fontenoy, 75007 Paris