Politique de confidentialité
Dernière mise à jour : 13 février 2026
La présente politique de confidentialité décrit la manière dont GDL Solutions (ci-après « nous », « notre » ou « l'Éditeur ») collecte, utilise, conserve et protège les données à caractère personnel des utilisateurs (ci-après « vous » ou « l'Utilisateur ») du service Easy Factur-X accessible à l'adresse https://www.easyfacturx.com (ci-après le « Service »).
Cette politique est établie conformément au Règlement (UE) 2016/679 du 27 avril 2016 (« RGPD »), à la loi n° 78-17 du 6 janvier 1978 modifiée (« loi Informatique et Libertés ») et à toute réglementation applicable en matière de protection des données personnelles.
1. Responsable du traitement
Le responsable du traitement des données personnelles collectées via le Service est :
- Raison sociale : GDL Solutions
- Forme juridique : Entreprise Individuelle (EI)
- Siège social : 29830 Ploudalmézeau
- SIRET : 884 904 640 00049
- Représentant légal : Tristan Godal, Gérant
2. Délégué à la protection des données (DPO)
Pour toute question relative à la protection de vos données personnelles, vous pouvez contacter notre référent protection des données :
- E-mail : contact@easyfacturx.com
- Adresse postale : GDL Solutions - Protection des données, 29830 Ploudalmézeau
3. Données collectées
Dans le cadre du fonctionnement du Service, nous collectons et traitons les catégories de données suivantes :
3.1. Données d'identification
- Nom et prénom
- Adresse e-mail
- Mot de passe (stocké sous forme de hachage irréversible via l'algorithme Argon2id)
3.2. Données de connexion et techniques
- Adresse IP
- Type et version du navigateur
- Système d'exploitation
- Date et heure de connexion
- Pages consultées et parcours de navigation
3.3. Données d'usage du Service
- Nombre de conversions effectuées par jour et par mois
- Type d'offre souscrite (Gratuit / Pro)
- Dates de souscription et de renouvellement
- Statut du quota de conversions
3.4. Données de facturation
- Identifiant client Stripe
- Historique des paiements (montants, dates, statuts)
- Type de moyen de paiement utilisé (les données complètes de carte bancaire sont exclusivement traitées par Stripe et ne transitent jamais par nos serveurs)
4. Engagement de non-stockage des factures
Engagement fondamental : zéro stockage de vos factures
Le contenu de vos factures n'est JAMAIS stocké, enregistré, copié, journalisé ou conservé sous quelque forme que ce soit sur nos serveurs.
Le Service Easy Factur-X repose sur un principe architectural de traitement éphémère. Concrètement :
- Téléversement : lorsque vous soumettez un fichier PDF au Service, celui-ci est chargé en mémoire vive (RAM) du serveur pour traitement.
- Extraction et conversion : les données de la facture sont extraites du PDF et converties en XML au format Cross-Industry Invoice (CII) conformément à la norme Factur-X, puis intégrées dans un fichier PDF/A-3.
- Restitution : le fichier Factur-X résultant vous est immédiatement transmis en téléchargement.
- Suppression immédiate : dès la fin du traitement (ou en cas d'erreur), le fichier PDF source, le XML généré et le fichier Factur-X résultant sont immédiatement et irréversiblement supprimés de la mémoire du serveur.
En aucun cas :
- Le contenu de vos factures n'est écrit sur un disque dur ou un système de stockage persistant ;
- Les données extraites (montants, noms, adresses, numéros de facture, etc.) ne sont enregistrées dans une base de données ;
- Le contenu des factures n'apparaît dans les journaux applicatifs (logs) du Service ;
- Le contenu des factures n'est transmis à un quelconque tiers, sous-traitant ou service d'analyse.
Seules les métadonnées techniques de la conversion sont journalisées à des fins de suivi de quota et de qualité de service : identifiant utilisateur, horodatage, statut de la conversion (succès/échec), et durée du traitement. Ces métadonnées ne contiennent aucune information issue du contenu de la facture.
5. Finalités et bases légales des traitements
| Finalité | Base légale (RGPD) | Données concernées |
|---|---|---|
| Création et gestion du compte utilisateur | Art. 6.1.b - Exécution du contrat | Nom, e-mail, mot de passe |
| Fourniture du service de conversion | Art. 6.1.b - Exécution du contrat | Données d'usage, métadonnées techniques |
| Gestion des abonnements et facturation | Art. 6.1.b - Exécution du contrat | Données de facturation, identifiant Stripe |
| Obligations comptables et fiscales | Art. 6.1.c - Obligation légale | Données de facturation |
| Prévention de la fraude et sécurité | Art. 6.1.f - Intérêt légitime | Adresse IP, données de connexion |
| Amélioration du Service et statistiques d'usage | Art. 6.1.f - Intérêt légitime | Données d'usage agrégées |
| Support technique et communication | Art. 6.1.b - Exécution du contrat | Nom, e-mail, contenu des échanges |
| Dépôt de cookies nécessaires | Art. 6.1.f - Intérêt légitime (exemption consentement, art. 82 LIL) | Identifiants de session, jeton CSRF, choix cookies |
6. Durées de conservation
| Type de données | Durée de conservation en base active | Durée d'archivage |
|---|---|---|
| Données du compte utilisateur | Durée d'existence du compte | 3 ans après la suppression du compte ou le dernier contact |
| Données de facturation et paiement | Durée de la relation contractuelle | 10 ans (obligation légale comptable, art. L.123-22 du Code de commerce) |
| Journaux de connexion (logs) | 90 jours | N/A (suppression automatique après 90 jours) |
| Métadonnées de conversion | Durée d'existence du compte | Anonymisation puis suppression avec le compte |
| Cookies | 13 mois maximum | N/A |
| Contenu des factures téléversées | 0 seconde (traitement éphémère, suppression immédiate) | N/A - Jamais stocké |
À l'expiration des durées de conservation, les données sont supprimées ou anonymisées de manière irréversible.
7. Sous-traitants et destinataires des données
Nous faisons appel aux sous-traitants suivants pour le fonctionnement du Service. Chacun d'eux s'est engagé contractuellement au respect du RGPD conformément à l'article 28 :
| Sous-traitant | Finalité | Localisation | Garanties |
|---|---|---|---|
| OVHcloud | Hébergement du Service | France | Contrat conforme art. 28 RGPD, serveurs en France |
| Stripe, Inc. | Traitement des paiements | États-Unis / Irlande | Clauses contractuelles types (CCT) de la Commission européenne, Data Privacy Framework (DPF) UE-US |
Important : aucun contenu de facture n'est jamais transmis à ces sous-traitants. Stripe ne reçoit que les données strictement nécessaires au traitement du paiement (montant, devise, identifiant client). L'hébergeur fournit l'infrastructure technique mais n'a pas accès au contenu des factures qui est traité de manière éphémère en mémoire.
8. Transferts de données hors de l'Union européenne
Le Service est hébergé en France. Vos données personnelles sont principalement traitées au sein de l'Union européenne.
Le seul transfert de données vers un pays tiers concerne Stripe, Inc. (États-Unis), exclusivement pour le traitement des paiements. Ce transfert est encadré par :
- Le Data Privacy Framework (DPF) UE-États-Unis, dont Stripe est certifié participant ;
- Les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne (décision d'exécution 2021/914) ;
- Des mesures techniques et organisationnelles complémentaires mises en place par Stripe (chiffrement, pseudonymisation).
Aucun contenu de facture n'est jamais transféré hors de l'Union européenne. Les fichiers téléversés sont traités exclusivement en mémoire sur des serveurs situés en France et ne quittent jamais le territoire français.
9. Vos droits
Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants sur vos données à caractère personnel :
- Droit d'accès (art. 15 RGPD) : vous pouvez obtenir la confirmation que des données vous concernant sont ou ne sont pas traitées, et en obtenir une copie.
- Droit de rectification (art. 16 RGPD) : vous pouvez demander la correction de données inexactes ou le complément de données incomplètes.
- Droit à l'effacement (« droit à l'oubli ») (art. 17 RGPD) : vous pouvez demander la suppression de vos données, sous réserve des obligations légales de conservation.
- Droit à la portabilité (art. 20 RGPD) : vous pouvez recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
- Droit d'opposition (art. 21 RGPD) : vous pouvez vous opposer au traitement de vos données fondé sur l'intérêt légitime, pour des motifs tenant à votre situation particulière.
- Droit à la limitation du traitement (art. 18 RGPD) : vous pouvez demander le gel temporaire de l'utilisation de certaines de vos données, dans les cas prévus par la réglementation.
- Droit de définir des directives post-mortem (art. 85 loi Informatique et Libertés) : vous pouvez définir des directives relatives à la conservation, à l'effacement et à la communication de vos données après votre décès.
-
Droit de réclamation auprès de la CNIL : si vous estimez que le traitement de vos données constitue une violation de vos droits, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) :
- En ligne : https://www.cnil.fr/fr/plaintes
- Par courrier : CNIL, 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
10. Exercice de vos droits
Vous pouvez exercer l'ensemble de vos droits en nous contactant :
- Par e-mail : contact@easyfacturx.com
- Par courrier : GDL Solutions - Protection des données, 29830 Ploudalmézeau
Afin de traiter votre demande, nous pourrons vous demander de justifier de votre identité (copie d'une pièce d'identité). Cette copie sera détruite une fois la vérification effectuée.
Nous nous engageons à répondre à toute demande d'exercice de droits dans un délai d'un (1) mois à compter de la réception de la demande complète. Ce délai peut être prolongé de deux mois supplémentaires en raison de la complexité de la demande ou du nombre de demandes reçues, conformément à l'article 12.3 du RGPD. En cas de prolongation, nous vous en informerons dans le délai initial d'un mois.
L'exercice de ces droits est gratuit. Toutefois, en cas de demandes manifestement infondées ou excessives (notamment en raison de leur caractère répétitif), nous nous réservons le droit de facturer des frais raisonnables ou de refuser de donner suite, conformément à l'article 12.5 du RGPD.
11. Sécurité des données
Nous mettons en oeuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, conformément à l'article 32 du RGPD. Ces mesures incluent notamment :
11.1. Chiffrement
- Chiffrement en transit : toutes les communications entre votre navigateur et nos serveurs sont chiffrées via TLS 1.2 ou supérieur (HTTPS). Les suites cryptographiques obsolètes (TLS 1.0, TLS 1.1, SSL) sont désactivées.
- Chiffrement au repos : les données stockées (base de données, sauvegardes) sont chiffrées via AES-256-GCM.
11.2. Protection des mots de passe
Les mots de passe des utilisateurs ne sont jamais stockés en clair. Ils sont hachés à l'aide de l'algorithme Argon2id, reconnu comme l'un des plus robustes actuellement disponibles, conformément aux recommandations de l'ANSSI et du NIST.
11.3. Sécurité applicative
- Protection contre les attaques CSRF (Cross-Site Request Forgery) via jetons de sécurité
- Protection contre les injections SQL via requêtes préparées
- Validation et assainissement de toutes les entrées utilisateur
- En-têtes de sécurité HTTP (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, etc.)
- Limitation du taux de requêtes (rate limiting) pour prévenir les abus
11.4. Journalisation (logs)
Les journaux applicatifs enregistrent les événements de sécurité (connexions, tentatives d'authentification, actions administratives) sans jamais inclure le contenu des factures traitées. Les logs sont conservés 90 jours puis automatiquement supprimés.
11.5. Contrôle d'accès
L'accès aux données personnelles est strictement limité aux personnes habilitées dans le cadre de leurs fonctions. Le principe du moindre privilège est appliqué.
12. Cookies
Le Service utilise exclusivement des cookies strictement nécessaires à son fonctionnement. Aucun cookie à des fins publicitaires, de profilage ou d'analyse comportementale n'est utilisé.
Pour une information détaillée sur les cookies utilisés, leur finalité et leur durée de vie, veuillez consulter notre Politique de cookies.
13. Mineurs
Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs de moins de 16 ans. Si nous apprenons que des données personnelles d'un mineur de moins de 16 ans ont été collectées sans le consentement vérifiable d'un titulaire de l'autorité parentale, nous prendrons les mesures nécessaires pour supprimer ces données.
14. Modifications de la présente politique
Nous nous réservons le droit de modifier la présente politique de confidentialité à tout moment. Les modifications entreront en vigueur dès leur publication sur cette page.
En cas de modification substantielle, nous vous en informerons par :
- Un e-mail envoyé à l'adresse associée à votre compte ;
- Une notification visible lors de votre prochaine connexion au Service.
La date de dernière mise à jour figurant en haut de cette page vous permet de savoir quand cette politique a été révisée pour la dernière fois.
Votre utilisation continue du Service après la publication d'une version modifiée de cette politique vaut acceptation des modifications. Si vous n'acceptez pas les modifications, vous devez cesser d'utiliser le Service et procéder à la suppression de votre compte.
15. Contact
Pour toute question relative à la présente politique de confidentialité ou au traitement de vos données personnelles, n'hésitez pas à nous contacter :
- E-mail : contact@easyfacturx.com
- Courrier : GDL Solutions - Protection des données, 29830 Ploudalmézeau