Politique de confidentialité
Version 1.1.1 — Dernière mise à jour : 29 avril 2026
Cette Politique de confidentialité décrit comment PayNow collecte, utilise, et protège tes données personnelles, conformément au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la Loi Informatique et Libertés modifiée.
En utilisant PayNow, tu acceptes les pratiques décrites ci-dessous.
Article 1 — Responsable de traitement
Le responsable de traitement de tes données personnelles est :
Sacha Demoulin — personne physique
- Adresse : 96 Rue des Pâquis, 08000 Charleville-Mézières, France
- Email : paynow.contact@proton.me
L’Éditeur opère PayNow en tant que particulier, dans le cadre d’une phase de validation produit (bêta gratuite). Il n’est pas soumis à l’obligation de désignation d’un Délégué à la Protection des Données (DPO) au sens de l’article 37 du RGPD (activité non principale, traitement à petite échelle). Le contact pour les questions de protection des données est directement l’Éditeur à l’adresse ci-dessus.
Article 2 — Données collectées
Les données personnelles traitées par PayNow sont les suivantes :
Données de compte (sur toi en tant qu’utilisateur)
- Adresse email (authentification, communication service)
- Mot de passe (stocké sous forme hachée par Supabase, jamais en clair)
- Prénom, nom, téléphone (profil utilisateur)
- Raison sociale, SIRET, numéro de TVA, adresse, IBAN, coordonnées bancaires de l’entreprise (profil entreprise)
- Numéro SAP NOVA et type d’agrément (déclaration ou agrément), renseignés uniquement par les utilisateurs exerçant un service à la personne (articles L7231-1 et D7231-1 du Code du travail)
- Numéro de contrat de garantie décennale, renseigné uniquement par les utilisateurs exerçant un métier du bâtiment soumis à l’obligation Spinetta (article 1792 du Code civil)
Données sur tes clients (que TU saisis)
- Nom, adresse, téléphone, email de tes clients
- SIRET / TVA pour les clients professionnels
- Civilité du client (Madame / Monsieur) — facultatif, utilisé uniquement pour personnaliser les mentions de courtoisie dans les relances et mises en demeure adressées aux clients particuliers (B2C)
- Historique de factures et de paiements
Données d’utilisation
- Factures saisies ou scannées par OCR
- Messages de relance générés par IA et envoyés
- Dates et niveaux de relance
- Logs techniques (pour debug et sécurité) : horodatage des connexions, adresse IP, type d’appareil
Données de facturation (désactivées en bêta)
Lorsque PayNow passera en modèle payant, les données suivantes seront traitées par Stripe (voir article 5) :
- Moyen de paiement (numéro de carte tokenisé, jamais stocké par PayNow en clair)
- Historique de transactions
Article 3 — Finalités des traitements
Tes données sont traitées pour les finalités suivantes :
- Fourniture du service (exécution du contrat) : création de compte, authentification, stockage de tes factures et clients, génération des relances IA
- Support utilisateur (exécution du contrat) : répondre à tes questions et réclamations
- Sécurité (intérêt légitime) : détection des intrusions, prévention de la fraude, logs d’audit pour les actions sensibles (changement de mot de passe, suppression de compte)
- Amélioration du produit (intérêt légitime) : statistiques agrégées et anonymisées sur l’usage (taux d’ouverture des écrans, fréquence des relances). Aucun traitement nominatif à des fins d’amélioration.
- Obligations légales : conservation des logs de sécurité selon les durées légales
Aucune finalité publicitaire, marketing ou de profilage n’est pratiquée. Tes données ne sont jamais revendues à des tiers.
Article 4 — Base légale
Conformément à l’article 6 du RGPD, les bases légales applicables sont :
- Exécution du contrat (article 6.1.b) : pour la fourniture du service, l’authentification, le stockage des données métier
- Intérêt légitime (article 6.1.f) : sécurité du service, statistiques anonymisées
- Obligation légale (article 6.1.c) : conservation de certains logs (12 mois maximum pour les logs de connexion)
- Consentement (article 6.1.a) : uniquement si une finalité future le nécessitait (ex : newsletter). Actuellement, aucun traitement ne repose sur le consentement.
Article 5 — Destinataires et sous-traitants
Tes données peuvent être transmises aux sous-traitants suivants, tous liés par un accord de sous-traitance (DPA) ou des clauses contractuelles type conformes au RGPD :
| Prestataire | Rôle | Localisation des données | Garanties |
|---|---|---|---|
| Supabase Inc. | Base de données PostgreSQL + authentification des comptes | Région Europe (Frankfurt, Allemagne) | DPA signé, clauses contractuelles type UE, chiffrement en transit et au repos |
| Anthropic PBC | API Claude — génération des messages de relance et extraction OCR | États-Unis | Zero Data Retention activé — tes prompts et les réponses ne sont pas stockés côté Anthropic ni utilisés pour entraîner leurs modèles. Clauses contractuelles type UE. |
| Stripe Inc. / Stripe Technology Europe Ltd. | Traitement des paiements (désactivé en bêta) | États-Unis / Irlande (UE) | Certifié PCI-DSS niveau 1. Clauses contractuelles type UE. PayNow ne reçoit jamais les numéros de carte en clair. |
| Expo (Expo, Inc.) | Infrastructure de build et de distribution mobile | États-Unis | DPA disponible, clauses contractuelles type UE |
| Proton AG | Email de contact (réception des messages utilisateurs) | Suisse (pays reconnu adéquat par la Commission européenne) | Chiffrement de bout en bout, RGPD-natif |
PayNow ne transmet aucune donnée à des tiers en dehors des sous-traitants listés ci-dessus, sauf obligation légale (réquisition judiciaire, demande d’autorité compétente).
Article 6 — Transferts hors Union Européenne
Certains sous-traitants (Supabase Inc., Anthropic, Stripe Inc., Expo) sont des sociétés basées aux États-Unis. Les transferts sont encadrés par :
- Les clauses contractuelles type adoptées par la Commission européenne (décision 2021/914) pour Supabase, Anthropic, Stripe, Expo
- Le DPF (Data Privacy Framework) lorsque le prestataire y est certifié
- Pour Supabase, les données applicatives principales (factures, clients, messages) sont stockées dans la région UE Frankfurt. Les métadonnées administratives Supabase peuvent transiter par les États-Unis.
Pour Proton AG (Suisse), le pays bénéficie d’une décision d’adéquation de la Commission européenne — aucun transfert hors UE au sens strict.
Article 7 — Durée de conservation
| Catégorie | Durée |
|---|---|
| Données de compte actives | Pendant toute la durée d’activité du compte |
| Données de facturation (factures, clients, relances) | Pendant toute la durée d’activité du compte |
| Après suppression de compte | 30 jours de délai de grâce, puis effacement définitif |
| Logs de sécurité (connexions, audits RGPD) | 12 mois maximum |
| Logs de facturation Stripe (après bascule payante) | 10 ans (obligation comptable) |
À la suppression de ton compte, toutes les données actives sont effacées ou anonymisées sous 30 jours. Seuls les logs légalement obligatoires (audit de sécurité, historique de facturation si payant) sont conservés selon les durées prévues par la loi.
Article 8 — Tes droits
Conformément aux articles 15 à 22 du RGPD, tu disposes des droits suivants :
- Droit d’accès — obtenir une copie des données te concernant
- Droit de rectification — corriger des données inexactes ou incomplètes
- Droit à l’effacement (« droit à l’oubli ») — demander la suppression de tes données
- Droit à la portabilité — recevoir tes données dans un format structuré et lisible par machine (JSON, CSV)
- Droit d’opposition — t’opposer à certains traitements fondés sur l’intérêt légitime
- Droit à la limitation — demander le gel temporaire d’un traitement en cas de contestation
Une grande partie de ces droits est directement exerçable depuis l’application (modification du profil, suppression du compte). Pour toute demande plus complexe, écris à paynow.contact@proton.me. Une réponse te sera apportée sous 30 jours maximum (prolongeable à 2 mois pour les demandes complexes, avec notification préalable).
Aucune pièce d’identité ne te sera demandée sauf doute sérieux sur l’identité du demandeur (conformément à l’article 12.6 du RGPD).
Article 9 — Cookies et stockage local
PayNow est une application mobile native. Elle n’utilise pas de cookies au sens du web. Les informations stockées localement sur ton téléphone sont :
- Jeton d’authentification (JWT) stocké dans le SecureStore natif (Keychain iOS / Keystore Android) — chiffré par le système d’exploitation
- Préférences locales (thème, derniers écrans consultés) dans l’AsyncStorage non-sensible
Aucun traceur publicitaire, aucun SDK tiers de tracking (Facebook, Google Analytics, etc.) n’est intégré à PayNow.
Site web vitrine — le présent site pay-now.fr n’utilise
aucun cookie publicitaire ni traceur tiers. Si Vercel Analytics est
activé (mesure d’audience anonyme côté Vercel), il fonctionne sans
cookie ni identifiant persistant et est conforme au RGPD sans nécessiter
de bandeau de consentement (cf. lignes directrices CNIL sur la mesure
d’audience exemptée de consentement).
Article 10 — Sécurité des données
PayNow met en œuvre les mesures techniques et organisationnelles suivantes :
- Chiffrement en transit (HTTPS/TLS 1.2+) pour toutes les communications avec les serveurs
- Chiffrement au repos des données côté Supabase (AES-256)
- Mots de passe hachés (bcrypt/scrypt côté Supabase) — jamais stockés en clair
- Jetons JWT stockés dans le SecureStore système (Keychain iOS / Keystore Android)
- Accès administrateur restreint à l’Éditeur uniquement, avec authentification forte sur les outils de supervision (dashboard Supabase, Stripe, Anthropic)
- Journalisation des actions sensibles (changement d’email, de mot de passe, suppression de compte) dans un journal d’audit
- Pas de données de paiement stockées côté PayNow (tokenisation Stripe)
Article 11 — Violation de données
En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour tes droits et libertés, l’Éditeur s’engage à :
- Notifier la CNIL dans un délai de 72 heures après constatation, conformément à l’article 33 du RGPD
- T’informer directement si la violation est susceptible d’engendrer un risque élevé, conformément à l’article 34 du RGPD
- Documenter la violation dans un registre interne
Article 12 — Droit de réclamation auprès de la CNIL
Si tu estimes que le traitement de tes données personnelles constitue une violation du RGPD, tu as le droit d’introduire une réclamation auprès de l’autorité de contrôle française :
Commission Nationale de l’Informatique et des Libertés (CNIL)
- Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
- Téléphone : +33 1 53 73 22 22
- Site web : https://www.cnil.fr
Article 13 — Mise à jour de la politique
L’Éditeur peut modifier la présente Politique de confidentialité pour tenir compte des évolutions légales, techniques ou fonctionnelles.
En cas de modification substantielle (nouveau sous-traitant impactant significativement tes données, nouvelle finalité de traitement, etc.), tu seras notifié·e par email au moins 30 jours avant l’entrée en vigueur.
Les modifications mineures (corrections, clarifications, mises à jour d’adresses) peuvent intervenir sans préavis. La version en cours est toujours consultable depuis l’application.
Article 14 — Contact
Pour toute question, demande d’exercice de droits, ou réclamation relative à tes données personnelles :
L’Éditeur assume directement le rôle de point de contact RGPD (pas de DPO formel — activité non principale au sens de l’article 37 du RGPD). Une réponse te sera apportée sous 30 jours maximum.