← Retour à l'accueil

Politique de confidentialité

Dernière mise à jour : 20 mai 2026

1. Responsable du traitement

La présente politique décrit comment SCfacture (« nous », « le service ») collecte, utilise et protège les données personnelles des utilisateurs de la landing page scfacture.fr et de l'application app.scfacture.fr.

Pour toute question relative au traitement de vos données personnelles, vous pouvez nous contacter à l'adresse contact@scfacture.fr.

2. Données collectées

Nous collectons et traitons les catégories de données suivantes :

  • Compte utilisateur : adresse e-mail, mot de passe haché, nom, prénom, date de création et de dernière connexion.
  • Organisation : raison sociale, SIRET, numéro de TVA, adresse, coordonnées bancaires (IBAN/BIC) saisies pour la facturation.
  • Données métier : clients, factures, devis, transactions bancaires synchronisées (avec votre consentement).
  • Données de paiement : gérées exclusivement par Stripe. Nous ne stockons jamais vos numéros de carte bancaire.
  • Données techniques : adresse IP, identifiants de session (cookie session_token), user-agent, journaux d'accès aux endpoints critiques.

3. Finalités du traitement

  • Fourniture du service de facturation électronique (Factur-X, EN 16931).
  • Authentification, gestion du compte et des organisations.
  • Facturation de l'abonnement et des consommations à l'usage (flux PDP).
  • Routage des factures vers une Plateforme Agréée (PA).
  • Synchronisation bancaire et rapprochement comptable (sur consentement).
  • Sécurité du service, prévention de la fraude et des abus.
  • Respect des obligations légales (conservation comptable, réquisitions).

4. Base légale

  • Exécution du contrat (art. 6.1.b RGPD) : création de compte, émission de factures, facturation Stripe.
  • Obligation légale (art. 6.1.c RGPD) : conservation des pièces comptables (10 ans, art. L123-22 du Code de commerce).
  • Intérêt légitime (art. 6.1.f RGPD) : sécurité du service, prévention de la fraude, protection des endpoints critiques contre les attaques automatisées (cf. section 8).
  • Consentement (art. 6.1.a RGPD) : synchronisation bancaire (Powens, PayPal), envoi d'e-mails non transactionnels.

5. Destinataires et sous-traitants

Vos données peuvent être transmises aux sous-traitants suivants, strictement pour les finalités décrites ci-dessus :

  • OVH Cloud (France) — hébergement de l'application, de la base de données et stockage S3 des factures.
  • Stripe (Irlande / États-Unis) — traitement des paiements, facturation des abonnements et des flux à l'usage.
  • Cloudflare (États-Unis / UE) — protection anti-bot (Turnstile, cf. section 8) sur les endpoints sensibles.
  • Powens (France) — agrégation bancaire, sur consentement uniquement.
  • PayPal (Luxembourg) — synchronisation des transactions PayPal, sur consentement uniquement. Cf. politique PayPal dédiée.
  • Google (Irlande) — connexion via Google OAuth, sur choix de l'utilisateur. Cf. politique Google dédiée.
  • INSEE / INPI (France) — consultation des bases publiques Sirene et RNE pour l'autocomplétion des fiches entreprises.
  • Plateformes Agréées (PA) — routage des factures électroniques conformément à la réforme 2026.
  • Autorités légalement habilitées sur réquisition judiciaire ou administrative.

Nous ne revendons aucune donnée et n'effectuons aucune prospection commerciale à partir des données métier de nos utilisateurs.

6. Durée de conservation

  • Compte utilisateur : tant que le compte est actif, puis supprimé sur demande ou après 3 ans d'inactivité.
  • Factures, devis, données comptables : 10 ans (obligation légale, art. L123-22 du Code de commerce).
  • Sessions et tokens : 30 jours maximum, purgés automatiquement.
  • Comptes non vérifiés : supprimés sous 24h en l'absence de validation de l'adresse e-mail.
  • Journaux techniques : 12 mois maximum.

7. Sécurité

Les mots de passe sont hachés avec un algorithme robuste. Les tokens d'API tiers (OAuth bancaire, etc.) sont chiffrés au repos. Les communications transitent exclusivement en HTTPS/TLS. L'hébergement est réalisé en France (OVH Cloud) et l'accès aux données est restreint et journalisé.

8. Cloudflare Turnstile (protection anti-bot)

Pour protéger nos endpoints critiques contre les attaques automatisées (création de comptes en masse, credential stuffing, abus des API publiques), nous utilisons Cloudflare Turnstile en mode invisible. Aucune case « Je ne suis pas un robot » ni défi visuel n'est présenté à l'utilisateur dans le cas général : la vérification s'effectue silencieusement en arrière-plan.

Turnstile est déclenché sur les endpoints suivants de l'application app.scfacture.fr :

  • création de compte (/register) ;
  • connexion (/login) ;
  • demande de réinitialisation de mot de passe (/forgot-password) ;
  • recherche d'entreprises par SIRET / raison sociale (API INSEE / INPI) ;
  • autres endpoints publics susceptibles d'être ciblés par des bots.

Pour effectuer cette vérification, Cloudflare peut collecter et traiter certaines données techniques : adresse IP, en-têtes HTTP, signaux du navigateur (user-agent, propriétés de rendu, événements de l'environnement), ainsi que des cookies ou identifiants techniques nécessaires au fonctionnement du défi invisible.

Ces données sont traitées par Cloudflare en qualité de sous-traitant, dans le seul but de distinguer un utilisateur humain d'un bot. Elles ne sont pas utilisées par Cloudflare à des fins publicitaires, ni revendues à des tiers.

Information requise — En tant que condition à l'activation du mode invisible, nous sommes tenus de référencer la politique de confidentialité Turnstile de Cloudflare. Pour le détail des traitements effectués par Cloudflare dans le cadre de Turnstile, consultez le Turnstile Privacy Policy de Cloudflare ainsi que la politique de confidentialité générale de Cloudflare .

La base légale de ce traitement est notre intérêt légitime (art. 6.1.f RGPD) à protéger la sécurité du service, des utilisateurs inscrits et des ressources techniques (API tierces facturées à l'usage, envois d'e-mails). Le traitement est strictement limité à la durée nécessaire à la vérification.

9. Cookies

La landing page scfacture.fr ne dépose pas de cookies de mesure d'audience ni de cookies publicitaires. L'application app.scfacture.fr utilise exclusivement des cookies strictement nécessaires :

  • session_token — cookie d'authentification (httpOnly, sameSite lax, 30 jours).
  • Cookies techniques posés par Cloudflare Turnstile pour le fonctionnement du défi anti-bot (cf. section 8).

Ces cookies sont dispensés du recueil du consentement préalable car strictement nécessaires à la fourniture du service expressément demandé par l'utilisateur (article 82 de la loi Informatique et Libertés).

10. Transferts hors UE

Les serveurs principaux (application, base de données, S3) sont situés en France (OVH Cloud). Certains sous-traitants (Stripe, Cloudflare, Google) peuvent traiter des données depuis les États-Unis. Ces transferts sont encadrés par les clauses contractuelles types de la Commission européenne et, pour les sous-traitants américains éligibles, par leur certification au Data Privacy Framework.

11. Vos droits

Conformément au RGPD, vous disposez d'un droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition concernant vos données personnelles. Pour exercer ces droits, contactez-nous à contact@scfacture.fr.

En cas de litige, vous pouvez introduire une réclamation auprès de la CNIL (cnil.fr).

12. Modifications

Cette politique peut être mise à jour pour refléter des évolutions réglementaires ou techniques. Toute modification substantielle sera notifiée par e-mail ou via l'application avant son entrée en vigueur.

13. Contact

Pour toute question relative à vos données personnelles :

contact@scfacture.fr