Politique de confidentialité

Dernière mise à jour : 29 novembre 2025

Responsable de traitement :
Cameron GERARD-DENIAU
200 rue de la Croix Nivert, 75015 Paris, France
E-mail : helyosogames@gmail.com
Contact Confidentialité : helyosogames@gmail.com (pas de DPO désigné)

Cette politique explique comment l'application Facture Scan traite vos données personnelles lorsque vous l'utilisez. Elle est conforme au Règlement Général sur la Protection des Données (RGPD), à la Loi 25 du Québec, et à la Loi fédérale suisse sur la protection des données (nLPD).

1) Données traitées

Compte : adresse e-mail (si compte non anonyme), identifiant utilisateur (UID Firebase), état de l'abonnement/licence.
Documents : fichiers importés (images/PDF) et métadonnées extraites via OCR (date, montant, nom société), destinations d'envoi configurées (Drive/Dropbox/e-mail).
Support client : contenu des messages que vous nous envoyez, adresse e-mail de contact.
Journaux techniques : événements strictement nécessaires au fonctionnement et à la sécurité (connexions, erreurs serveur, crashs app).
Statistiques d'usage : données anonymisées via Firebase Analytics.

2) Finalités & bases légales

Finalité	Base légale (RGPD Art. 6)
Fournir le service (numérisation, extraction OCR, envoi, synchronisation, historique)	Exécution du contrat (Art. 6(1)(b))
Envoi vers Dropbox/Google Drive (connexion comptes externes)	Consentement explicite (Art. 6(1)(a)) — Vous autorisez l'accès en connectant vos comptes
Assistance technique et support client	Exécution du contrat / Intérêt légitime (Art. 6(1)(f))
Sécurité, prévention des abus, détection fraude	Intérêt légitime (Art. 6(1)(f))
Obligations légales (facturation, comptabilité)	Obligation légale (Art. 6(1)(c))
Amélioration du service (analytics anonymisés)	Intérêt légitime (Art. 6(1)(f))

3) Où sont traitées vos données ? Transferts internationaux

Localisation principale : Vos données sont hébergées sur les serveurs de Google Firebase situés dans l'Union européenne (région europe-west9, Paris, France).

Transferts hors UE/EEE : Certains de nos prestataires peuvent traiter vos données en dehors de l'Union européenne, notamment :

Google Firebase (États-Unis) :
- Services : Authentification, fonctions cloud, base de données, stockage fichiers
- Garanties : Clauses Contractuelles Types (CCT) de la Commission européenne + certification EU-U.S. Data Privacy Framework (Google LLC certifié)
- Détails DPF Google | Politique Firebase
RevenueCat (États-Unis) :
- Service : Gestion des abonnements (Play Store / App Store)
- Garanties : Clauses Contractuelles Types (CCT)
- DPA RevenueCat | Politique
SendGrid / Twilio (États-Unis) :
- Service : Envoi d'e-mails (support, réinitialisation mot de passe)
- Garanties : EU-U.S. Data Privacy Framework (Twilio Inc. certifié)
- DPA Twilio | Politique

Pour le Québec (Loi 25, Art. 17-18) : Conformément à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, nous avons évalué que les États-Unis (pour les prestataires certifiés sous Data Privacy Framework) offrent une protection substantiellement similaire à celle du Québec.

Pour la Suisse (nLPD, Art. 16) : Les transferts vers les États-Unis sont encadrés par les Clauses Contractuelles Types et le Data Privacy Framework, garantissant un niveau de protection adéquat.

Vous pouvez obtenir une copie des garanties mises en œuvre en contactant : helyosogames@gmail.com

4) Destinataires de vos données

a) Sous-traitants techniques :

Google Firebase (Auth, Cloud Functions, Firestore, Storage) — Politique
RevenueCat (gestion abonnements) — Politique
SendGrid/Twilio (envoi e-mails) — Politique

b) Destinataires choisis par vous :

Lorsque vous utilisez les fonctions d'envoi, vous choisissez les destinataires de vos documents :

Dropbox : Si vous connectez votre compte, les fichiers sont transférés vers vos dossiers Dropbox. Politique Dropbox
Google Drive : Si vous connectez votre compte Google, les fichiers sont transférés vers votre Drive. Politique Google
E-mail : Les documents sont envoyés à l'adresse que vous configurez.

c) Autorités publiques : En cas d'obligation légale, nous pouvons communiquer vos données aux autorités compétentes (police, justice, administration fiscale).

5) Durées de conservation

Catégorie de données	Durée de conservation
Historique des documents (factures numérisées)	3, 12 ou 24 mois selon votre offre d'abonnement, puis purge automatique.
Données de compte (e-mail, UID, préférences)	Jusqu'à la suppression du compte par vos soins ou 24 mois d'inactivité complète (aucune connexion).
Tickets de support client	1 mois après clôture du ticket.
Journaux techniques (logs serveur)	3 mois sauf obligation légale (ex : conservation pour enquête judiciaire).
Données comptables (factures, paiements)	10 ans (obligation légale fiscale en France).

6) Vos droits

Conformément au RGPD (UE), à la Loi 25 (Québec), et à la nLPD (Suisse), vous disposez des droits suivants :

Accès (RGPD Art. 15) : Obtenir une copie de vos données personnelles.
Rectification (RGPD Art. 16) : Corriger des données inexactes ou incomplètes.
Effacement (RGPD Art. 17) : Supprimer vos données (« droit à l'oubli »).
Limitation (RGPD Art. 18) : Restreindre le traitement dans certains cas.
Opposition (RGPD Art. 21) : Vous opposer au traitement basé sur l'intérêt légitime.
Portabilité (RGPD Art. 20) : Recevoir vos données dans un format structuré (JSON/CSV).
Retrait du consentement : Retirer votre consentement à tout moment (ex : déconnexion Dropbox/Drive).

Pour exercer ces droits : Envoyez un e-mail à helyosogames@gmail.com avec l'objet "Demande RGPD" et une copie de votre pièce d'identité. Nous répondons sous 30 jours maximum (RGPD Art. 12).

Réclamations auprès des autorités :

France : CNIL (Commission Nationale de l'Informatique et des Libertés)
Belgique : APD/GBA (Autorité de Protection des Données)
Suisse : PFPDT/FDPIC (Préposé fédéral à la protection des données)
Québec : CAI (Commission d'accès à l'information)

7) Suppression de compte & données

Vous pouvez supprimer définitivement votre compte et toutes vos données à tout moment depuis l'application :

Profil > Paramètres > Supprimer mon compte & mes données

Effets de la suppression :

✅ Suppression immédiate de vos données dans le cloud (Firebase Firestore, Storage)
✅ Suppression des données locales sur votre appareil (cache Hive)
✅ Désactivation de votre compte d'authentification Firebase
⚠️ Conservation temporaire des sauvegardes légales (30 jours max, puis purge définitive)
⚠️ Conservation des données comptables (factures, paiements) pendant 10 ans (obligation légale)

Action irréversible : Cette suppression est définitive et ne peut pas être annulée. Vos abonnements actifs seront résiliés (aucun remboursement pour période non utilisée selon CGV).

8) Cookies et traceurs

Site web : Notre site vitrine ne dépose pas de cookies publicitaires ou de suivi comportemental. Seuls des cookies strictement nécessaires au fonctionnement peuvent être utilisés (session, sécurité).

Application mobile : L'application utilise des identifiants locaux et services tiers pour :

Firebase Analytics : Statistiques d'usage anonymisées (crashs app, performances, écrans visités).
Stockage local (Hive) : Pour fonctionner hors ligne. Ces données restent sur votre appareil uniquement.
Tokens d'authentification : Stockés de manière sécurisée (FlutterSecureStorage) pour maintenir votre session.

Base légale : Intérêt légitime (amélioration du service) avec possibilité d'opposition via paramètres de l'app.

9) Sécurité

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données (RGPD Art. 32) :

Chiffrement en transit : Toutes les communications utilisent HTTPS/TLS (certificats SSL valides).
Chiffrement au repos : Données sensibles chiffrées dans Firebase Storage et Firestore.
Contrôles d'accès : Règles de sécurité Firebase strictes (isolation par utilisateur, authentification obligatoire).
App Check : Protection anti-abus (Play Integrity sur Android, DeviceCheck sur iOS).
Journalisation : Logs d'activité pour détection d'anomalies (conservation 3 mois).
Mises à jour régulières : Correctifs de sécurité appliqués rapidement.

Aucune sécurité n'étant parfaite : Nous vous recommandons d'utiliser un mot de passe robuste, d'activer l'authentification à deux facteurs (si disponible), et de maintenir vos appareils à jour.

10) Violation de données personnelles

En cas de violation de sécurité (« data breach ») susceptible d'engendrer un risque élevé pour vos droits et libertés, nous nous engageons à :

Notifier la CNIL (ou autorité compétente) dans les 72 heures suivant la découverte (RGPD Art. 33).
Vous informer sans délai excessif par e-mail ou notification in-app (RGPD Art. 34).
Décrire la nature de la violation, les catégories de données concernées, et les mesures prises pour y remédier.

11) Décisions automatisées & profilage

L'application utilise des traitements automatisés pour :

Extraction OCR : Reconnaissance optique de caractères pour extraire automatiquement les informations de vos factures (société, montant, date). Vous pouvez toujours corriger manuellement les données avant validation.
Gestion quotas : Vérification automatique de vos limites d'utilisation selon votre abonnement (ex : blocage si 30 factures/mois atteintes).

Ces traitements ne constituent PAS :

❌ De décisions produisant des effets juridiques vous concernant (RGPD Art. 22)
❌ Du profilage comportemental ou scoring utilisateur
❌ De la publicité ciblée ou revente de données

12) Mineurs

Le service n'est pas destiné aux personnes de moins de 16 ans (âge minimum RGPD pour le consentement numérique). Nous ne collectons pas sciemment de données de mineurs sans consentement parental lorsque la loi l'exige.

Si vous êtes parent et pensez que votre enfant nous a fourni des données, contactez-nous à helyosogames@gmail.com pour suppression immédiate.

13) Modifications de la politique

Nous pouvons modifier cette politique à tout moment pour refléter des changements légaux ou fonctionnels. La date de "Dernière mise à jour" sera ajustée en haut de page.

En cas de changement majeur (nouvelles finalités, nouveaux destinataires, transferts vers nouveaux pays), nous vous en informerons par :

📧 E-mail (si compte non anonyme)
📱 Notification in-app au prochain lancement
⏸️ Blocage temporaire de l'app jusqu'à acceptation (si changement nécessitant nouveau consentement)

Votre utilisation continue du service après notification vaut acceptation des nouvelles conditions.

14) Contact & questions

Pour toute question relative à cette politique ou à vos données personnelles :

E-mail : helyosogames@gmail.com
Objet : "Confidentialité Facture Scan"
Délai de réponse : 30 jours maximum (RGPD Art. 12)