Politique de Confidentialité

1. Introduction

La présente Politique de Confidentialité décrit comment TIM TIRET (ci-après « nous », « notre » ou « l'Éditeur »), éditeur de la plateforme Chorus Pay accessible à l'adresse https://choruspay.fr, collecte, utilise, stocke et protège vos données personnelles.

Nous attachons une grande importance à la protection de votre vie privée et au respect du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés.

En utilisant notre Service, vous acceptez la collecte et l'utilisation de vos données personnelles conformément à la présente politique.

2. Responsable du Traitement

Le responsable du traitement de vos données personnelles est :

Pour toute question relative à la protection de vos données personnelles ou pour exercer vos droits, vous pouvez contacter :

Timothée Monnier, Responsable de la protection des données
Email : contact@choruspay.fr

3. Données Personnelles Collectées

3.1 Données collectées auprès des Fournisseurs (Utilisateurs inscrits)

Lors de votre inscription et de l'utilisation du Service, nous collectons les données suivantes :

Informations d'identification et de l'entreprise :

• Nom et prénom (représentant légal)
• Raison sociale de l'entreprise
• Nom commercial (trade name)
• Forme juridique
• Numéro SIRET
• Numéro RCS
• Numéro de TVA intracommunautaire
• Adresse du siège social (adresse, code postal, ville)
• Adresse email
• Numéro de téléphone

Informations bancaires et financières :

• Coordonnées bancaires (IBAN, BIC)
• Nom du titulaire du compte
• Conditions de paiement

Documents administratifs :

• KBIS (extrait d'immatriculation)
• RIB (Relevé d'Identité Bancaire)
• Logo de l'entreprise
• Autres documents uploadés par l'utilisateur

Données de configuration et d'utilisation :

• Couleurs de marque (branding)
• Templates d'emails personnalisés
• Clés API générées
• Configurations d'intégrations tierces (Pennylane, Chorus Pro)
• Webhooks configurés

Données de connexion et d'authentification :

• Données de connexion Google OAuth (identifiant Google, email)
• Sessions de connexion
• Adresses IP
• Logs de connexion

Données transactionnelles :

• Devis créés (Pay Links)
• Factures générées
• Bons de commande
• Historique des transactions et paiements
• Événements système (logs)

3.2 Données collectées auprès des Collectivités (Clients finaux)

Lorsqu'une Collectivité utilise un Pay Link pour accepter un devis, nous collectons :

• Nom de la collectivité
• Numéro SIRET de la collectivité
• Email du contact
• Informations saisies dans le bon de commande (service demandeur, code engagement, date de livraison prévue, etc.)
• Adresse IP (pour des raisons de sécurité)

Note importante : Les données des collectivités (SIRET, nom, adresse) sont publiques et accessibles via les bases de données gouvernementales françaises (SIRENE, API Entreprise).

3.3 Données de navigation

Nous utilisons l'outil d'analyse Plausible Analytics pour comprendre comment notre site est utilisé. Plausible est une solution respectueuse de la vie privée qui :

• Ne collecte aucune donnée personnelle identifiable
• N'utilise pas de cookies
• Est conforme RGPD par défaut
• Stocke les données en Europe (UE)

Les données collectées par Plausible sont anonymes et incluent uniquement :

• Pages visitées
• Source de trafic (référent)
• Pays de visite (basé sur l'IP, non conservée)
• Type de navigateur
• Type d'appareil (desktop/mobile)

4. Finalités du Traitement

Vos données personnelles sont collectées et traitées pour les finalités suivantes :

4.1 Fourniture du Service

• Création et gestion de votre compte utilisateur
• Authentification et sécurisation de l'accès au Service
• Génération de devis, factures et bons de commande conformes aux normes publiques françaises
• Automatisation du dépôt des factures sur la plateforme Chorus Pro
• Suivi des paiements et notifications
• Gestion des abonnements et facturation récurrente

4.2 Facturation

• Émission de factures pour les services fournis (commission de 3%)
• Traitement des paiements
• Gestion comptable et respect des obligations fiscales

4.3 Support client et communication

• Répondre à vos questions et demandes d'assistance
• Vous envoyer des notifications importantes relatives au Service (mises à jour, maintenance, modifications des CGU)
• Vous informer de nouvelles fonctionnalités

4.4 Amélioration du Service

• Analyser l'utilisation du Service pour détecter et corriger les bugs
• Développer de nouvelles fonctionnalités
• Optimiser l'expérience utilisateur (via Plausible Analytics, anonyme et sans cookies)

4.5 Sécurité et prévention de la fraude

• Détection et prévention des activités frauduleuses
• Protection contre les cyberattaques et abus
• Respect des obligations légales et réglementaires

4.6 Obligations légales

• Conservation des données de facturation pendant 10 ans (obligation fiscale et comptable)
• Réponse aux demandes des autorités compétentes

5. Base Légale du Traitement

Conformément au RGPD, nous traitons vos données personnelles sur la base des fondements juridiques suivants :

• Exécution du contrat (article 6.1.b du RGPD) : le traitement est nécessaire pour fournir le Service et exécuter nos obligations contractuelles (CGU).
• Obligation légale (article 6.1.c du RGPD) : conservation des données de facturation pendant 10 ans (Code de commerce, Code général des impôts).
• Intérêt légitime (article 6.1.f du RGPD) : amélioration du Service, prévention de la fraude, sécurité des systèmes.
• Consentement (article 6.1.a du RGPD) : pour l'envoi d'emails marketing (si applicable, avec opt-in explicite).

6. Destinataires des Données

Vos données personnelles peuvent être partagées avec les destinataires suivants :

6.1 Services internes

Seuls les membres de notre équipe ayant besoin d'accéder à vos données pour assurer le bon fonctionnement du Service y ont accès.

6.2 Prestataires de services tiers (sous-traitants)

Nous faisons appel à des prestataires tiers pour fournir certaines fonctionnalités du Service. Ces prestataires sont contractuellement tenus de traiter vos données de manière sécurisée et conforme au RGPD.

6.3 Autorités légales

Nous pouvons être amenés à divulguer vos données personnelles aux autorités compétentes si la loi l'exige (réquisition judiciaire, demande administrative, etc.).

7. Transferts de Données Hors de l'Union Européenne

Certains de nos prestataires sont situés en dehors de l'Union Européenne, notamment :

• Google OAuth (États-Unis) : pour l'authentification via compte Google
• Resend (États-Unis) : pour l'envoi d'emails transactionnels
• Service d'analyse de documents IA : pour l'extraction automatique des données des bons de commande

Ces transferts sont encadrés par des garanties appropriées conformément au RGPD, notamment :

• Clauses contractuelles types de la Commission Européenne
• Certifications (ex: ISO 27001, SOC 2) des prestataires
• Mesures de sécurité renforcées (chiffrement, pseudonymisation)

Pour plus d'informations sur les garanties mises en place, vous pouvez nous contacter à contact@choruspay.fr.

8. Durée de Conservation des Données

Nous conservons vos données personnelles pendant les durées suivantes :

8.1 Comptes actifs

5 ans après la dernière activité : Si vous n'utilisez plus le Service pendant 5 ans, votre compte sera considéré comme inactif et vos données pourront être supprimées, sauf obligation légale de conservation.

8.2 Après suppression de compte

1 an après la suppression : Lorsque vous supprimez votre compte, vos données sont conservées pendant 1 an en archive pour des raisons de sécurité et de traçabilité, puis supprimées définitivement.

8.3 Données de facturation

10 ans minimum : Les données liées à la facturation (devis, factures, bons de commande, paiements) sont conservées pendant 10 ans conformément aux obligations comptables et fiscales françaises (Code de commerce, Code général des impôts).

8.4 Logs et sécurité

1 an maximum : Les logs de connexion et les données de sécurité (adresses IP, tentatives de connexion) sont conservés pendant 1 an maximum.

9. Sécurité des Données

Nous mettons en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre tout accès non autorisé, perte, destruction ou divulgation accidentelle, notamment :

Mesures de sécurité techniques :

• Chiffrement des communications : HTTPS/TLS pour toutes les connexions au Service
• Chiffrement des données sensibles : Les données bancaires (IBAN) et clés API sont chiffrées en base de données
• Authentification renforcée : OAuth 2.0 (Google), sessions sécurisées
• Pare-feu et surveillance : Protection contre les intrusions et cyberattaques
• Sauvegardes régulières : Backups automatiques de la base de données

Mesures organisationnelles :

• Accès restreint : Seuls les employés autorisés ont accès aux données personnelles
• Contrats de sous-traitance : Tous nos prestataires sont contractuellement tenus de respecter le RGPD
• Sensibilisation à la sécurité : Formation de l'équipe aux bonnes pratiques de sécurité

Toutefois, aucun système de transmission de données via Internet n'est totalement sécurisé. Nous ne pouvons garantir une sécurité absolue et vous êtes également responsable de la sécurité de vos identifiants de connexion.

10. Vos Droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants concernant vos données personnelles :

10.1 Droit d'accès (article 15 RGPD)

Vous avez le droit d'obtenir une copie de vos données personnelles et des informations concernant leur traitement.

10.2 Droit de rectification (article 16 RGPD)

Vous pouvez demander la correction de vos données personnelles si elles sont inexactes ou incomplètes. Vous pouvez également mettre à jour vos informations directement depuis votre compte utilisateur.

10.3 Droit à l'effacement (article 17 RGPD)

Vous pouvez demander la suppression de vos données personnelles, sauf si leur conservation est nécessaire pour des raisons légales (ex: données de facturation conservées 10 ans).

10.4 Droit à la limitation du traitement (article 18 RGPD)

Vous pouvez demander la limitation du traitement de vos données dans certains cas (ex: contestation de l'exactitude des données).

10.5 Droit à la portabilité (article 20 RGPD)

Vous avez le droit de recevoir vos données personnelles dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

10.6 Droit d'opposition (article 21 RGPD)

Vous pouvez vous opposer au traitement de vos données personnelles pour des raisons tenant à votre situation particulière, notamment pour les traitements basés sur l'intérêt légitime.

10.7 Droit de retirer votre consentement

Si le traitement est basé sur votre consentement (ex: emails marketing), vous pouvez le retirer à tout moment.

10.8 Droit de déposer une réclamation

Vous avez le droit de déposer une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL) si vous estimez que vos droits ne sont pas respectés :

Comment exercer vos droits ?

Pour exercer vos droits, vous pouvez nous contacter par email à :

Nous vous répondrons dans un délai maximum de 1 mois à compter de la réception de votre demande. Ce délai peut être prolongé de 2 mois en cas de complexité.

Pour des raisons de sécurité, nous pourrons vous demander une copie de votre pièce d'identité pour vérifier votre identité.

11. Cookies et Traceurs

11.1 Utilisation minimale de cookies

Nous utilisons uniquement des cookies strictement nécessaires au fonctionnement du Service, notamment :

• Cookies de session : pour maintenir votre connexion au Service (httpOnly, secure)
• Cookies d'authentification : pour l'OAuth Google

Ces cookies sont essentiels au fonctionnement du Service et ne nécessitent pas de consentement préalable (article 82 de la loi Informatique et Libertés).

11.2 Analytics sans cookies

Nous utilisons Plausible Analytics, une solution d'analyse du trafic web respectueuse de la vie privée qui :

• N'utilise aucun cookie
• Ne collecte aucune donnée personnelle identifiable
• Est conforme RGPD par défaut (pas de bandeau de consentement nécessaire)
• Stocke les données en Union Européenne

11.3 Pas de cookies publicitaires

Nous n'utilisons aucun cookie publicitaire ni de traceur tiers (Google Ads, Meta Pixel, etc.).

12. Modifications de la Politique de Confidentialité

Nous pouvons être amenés à modifier la présente Politique de Confidentialité pour refléter les évolutions du Service, de la législation ou de nos pratiques.

En cas de modification substantielle, nous vous en informerons par email ou via une notification sur le Service. La date de dernière mise à jour est indiquée en haut de cette page.

Nous vous encourageons à consulter régulièrement cette page pour rester informé de la manière dont nous protégeons vos données.

13. Contact

Pour toute question concernant la présente Politique de Confidentialité ou le traitement de vos données personnelles, vous pouvez nous contacter :